Skip to content

Un scan antivirus complet est revenu propre — cela prouve-t-il que la machine n'est pas compromise ?

Réponse courte

Non. L'antivirus est un signal, pas une preuve. Il manque les attaques sans fichier et en mémoire, les échantillons inédits ou obfusqués, l'abus d'outils légitimes (living-off-the-land) et les rootkits conçus pour s'y cacher. L'absence de preuve n'est pas une preuve d'absence — la vraie assurance vient de la télémétrie EDR, de l'analyse forensique de la mémoire, de l'analyse comportementale et de la chasse aux IOC. Considérer un scan antivirus propre comme la preuve d'un système propre est une erreur classique de réponse à incident.

Le mot rassurant « propre » travaille beaucoup ici. Les gens l'entendent comme « vérifié sûr », mais un scan antivirus répond à une question bien plus étroite : « un fichier a-t-il correspondu à un motif connu comme malveillant ? » Un non n'est pas une garantie — c'est l'absence d'un type précis de preuve.

Ce que l'antivirus peut et ne peut pas voir

L'antivirus par signatures, et même heuristique, est fondamentalement conçu pour inspecter des fichiers sur le disque. Cela rend des catégories entières d'attaques modernes structurellement difficiles, voire impossibles, à attraper :

  • Sans fichier / en mémoire — du code malveillant qui ne s'exécute qu'en RAM (chargeurs réflexifs, shellcode injecté) ne dépose aucun fichier à analyser.
  • Inédit ou zero-day — un échantillon sans signature existante n'est tout simplement pas reconnu.
  • Obfusqué / packé — recompiler ou packer change le hash et déjoue la correspondance naïve.
  • Living-off-the-land (LOLBins) — abus d'outils légitimes et signés comme PowerShell, certutil ou wmic ; il n'y a pas de fichier malveillant, juste un usage malveillant.
  • Rootkits / implants noyau — conçus précisément pour se cacher du scanner qui pose la question.

Absence de preuve ≠ preuve d'absence

C'est le point épistémique central de la réponse à incident. Un scan propre vous dit que l'antivirus n'a pas trouvé ce qu'il sait trouver. Il ne peut pas dire que rien n'est là. Traiter « aucune détection » comme « aucune compromission » est exactement comment le temps de présence s'étire sur des mois — l'attaquant est silencieux parce qu'il est bon, pas parce qu'il est parti.

À quoi ressemble une vraie assurance

Pour réellement augmenter la confiance qu'un hôte est propre, on superpose des signaux que l'antivirus ne peut fournir :

  • Télémétrie EDR — arbres de processus, lignes de commande, anomalies parent-enfant, connexions réseau.
  • Analyse forensique mémoire — capture et analyse de la RAM pour du code injecté et des régions exécutables sans support.
  • Analyse comportementale et correspondance d'IOA — repérer un comportement plutôt que des fichiers connus.
  • Chasse aux IOC et menaces — recherche proactive d'indicateurs connus et d'anomalies sur tout le parc.

À retenir pour l'entretien

La bonne réponse nomme des évasions précises (sans fichier, LOLBins, rootkits) et dit que l'assurance vient de la télémétrie comportementale et de la forensique, pas d'un passage de signatures. Déclarer un hôte propre sur le seul antivirus est une erreur d'école en réponse à incident.

Questions de suivi probables

  • Quelles classes d'attaques sont structurellement invisibles à l'analyse par signatures ?
  • Quelle télémétrie augmenterait votre confiance qu'un hôte est réellement propre ?
  • Pourquoi « l'absence de preuve n'est pas une preuve d'absence » est-elle centrale en réponse à incident ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.