01 Informatique : Début 2002, Bill Gates, dans un mémo interne, plaçait la sécurité en tête des priorités de Microsoft, créant le concept d’informatique de confiance (Trustworthy
Computing). Comment cette politique s’est-elle traduite depuis lors ?Bernard Ourghanlian (directeur technique et sécurité de Microsoft France) : Cette initiative est à remettre en perspective, car l’informatique de confiance n’est pas qu’un objectif de sécurité. Outre son aspect
technologique, nous considérons les dimensions liées à la disponibilité et au respect de la vie privée. Certains choix ne nous incombent pas. Toute l’industrie doit faire en sorte que les utilisateurs aient confiance. Nous avons, à ce titre, une
obligation à la mesure de notre présence sur le marché. Mais la vision que l’outil informatique soit aussi simple d’utilisation qu’un appareil électrique, incombe à tous. Pour notre part, le changement de culture interne est le premier indicateur
fondamental du Trustworthy Computing. Jusqu’à cette initiative, entre l’ajout d’une fonctionnalité et la sécurisation d’un produit, nous options pour la première solution. Désormais, la sécurité est prioritaire. Le report à
trois reprises de Windows Server 2003 est consécutif à ce souci de parfaire la sécurité du produit. Nous avons en outre formé plus de dix mille développeurs, et nous continuons de mettre à jour leur formation. La démarche enclenche le changement de
culture au sein de Microsoft. Désormais, ce savoir est à digérer. Cette initiative est à juger dans la durée, à l’horizon d’une décennie.Comment concrétisez-vous ce changement de culture dans vos produits ?Par une méthodologie fondée sur un triptyque. Le premier volet, invisible, est la sécurisation lors de la conception [secure by design, NDLR]. C’est tout le sens de la formation de nos équipes : le développement
de code sécurisé. Le deuxième, la sécurisation par défaut [secure by default NDLR], consiste, par exemple, à ne plus démarrer de services susceptibles de fragiliser la sécurité d’un produit. Dans Windows Server 2003, plus de
vingt services ne sont plus démarrés par défaut. Pour chaque logiciel, la sécurité ne sera plus optionnelle, mais présente par défaut. Dans le troisième volet, la sécurisation lors de l’utilisation [secure by deployment, NDLR],
nos clients doivent pouvoir corriger en temps et en heure. Nous dressons le constat suivant : les entreprises n’ont pas adapté l’évolution de leur système d’information à l’arrivée de l’internet. Les processus de validation après correctifs en
cours dans les entreprises ne sont plus raisonnables ?” du moins pour les systèmes en frontal sur internet. L’enjeu est de disposer d’un système capable de revenir en arrière. Nous développons à cette fin un outil de correction, qui sera
disponible avant la fin de l’année pour l’ensemble des produits Microsoft. Il permettra de créer une image de l’état du système et d’installer des corrections sans redémarrer les systèmes.Vous ajoutez à ce programme la communication et l’information. Or, celles des autres semblent vous déranger quand il s’agit de divulguer des failles de sécurité.Notre position sur le sujet est simple : la divulgation doit être responsable. Si quelqu’un découvre une vulnérabilité, il doit s’adresser à notre centre de réponse de sécurité. Il ne faut divulguer au plus grand nombre que
lorsqu’on a la correction. La sécurité est un marché juteux, et un certain nombre de personnes dans le monde se servent de la divulgation des failles qu’ils ont repérées pour asseoir leur notoriété. Car personne ne certifie l’expertise en sécurité.
Une bonne réponse serait de disposer d’un organisme qui labellise les sociétés travaillant dans la sécurité, de façon qu’il n’y ait plus d’utilité commerciale à la divulgation sauvage.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.