La stratégie de sécurité Microsoft s’articule, comme le souligne Bernard Ourghanlian, autour de trois axes majeurs : la mise en œuvre d’un certain nombre de fondamentaux, l’innovation technologique et le fait d’être une entreprise responsable.

Concernant les fondamentaux, il rappelle l’importance de la mise en application des bases de la SSI, à commencer par le fait de patcher ses systèmes. Dans un environnement où on ne patche pas et où tout le monde dispose de privilèges, les possibilités d’attaques s’en trouvent amplement facilitées. « Vous pouvez accumuler toutes les technologies de sécurité, si vous ne faites pas les fondamentaux, ça ne marchera pas ».

Depuis plusieurs années déjà, Microsoft inscrit l’intégralité de son processus de développement et d’innovation dans une démarche SDL (Security Development Lifecycle). Chacun de nos développeurs est formé à l’écriture de code sécurisé dès son arrivée dans l’entreprise, puis chaque année pour une mise à niveau régulière. En outre, chaque nouvelle version de produit est soumise à validation par une équipe dédiée. « L’objectif n’est pas d’atteindre l’impossible, car le risque 0 n’existe pas, mais de réduire le nombre de vulnérabilités, ainsi que la sévérité des exploits ».

Le niveau d’accès au SI doit aller de pair avec le niveau de confiance

Pour répondre aux enjeux actuels, liés notamment à la mobilité et la consumérisation de l’IT, la sécurité doit, selon lui, se recentrer autour de plusieurs aspects incontournables :
– La protection de l’information,
– Le contrôle d’accès,
– La lutte anti-malwares,
– La gestion des politiques de sécurité,
– La recherche et la réponse sur incidents,
– Et le développement sécurisé.

L’objectif est de protéger le client de bout en bout, d’assurer une protection contre les menaces et d’être en mesure de les gérer, mais aussi de sécuriser les données sensibles et l’accès aux ressources.

Concernant la consumérisation de l’IT, il part du principe que l’accès au patrimoine informationnel doit se faire en fonction de « qui vous êtes », « du niveau de confiance accordé au terminal » et « du contexte dans lequel vous vous connectez au réseau d’entreprise ». Le niveau d’accès doit aller de pair avec le niveau de confiance :
« Si je suis dans un environnement non géré, il y a un certain nombre d’applications métiers auxquelles je n’aurai pas accès » ; si c’est géré, j’y aurai accès.

Toutefois, « nous ne devons pas non plus tomber dans les méandres d’une société castratrice, en interdisant aux gens d’utiliser leurs outils ou dernières innovations » conclut-il. Tout est question de juste équilibre !