L’équipe sécurité avec de gauche à droite : Pascal Saulière, Vélina Coubes, Mathieu Malaise et Cyril Voisin

GSM : Pouvez-vous nous dresser un panorama de la sécurité chez Microsoft ?

Cyril Voisin : Aujourd’hui, la sécurité est devenu une fonction à part entière dans chaque logiciel. C’est ce que nous appelons Security Development Lifecycle (SDL). En fait, nous avons pris en compte la sécurité dés la phase de conception et de développement de nos produits. L’amélioration de la sécurité de nos produits est mesurable en termes de nombre de vulnérabilités, même si bien entendu il en reste toujours dans tous les produits. Les rapports sur le nombre de vulnérabilités trouvés la première année de mise sur le marché montre que VSITA est bien inférieur à la moyenne. Je vous rappelle qu’aucune vulnérabilité n’a été découverte sur SQL Serveur 2005 et sur la version précédente depuis au moins 3 ans.

GSM : Comment expliquez-vous ces améliorations ?

Cyril Voisin : Ceci est du au fait que nous demandons à nos développeurs de modéliser les menaces et d’y répondre. De plus, nous faisons des tests de revue de codes par les meilleurs experts du monde comme par exemple David Litchfield. Nous travaillons aujourd’hui pour qu’une démarche soit mise en œuvre chez tous les éditeurs.

GSM : Quels sont les nouveaux produits que vous annoncez sur ces TechDays ?

Cyril Voisin : Nous présentons toute notre gamme de solutions de sécurité avec ForeFront, Windows Server 2008, Visual Studio 2008 et SQL Server 2008. Dans Visual Studio 2008, nous avons inclus des outils de développement sécurisés issu de l’expérience de SDL. Il y a aussi des nouveautés liées au chiffrement par ligne et par colonnes dans les bases de données. Il y a tous les « grands classiques » qui permettent de réduire les fenêtres d’exposition aux attaques. Windows serveur 2008 capitalise sur les avancées de VISTA SP1 et va plus loin avec l’installation de CORE qui permet de faire une installation à minima sans Internet Explorer. Nous y avons intégré une solution de gestion des données, du contrôle d’accès, de la protection des données et des réseaux. Au niveau de la gestion des identités nous avons mis de la PKI, de la fédération et fait évoluer Active Directory pour mieux protéger les données sensibles avec une solution de lecture seule des informations. Ainsi, nous avons chiffré le disque dur avec une puce TPM (Trust Plateforme Mobile). Il y a une sorte de co-processeur qui fait office de coffre-fort où la clé y est stockée. Ainsi, lors du démarrage de l’ordinateur notre système appelé Bitlocker vérifie l’intégrité des fichiers de démarrage. Si tout est conforme le coffre-fort s’ouvre et va chercher la clé qui va débloquer toutes les autres applications.
Au niveau de la gestion des droits numériques en entreprise, nous avons le RMS qui permet une protection persistante des données où que se trouve l’utilisateur.

Au niveau de la protection du réseau nous avons NAP. Il accroît la sécurité en prenant des décisions en fonction de l’état de santé des PC qui se connectent par tous types de moyens : câble, Wi-Fi, VPN… C’est ce que j’appelle la couche santé.

GSM : Justement où en est NAP ?

Cyril Voisin : Il est aujourd’hui disponible sur Windows Server 2008. Aujourd’hui plus d’une centaine de partenaires sont entrain de présenter NAP en démontrant qu’il permet de capitaliser sur leurs investissements passés. Sogeti a une véritable expertise dans ce domaine et a démontré sur son stand la pertinence de NAP appliqué au SI.

GSM : Pour conclure quel serait votre message ?

Cyril Voisin : Il faut essayer NAP en ne perdant pas de vue que sa mise en œuvre n’est pas que technique mais doit permettre la formation des utilisateurs. Il faut procéder par étape afin de faire comprendre son utilité. Je dirais aussi aux développeurs de se former à la sécurité. Assurez-vous que vos développements intègrent des processus de sécurité. Enfin, n’oubliez pas que SQL Server est devenu une référence en termes de sécurité !