La tentation de changer son antivirus suite à une infection par un ransomware : bonne ou mauvaise idée?
Il est courant de voir des entreprises victimes de ransomware vouloir changer leur antivirus si celui-ci n'a pas été en mesure de le détecter. En réalité, au-delà des taux de détection pompeux (99.99%) qu'on trouve dans les benchmarks ou les revues, les antivirus ont de piètres résultats dans la vraie vie quand il est question de détecter les outils malicieux inconnus. Lors des nombreux cas de réponse aux incidents que nous avons gérés, nous avons vu tout type d'antivirus se faire bypasser par un ransomware.
Nous avons vu par exemple en 2020 des antivirus très réputés sur le marché incapable de détecter de vieux ransomwares datant de 2017 ou 2018.
En nous basant sur notre expérience sur le terrain, nous recommandons donc aux entreprises de partir du principe que n'importe quel antivirus les protégera contre 50% des outils malicieux, mais pas plus.
Pour le reste c'est à vous de jouer: sensibilisez vos utilisateurs, déployez des technologies complémentaires, surveillez votre réseau, etc. Et pour terminer, au risque de me répéter, assurez-vous que l'arrêt de votre antivirus requiert la saisie d'un mot de passe. Vous pourrez vous mordre les doigts si vous constatez après coup que l’antivirus aurait empêché l’infection si le pirate n’avait pas été capable de l’arrêter.