Peter Scholtes le disait déjà : « Dans un monde sans données, l’opinion prévaut ».

En informatique, comme ailleurs, cela pourrait devenir un adage dangereux. Surtout quand il s’agit de comparer des produits aux caractéristiques plus ou moins mesurables, où les benchmarks peuvent varier du tout au tout car non adaptés.

Prenons l’exemple de l’antivirus.

D’un antivirus à un autre, il y a des caractéristiques communes, connues et aisément comparables : exploitabilité de la solution, prix, Support Client par l’éditeur (ou l’intégrateur), ou encore pérennité de la société garante du produit.Les caractéristiques uniques d’un antivirus, sont, elles, plus difficilement mesurables : elles sont liées au cœur de métier du produit, c’est-à-dire au service qu’il va rendre au client. Dans le domaine de la sécurité de l’information, le service se définit le plus souvent par sa capacité à bloquer les menaces. Mais comment évaluer concrètement cette aptitude ? A travers des benchmarks ?

Les benchmarks pour antivirus sont élaborés en fonction des propriétés des antivirus traditionnels : ils comparent donc la capacité de blocage des bases de signature de l’antivirus, approche honorable … mais réactive. La base de signature recense des menaces déjà identifiées. Si une menace change de forme et attaque, elle ne sera plus inventoriée dans la base de signature… qui n’alertera pas l’antivirus, lequel, à son tour, sera totalement impuissant à stopper le mal.

Voilà l’exacte raison pour laquelle les malware actuels mutent constamment : ils seront d’autant plus efficaces que leurs perpétuelles et nombreuses variantes ne peuvent être identifiées par des antivirus traditionnels. Comment, dans ce cas, se fier à des benchmarks qui ne prennent pas en compte la réalité des méthodes d’attaque ? A qui faire confiance quand les tests actuels couronnent les acteurs antivirus dans leurs résultats, quand la facilité de pénétration des malware et ransomware alimente les actualités ?

Déplaçons le point de vue: si le benchmark s’appuie sur des méthodes réactives, comment évaluer les solutions proactives de sécurité ? Car des approches proactives existent pour protéger les terminaux. Leur technologie s’ingénie à identifier la menace non d’après sa forme, mais bien d’après son comportement. Depuis quelques années, les antivirus intègrent progressivement des mécanismes comportementaux. C’est indiqué dans la plupart des roadmaps des éditeurs, porteuses de futures promesses. Mais le futur a peu d’intérêt (le client peut-il attendre ?) quand l’actualité est remplie de menaces avérées et polyformes. La comparaison entre différentes offres encore non disponibles devient mission quasi impossible. Quant à se faire un avis sur l’efficacité de chacune…

En attendant que les benchmarks évoluent, en attendant que les antivirus redeviennent une barrière infranchissable, en attendant… Prudence est mère de sûreté,  ne basons pas de nos décisions d’achat sur une roadmap, sur une opinion. Regardons la réalité en face et ce qu’offre le choix actuel de solutions avérées, de confiance.