Il y a eu d’importants changements entre la génération 11.0 et 12.1. Celui qui nous intéresse le plus dans le cas présent concerne la gestion des fichiers exécutables présents sur le réseau.
Certaines menaces parviennent à se propager via un réseau informatique, en étant stockées dans la mémoire locale de la machine (exemple : Qakbot, Sality), ce qui peut leur permettre de contourner les systèmes de protection Antivirus classiques, ou de passer outre une mauvaise configuration. Dans le but de contrer ce genre de comportement, SEP 12.1 apporte le changement suivant :
Tout fichier exécutable arrivant (via le disque ou la mémoire) sur une machine protégée par SEP 12.1 sera scanné, si le client n’est pas capable de vérifier si le fichier a été analysé sur sa machine source, et ce même si la fonction de scan réseau est désactivée.
Ainsi, le fichier exécutable en question sera copié en local sur le poste pour être analysé avant que l’application soit définitivement lancée. Selon la taille du fichier, le temps nécessaire pour la copie et l’analyse peut varier.
Cela explique pourquoi SEP 11 ne vous posait pas ce genre de problème : ce dernier ne scannait pas les .EXE arrivant sur la machine, car le scan réseau était désactivé, ce qui pouvait présenter un risque.
S’agissant d’une amélioration de sécurité, il ne s’agit pas d’un comportement qui devrait être modifié dans les prochaines déclinaisons de la génération 12.1.
Il vous reste donc les possibilités suivantes si jamais les performances sont trop basses :
- Copier l’application sur une machine Windows (car il n'existe pas de client SEP pour Linux), activer le scan réseau en cochant la case permettant de ne pas scanner les fichiers provenant de machines comportant SEP
- Repasser à la génération 11.0 : cela fera disparaitre ce symptôme mais présentera un risque de sécurité. De plus, il faudra réinstaller la console en 11.0.6, ou attendre la version 12.1.1 afin de pouvoir intégrer dans la console les paquets clients en version 11.0.7. Enfin, il faut comprendre qu’à moyen/long terme, la génération 11.0 laissera sa place à la 12.1
- Jouer sur les paramètres de cache (durée et taille), afin de faire en sorte que si l’application est lancée plusieurs fois dans la journée, elle ne soit scannée que lors de sa première exécution