Bernard Ourghanlian (Microsoft) "Une faille nous coûte en moyenne 100 000 dollars"
Le directeur technique et sécurité France de l'éditeur revient sur les atouts de la méthodologie Security Development Lifecycle. Il décrypte aussi la mise à jour fatale de McAfee.
JDN Solutions. Comment contribuez-vous à la sécurisation du code des applications ?
Bernard Ourghanlian. Microsoft Word 14" name="Generator">
Dans la dernière version de notre étude sur la sécurité, le Secuirity Intelligence Report, il ressort que 90% des vulnérabilités identifiées ont concerné les applications en 2009, le solde se répartissant entre le navigateur et le système d'exploitation. Parallèlement, nous avons annoncé la disponibilité de la cinquième version de la méthodologie Security Development Lifecycle. Tout le monde peut l'utiliser, puisqu'elle est entièrement publique.
Ses évolutions sont de deux ordres. Elle supporte tout d'abord les méthodes de développement rapide comme l'Extreme programming, et d'autre part elle permet aux petits éditeurs ou aux entreprises qui ne disposent pas d'équipes de développement très étoffées de pouvoir l'appliquer sans beaucoup de difficultés. Cette méthode apporte des améliorations notables dans le processus de développement d'une application, en particulier en termes de sécurité.
Il ne faut pas perdre de vue que le fait de tirer vers le bas le coût des projets de développement applicatif en phase d'appel d'offres a souvent pour conséquence de déboucher au final sur un nombre très important de lignes de code pas suffisamment sécurisées. Or, la sécurité d'une application commence dès sa conception et ses premières lignes d'écriture. Nous voulons également sensibiliser les éditeurs au coût des failles de sécurité. Pour ce qui nous concerne, corriger une faille de sécurité nous coûte en moyenne 100 000 dollars.
"Nous avons été avertis une demi heure après la survenance du problème liée à la mise à jour McAfee"
La mise à jour McAfee ne vous aura pas échappé. Connaissez-vous réellement son ampleur ?
Il y a eu manifestement un nombre certain de problèmes en France même si le phénomène a été beaucoup plus marquée aux Etats-Unis. Nous avons été avertis très tôt de ce problème, à peine une demi heure après sa survenance chez nos clients. Ce problème a eu des conséquences très graves dans la mesure où les postes infectés ne pouvaient simplement plus démarrer ou bien subissaient des redémarrages intempestifs empêchant tout fonctionnement normal.
A priori, en France, il n'y a pas eu de véritable catastrophe, mais aux Etats-Unis nous ne serions pas étonnés de savoir que plusieurs millions de machines aient été touchées. Cette mauvaise mise à jour de la base de signatures de l'antivirus identifiait malheureusement en tant que virus un exécutable essentiel de Windows avec pour conséquence soit de le supprimer, soit de le mettre en quarantaine et de rendre le poste de travail inopérant.
Le seul palliatif a donc consisté, du moins dans un premier temps, à faire le tour des postes un par un, de les démarrer en mode console pour replacer le fichier Windows critique au bon emplacement.
Pourquoi avoir stoppé la vente de Forefront Protection Manager en stand alone ?
Ce qui a été arrêté précisément c'est la commercialisation de la console de gestion unifiée de l'ensemble des produits de sécurité de la gamme Forefront. Nous avons pris la décision de la décliner à un niveau local et applicatif en l'intégrant notamment à SharePoint et Exhange. Si nous avons fait ce choix, c'est pour répondre aux attentes de nos clients qui sont de plus en plus nombreux à s'intéresser au cloud et à notre gamme Online.
En proposant une console de gestion verticalisée, par applications, on s'affranchit du fait qu'elle soit fournie en mode internalisé sur serveurs ou bien hébergée dans le cloud. Que l'entreprise ait 10 000 utilisateurs en mode internalisé ou bien 3 000 dans le cloud, cela n'aura donc aucun impact en termes de tarification de licences.
Bernard Ourghanlian est directeur technique et sécurité chez Microsoft France.