Peut-on désactiver temporairement l’antivirus en cas d’urgence ou pour de l’analyse de malwares ?

L’antivirus ne devrait pas être désactivé de manière globale. En revanche, des mécanismes d’exclusion existent et peuvent être mis en place de façon ciblée.

Pour les cas d’analyse de fichiers suspects (typiquement en bioinformatique où des fichiers texte déclenchent des faux positifs), le PIT peut configurer des exclusions par répertoire ou par type de fichier, sur demande motivée.

Pour les activités de réponse à incident (analyse de malware, forensics), un poste dédié hors réseau ou une VM isolée reste la bonne pratique : l’antivirus n’a pas vocation à être désactivé sur un poste connecté au réseau de l’Université de Lille.

L’antivirus est-il fiable sous macOS ? Quid de Time Machine et des mises à jour système ?

La prise en charge de macOS par les solutions antivirus du marché est historiquement en retrait par rapport à Windows. WithSecure supporte macOS mais avec des limites connues : les mises à jour de signatures peuvent avoir un temps de retard par rapport à la version Windows, et les mises à jour majeures de macOS (passage à une nouvelle version) nécessitent souvent une mise à jour préalable de l’agent, sous peine de dysfonctionnements.

Le PIT recommande de ne pas appliquer les mises à jour majeures de macOS le jour de leur sortie et d’attendre la validation de compatibilité par l’éditeur.

Concernant Time Machine, aucune incompatibilité bloquante n’est connue à ce jour, mais des exclusions de dossiers de l’agent antivirus dans la configuration de Time Machine peuvent être nécessaires pour éviter des sauvegardes inutilement volumineuses.

Le Groupe de Travail national macOS (RESINFO) travaille actuellement sur un retour d’expérience consolidé sur ce sujet : le PIT s’appuyera sur ces éléments pour affiner les recommandations.

Un seul antivirus et un seul agent GLPI couvrent plusieurs OS : quel est le risque en cas de CVE critique sur ces composants ?

C’est un point de vigilance légitime. L’agent GLPI et l’antivirus (WithSecure) sont effectivement déployés sur Windows, macOS et Linux, ce qui en fait des composants transverses. En cas de CVE critique sur l’un d’eux, la surface exposée concerne potentiellement l’ensemble du parc.

Pour y répondre, le PIT assure une veille active sur les CVE affectant ces composants (flux CERT-FR, éditeurs) et applique les mises à jour de sécurité dans les meilleurs délais. La diversité des OS limite par ailleurs l’exploitabilité d’une même CVE sur toutes les plateformes simultanément.

Pourquoi installer un antivirus supplémentaire ?

Les systèmes intègrent déjà des protections, mais l’objectif est ici d’avoir une vision globale et homogène du parc informatique au CRIStAL, afin de pouvoir réagir rapidement en cas d’incident et garantir un niveau de sécurité cohérent entre les différents environnements (Windows, macOS, Linux).

Un antivirus sur macOS ... est-ce vraiment utile ?

macOS dispose de mécanismes de sécurité efficaces (XProtect + Gatekeeper + sandboxing). Cependant, ils ne permettent pas une gestion centralisée ni une visibilité à l’échelle du parc. L’outil déployé complète ces mécanismes dans une logique de sécurité collective.

Les outils de sécurité eux-mêmes peuvent être compromis. Quel est le risque pour WithSecure ?

C’est une question légitime. Par exemple, le 19 mars 2026, le scanner de vulnérabilités open source Trivy (Aqua Security), très utilisé dans les pipelines CI/CD, a été compromis par un groupe appelé TeamPCP. Cinq jours plus tard, le 24 mars, la compromission a atteint LiteLLM, une passerelle IA très populaire, dont le pipeline CI/CD utilisait Trivy sans version épinglée : le scanner compromis a exfiltré le token de publication PyPI du projet. Les versions malveillantes de LiteLLM ont été disponibles sur PyPI pendant environ cinq heures, et le malware ciblait les clés SSH, les tokens cloud, les secrets Kubernetes et les identifiants de bases de données.

Le point clé dans cela : un outil de sécurité de confiance est devenu le vecteur d’attaque. Les scans de vulnérabilités semblaient fonctionner normalement pendant que les secrets étaient exfiltrés en arrière-plan ...

Dans le cas spécifique de l’antivirus : c’est un produit commercial avec une chaîne de distribution signée et une infrastructure de mise à jour contrôlée par l’éditeur : Le modèle de menace n’est pas le même que celui d’un outil open source distribué via GitHub Actions ou PyPI. Le risque d’incident sur la supply chain existe (cf. l’incident CrowdStrike de juillet 2024), mais le vecteur d’attaque sera forcément différent.

Pourquoi nous n’utilisons pas le même antivirus que toute l’Université de Lille avec le SOC ? Est-ce que nous sommes moins bien protégés ?

Nous avons fait le choix de garder la maîtrise opérationnelle de la sécurité des postes de la ZRR. La télémétrie des postes CRIStAL (quels fichiers sont ouverts, quels processus tournent, quels sites sont visités) est en soi une information sensible dans le contexte PPST. L’envoyer dans un cloud SaaS et la faire analyser par des prestataires externes (Exaprobe / WithSecure), c’est potentiellement exposer des informations sur les activités de recherche du CRIStAL. Donc garder cela on-premise, c’est un choix de sécurité, pas un retard technique.

En ce qui concerne la protection en tant que telle, il faut savoir que nous avons le même socle de protection de base (blocage de malwares, signatures, analyse comportementale locale). Ce que vous n’avez pas, en revanche, c’est la couche de détection avancée (EDR) et la surveillance humaine 24/7 (SOC). En contrepartie, nous avons avez une réactivité différente (le PIT peut agir en quelques minutes, pas en heures via un circuit d’escalade plateforme d’assistance DGDNum ULille → Exaprobe → retour), et vos données de télémétrie restent au sein du CRIStAL.