Sécurité
Les entreprises ne supportent plus les failles applicatives
Les responsables sécurité donnent leur opinion sur la façon dont les éditeurs gèrent les failles. On frise le carton rouge. (Lundi 8 juillet 2002)
     

Monsieur X découvre une faille critique dans un logiciel très utilisé, doit-il se taire ou le crier sur la place publique ? Doit-il collaborer discrètement avec l'éditeur, ou sortir le "goudron et les plumes" pour humilier in peto les développeurs du soft en question ? Ce débat divise depuis longtemps les créateurs de logiciels et les compagnies de sécurité, qui ont tous deux des intérêts considérables à défendre : l'éditeur gagnerait à ce qu'un patch soit disponible au moment même où la faille est rendue publique, afin de limiter le scandale ; et la compagnie de sécurité, comme le pirate, préféreraient se faire mousser avant que quelqu'un d'autre ne le fasse à leur place.

L'avis des principaux intéressés
Prenons un peu d'altitude : que devient le débat lorsque l'on s'éloigne des intérêts corporatistes ? La réponse des entreprises est claire, et elle a été recuillie par une étude du
Hurwitz Group : 80 % des 300 professionnels de la sécurité interrogés se prononcent pour la publicité immédiate des failles - en d'autres termes pour la solution du goudron et des plumes. Les sondés ont pleinement conscience des implications de leur choix : ils se prononcent pour que les failles soient révélées avant même que les éditeurs ne mettent à leur disposition un patch, instantanément (dans 39 % des cas) ou dans la semaine (28 %).

Un choix étonnant que celui de ces spécialistes qui doivent protéger au quotidien leurs systèmes d'information, rendus forcément plus vulnérables lorsqu'une faille critique les affectant n'a pas été corrigée. Mais ce choix n'est pas complètement dépourvu de cohérence : la moitié des sondés qui se déclarent pour la révélation immédiate des failles le font par dépit, dans le but avoué d'embarrasser les éditeurs. A leurs yeux, c'est là la seule façon de forcer les fabriquants de logiciels à réagir, et à corriger leurs failles.

Insatisfaction généralisée
Derrière ce mouvement d'humeur, une réalité bien tangible : le faible niveau de qualité de certaines applications, que les professionnels de la sécurité - selon cette étude - ont beaucoup de mal à avaler. Ce problème les oblige à maintenir une veille constante sur l'étanchéïté de leurs systèmes d'information : "Les utilisateurs finaux sont clairement fachés par l'attitude des fabriquants, qui lancent des applications qui ne sont pas sûres, et qui ne réagissent pas par la suite quand les failles sont détectées" - révèle l'étude.

Ce désenchantement en dit long sur la confiance des professionnels quant à la volonté des éditeurs de corriger leurs failles, surtout lorsqu'elles ne sont pas connues du
grand public. L'opinion des professionnels de la sécurité prouve en tout cas que les efforts consentis par certains grands éditeurs, Microsoft en particulier, n'ont pas convaincu. Selon l'étude du Hurwitz Group, certaines enteprises seraient même décidées à traîner certains éditeurs en justice ... Le chemin est encore long sur la voie du logiciel sans défaut, et les consommateurs finaux demandent aux éditeurs un effort beaucoup plus franc.
[Nicolas Six, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY