Microsoft : informer précisément les gouvernements sur les failles

19 05 2010


Microsoft a un roulement assez simple dans sa communication au sujet des failles de sécurité que l’on trouve dans ses produits. Chaque deuxième mardi de chaque mois, l’éditeur publie une série de correctifs accompagnés des niveaux de dangerosité ainsi que des détails sur l’exploitation des vulnérabilités. Mais la firme a décidé d’aller plus loin avec les instances gouvernementales pour offrir un niveau de détail supplémentaire.

Le programme portait jusqu’à présent le nom de code Omega et consiste donc à prévenir les autorités nationales concernées à propos des failles dans les produits Microsoft. Pourquoi ? Parce que les gouvernements et les structures officielles emploient souvent des produits de la marque. Elles disposent de cellules dédiées à la sécurité qui réclament régulièrement des données complémentaires, ou simplement avant les autres, du fait de la sensibilité des informations traitées.

Le projet aboutit sous la forme du « Defensive Information Sharing Program » (DISP). Il s’agit d’un canal d’informations privilégié entre Microsoft et les instances concernées. Comme l’explique Steve Adegbite, responsable en chef des programmes de sécurité chez Microsoft, les informations seront données après les cycles d’enquêtes et de recherches de solution pour qu’elles soient pertinentes. Les données seront ensuite transmises aux entités membres du DISP un peu avant la publication des correctifs.

Parallèlement, un autre programme, baptisé « Critical Infrastructure Partner Program » (CIPP), va permettre aux partenaires intéressés de bénéficier eux aussi d’informations plus précises sur les politiques de sécurité, y compris les stratégies ou les approches de l’aide fournie, pour mieux cerner les protections autour des infrastructures critiques.

Les deux programmes sont pour l’instant à l’état de pilotes et ne sont donc pas finalisés dans leur fonctionnement. Il n’est pas dit finalement que tous les bénéficiaires aient davantage d’informations que ce qu’ils pouvaient avoir jusqu’à présent. Il s’agirait plutôt de mettre en place un flux automatique et cohérent de distribution, de manière systématique.

Publicités

Actions

Information

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s




%d blogueurs aiment cette page :