Antivirus dans le réseau : protection utile ou illusion coûteuse ?

De plus en plus d’équipements réseau — notamment chez Fortinet, Palo Alto ou Zyxel — proposent des fonctions d’antivirus ou d’antimalware intégrées directement dans leur pare-feu. À première vue, l’idée semble logique : pourquoi ne pas analyser les fichiers dès qu’ils traversent le réseau pour stopper les menaces avant qu’elles n’atteignent les postes ? En réalité, cette approche est techniquement limitée, lourde à maintenir et ne correspond plus aux menaces actuelles. C’est pourquoi WANUP ne fait pas d’analyse antivirus réseau — et ce n’est pas un manque, mais un choix stratégique.

Un antivirus réseau doit intercepter et analyser chaque fichier en transit. Cela implique de déchiffrer le trafic HTTPS (ce qui nécessite l’installation de certificats sur tous les postes), de stocker temporairement les fichiers, de les scanner puis de les laisser passer ou non. Résultat : la latence augmente, la bande passante diminue, l’appliance réseau se surcharge et la navigation ralentit. Sur le terrain, cela provoque des blocages, de l’instabilité et une expérience utilisateur dégradée.

Mais surtout, la majorité des attaques ne passent plus par des fichiers infectés visibles sur le réseau. Les menaces arrivent via des liens de phishing, des documents Office contenant des macros, des scripts PowerShell, ou des téléchargements chiffrés depuis des plateformes légitimes comme Teams, OneDrive ou Google Drive. Ces attaques ne sont pas détectables par un simple scan réseau. Pour les arrêter, il faut analyser ce qui se passe sur le poste lui-même : le comportement, les processus actifs, la modification de fichiers, la tentative de chiffrement.

C’est pourquoi l’endroit le plus pertinent pour placer l’antivirus — et aujourd’hui l’EDR — reste le poste de travail. Microsoft Defender, intégré nativement à Windows 10/11, permet de détecter localement les malwares, d’isoler la machine, de bloquer un comportement anormal et de remonter une alerte immédiatement. Couplé à Microsoft Defender for Endpoint, Intune ou Purview, il offre une protection contextuelle, évolutive et centralisée — sans ralentir le réseau.

Dans ce schéma, WANUP joue un rôle différent, mais complémentaire. Il ne remplace pas l’antivirus : il sécurise l’environnement dans lequel il évolue. WANUP bloque les connexions vers des domaines malveillants, isole les flux par application, empêche les accès depuis des pays à risque et cloisonne les réseaux entre eux. Il agit comme la muraille extérieure, pendant que l’antivirus sur le poste reste le garde du corps interne.

Conclusion
L’antivirus réseau est une technologie lourde et dépassée face aux menaces modernes. La combinaison la plus efficace aujourd’hui, ce n’est pas “tout dans un firewall”, mais une approche distribuée : un réseau sécurisé (WANUP) + des postes protégés (EDR/Defender). C’est plus performant, plus conforme aux usages cloud… et surtout plus efficace contre les vraies attaques.