par Paul Niser - Mis en ligne le 11/03/2003
Les bogues logiciels font partie intégrante
du développement et frappent
tous les fournisseurs. Quelle que
soit la qualité des développeurs, le
nombre de bogues augmente proportionnellement
à la quantité de code.
De ce fait, des utilisateurs malveillants
trouvent un bon terrain pour leurs exploits
dans des OS comme Windows.Un service informatique a beaucoup
de mal à se tenir au courant des
correctifs Windows. Leur rythme est tel
qu'on a l'impression d'une équipe de voierie bouchant sans cesse des nids
de poules sur une portion d'autoroute
très fréquentée. Pour protéger vos systèmes,
il faut mettre au point une méthode
de connaissance des vulnérabilités
au fur et à mesure qu'elles sont
découvertes, déterminer si votre installation
est menacée, évaluer le niveau
de risque, décider quand il faut déployer
les correctifs et selon quel plan.
Gérer les correctifs de sécurité
Face à la fréquence des correctifs, il vous faut un moyen de suivre les derniers
« patches ». Les principaux médias
ne parlent que de ce qu’ils jugent
important ou croustillant – propagation
généralisée d’un nouveau virus,
par exemple. Mais l’information qui
vous aide à protéger vos systèmes ne
fait pas vendre des journaux et n’attire
pas les sponsors des émissions télévisées,
et vous ne pouvez donc pas
compter sur les grands médias pour
vous tenir au courant.
Mais alors, vers qui se tourner ? Le
site Web Security Administrator de Windows & .NET Magazine (http://
www.secadministrator.com) est un
bon point de départ. Vous pouvez
consulter les sections Discoveries and
Hot News, mais aussi souscrire à la
newsletter électronique Security UPDATE
gratuite et au e-mail Security
Alerts, lui aussi gratuit. Un autre site
Web pour apprendre des exploits de
sécurité est NTBugtraq de Russ
Cooper (http://www.ntbugtraq.com),
une liste de courrier ouverte pour présenter
les vulnérabilités reproductibles.
Vous pouvez figurer sur la liste
avec votre propre adresse e-mail ou
faire envoyer les bulletins à un dossier
public Microsoft Exchange Server. L’un
de mes sites Web favoris sur les ressources
des vulnérabilités de sécurité
est le Windows Security Digest
(http://www.sans.org/newlook/digests/
ntdigest.htm) mensuel de SANS
Institute.
Autre bonne source : HotFix &
Security Bulletin Service (http://www.
microsoft.com/technet/security/cur
rent.asp) de Microsoft. Sur ce site Web,
vous pouvez rechercher les correctifs
par produit et par niveau de pack de
service. La plupart des Security Bulletins donnent des détails techniques,
une liste de questions fréquentes
(FAQ), un article Knowledge
Base de soutien, et l’URL associée au
patch. Microsoft a également établi le
MSRC (Microsoft Security Response
Center) et constitué un groupe interne
chargé de répondre aux problèmes liés
à la sécurité. (Pour plus d’informations
sur le MSRC, voir l’encadré « Rôle de
Microsoft dans la sécurité ».)
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
