Business
Microsoft s'intéresse enfin à la sécurité.
Par Jerome Saiz, le 10 oct 2001 à 15:58:00.
C'est une première : Microsoft se lance dans une croisade sécuritaire. Armé d'un plan à deux volets, l'éditeur veut sécuriser les produits existants et mieux développer les suivants. Le plus étonnant est que les premiers services (gratuits) sont réellement disponibles. [Mis à jour le 5/11/2001]
Le "Strategic Technology Protection Program" (STPP) de Microsoft est réellement un plan étonnant. Prenez sa première phase, intitulée "Get Secure" : elle vise à permettre à tout un chacun de sécuriser ses produits Microsoft. Des systèmes d'exploitation à la suite bureautique en passant par le serveur web ou le navigateur, tous les produits ridiculement peu sûr de Microsoft se voient offrir un lifting gratuit.
Ainsi, avec le Security Tool Kit, l'éditeur distribue gratuitement un CD-ROM regroupant tous les correctifs de sécurité et des scripts automatisés pour les installer. Mieux : le "Microsoft Personal Security Advisor" (MPSA)n'est rien de moins qu'un scanner de vulnérabilités en ligne gratuit, dédié à Windows NT Workstation et Windows 2000 Professional. D'un clic, MPSA va explorer votre système et vous en dresser son bilan sécurité. Les failles sont classées par ordre d'importance, expliquées et, surtout, un correctif est proposé pour chacune d'elle.
Les serveurs ne sont pas oubliés : l'outil HFNetChk contrôle létat des correctifs de sécurité installés sur le serveur et les met à jour si besoin. Il se fonde pour cela sur une base de données gérée en temps réel par Microsoft. Il contrôle, outre le système dexploitation NT et 2000, IIS 4 et 5, SQL Server 7 & 2000 et Internet Explorer 5.01 et au delà.
Enfin, le cas d'IIS, le serveur web largement critiqué pour son manque de sécurité, est adressé de plus près. Microsoft offre URLScan, un filtre configurable capable dintercepter les requêtes passées au serveur web afin dignorer celles mal formées, point de départ de très nombreuses attaques.
La seconde phase de l'opération, appelée "Stay Secure" concerne cette fois-ci plus les développeurs de Microsoft que les utilisateurs. Il s'agit pour l'éditeur de leur apprendre à programmer en pensant à la sécurité. Un vaste projet, mais néanmoins un pas dans la bonne direction.
Mise à jour du 05/11/2001
Selon notre confrère Newsbyte, les premiers utilitaires proposés par Microsoft pourraient faire plus de mal que de bien. Plusieurs administrateurs système auraient vus leur configuration rendue instable ou moins bien protégée après l'application des outils dédiés. Ainsi, un patch de sécurité pour Windows 2000 rendait certains serveurs inopérants. Microsoft a invoqué une "erreur humaine dans le processus de fabrication du correctif". Plus récemment, un toolkit envoyé cette semaine aux utilisateurs enregistrés semble effectuer des réglages sur le système sans se soucier de savoir si d'autres modifications plus pertinentes avaient déjà été apportées, les neutralisant et laissant le système dans un état moins sûr qu'à l'origine.
Cartes blanches
Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
