Global Security Mag : Vous venez d’annoncer, en avant première à la Black Hat Conference, la création d’un « Index d’Exploitabilité des vulnérabilités », pouvez-vous nous présenter cet index ?

Cyril Voisin : Cet index sortira à partir du mois d’octobre et sera intégré dans nos bulletins de vulnérabilité qui sortent tous les deuxièmes mardis du mois. Ces bulletins donnent jusqu’à présent des informations sur les mises à jour de sécurité. On y trouve aussi des informations sur les correctifs, les solutions de contournement et la sévérité de la vulnérabilité. Nous allons y rajouter une information supplémentaire qui va permettre à nos clients de bénéficier d’un indice de difficulté d’exploitation. Ainsi, nos clients pourront se faire une idée précise des risques réels qu’ils encourent. Cet index aura trois niveaux :

– La vulnérabilité est exploitable de manière fiable : le patch devra être appliqué le plus rapidement possible
– La vulnérabilité est exploitable de manière non fiable : le patch devra être appliqué dans un délai raisonnable
– La vulnérabilité est vraissemblablement difficile à exploiter : vous avez un peu plus de temps pour appliquer le patch.

Cet indice va permettre au DSI, RSSI, Adminstrateur sécurité… de se faire un planning plus précis pour l’application des patchs. Bien entendu, notre conseil est que tous les patchs doivent être appliqués !

GS Mag : En quoi consiste votre seconde annonce le « « Microsoft Active Protection Program » ?

Cyril Voisin : Ce programme est à destination des sociétés qui fournissent des solutions de sécurité de défense. Elles recevront les informations sur les vulnérabilités quelques heures avant leurs publications officielles. Cela devrait leur permettre de gagner encore du temps pour publier des correctifs. Il faut savoir que certains pirates sont capables de faire du reverse engeniering en comparant le programme initial et le patch pour trouver des possibilités de contournement. Les sociétés elligibles à ce programme seront uniquement celles qui produisent des solutions de défense et donc des produits conçus pour retarder les attaques, ou les détecter ou encore les dissuader, donc qui apportent une vraie valeur pour nos clients.

GS Mag : Pour conclure, quel est l’objectif de ces programmes ?

Cyril Voisin : Vous l’aurez bien compris notre volonté est d’élever le niveau de sécurité globale de la communauté. D’ailleurs, une seconde annonce complémentaire dans cet esprit sera dévoilée jeudi après-midi lors d’une de nos conférences qui aura lieu durant la Black Hat…