> Tech > Encadré : Rôle de Microsoft dans la sécurité

Encadré : Rôle de Microsoft dans la sécurité

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Microsoft est souvent pris à  partie dans la presse pour des bogues touchant à  la sécurité. C'est normal :Windows a une énorme base installée et les effets de ses vulnérabilités sont globaux. Aujourd'hui, Microsoft parle librement de nombreux bogues de sécurité, mais la firme n'a pas toujours été aussi ouverte

sur le sujet. Récemment encore, Microsoft mettait
plusieurs jours à  admettre des problèmes reproductibles, affirmant
souvent que les bogues étaient des « défauts de conception ».

Actuellement, Microsoft définit une vulnérabilité de sécurité comme
« un défaut dans un produit qui rend impossible – même en utilisant le
produit correctement – d’empêcher un assaillant d’usurper des privilèges
sur le système de l’utilisateur, de réguler son exploitation, de compromettre les données qui s’y trouvent, ou d’assumer une confiance
injustifiée. » Microsoft applique la définition à  tous les bogues signalés
ou détectés au MSRC (Microsoft Security Response Center).

L’adresse e-mail secure@microsoft.com est l’un des moyens par
lesquels Microsoft est informé des vulnérabilités de sécurité. Microsoft
considère que 1 % seulement de tous les messages envoyés à  l’adresse
secure sont suffisamment graves pour justifier une correction immédiate.
Le MSRC applique un processus formel à  chaque problème de sécurité
signalé par les utilisateurs. Le MSRC tente de reproduire le problème
et l’équipe de développement essaie de comprendre le problème et le
code concerné. L’équipe détermine le meilleur moyen de résoudre le
problème : contournement, pack de services ou correctif. Dans ce dernier
cas, l’équipe teste le correctif et elle le conditionne pour son déploiement.
Comme l’équipe a peu de temps pour tester les corrections, Microsoft
doit parfois envoyer deux correctifs successifs. Pour plus d’informations
sur le processus MSRC, aller à  http://www.microsoft.com/technet/treeview/
default.asp?url=/ technet/columns/security/essays/sectour.asp.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010