Philippe BERAUD Consultant Architecte Microsoft France [email protected].
Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Vers une informatique digne de confiance…...
-
Upload
valentin-ollivier -
Category
Documents
-
view
104 -
download
0
Transcript of Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Vers une informatique digne de confiance…...
Journée pratique e-Gouvernement
Lausanne, 12 mai 2004
Vers une informatique digne de confiance…
Vincent RullierVincent [email protected]@microsoft.com Ingénieur Avant-VenteIngénieur Avant-VenteMicrosoft Suisse SarlMicrosoft Suisse Sarl
Lausanne, 12 mai 2004
Ordre du jourOrdre du jour
• ActualitéActualité
• Informatique de confianceInformatique de confiance
• Un long cheminUn long chemin
• Des partenariatsDes partenariats
• Les actions de Microsoft en SuisseLes actions de Microsoft en Suisse
Lausanne, 12 mai 2004
Lausanne, 12 mai 2004
Lausanne, 12 mai 2004
La sécurité est notre priorité #1.
« La solution » n’existe pas.
De nouvelles techniques doivent être mises au point.De nouvelles techniques doivent être mises au point.
151151180180
331331
Welchia/ Nachi
Nimda Blaster
2525SQL
Slammer
Journées entre le Journées entre le correctif et l’attaquecorrectif et l’attaque
Le temps s’accélère…Le temps s’accélère…
Sasser
1818
Lausanne, 12 mai 2004
L’informatique de confianceL’informatique de confiance
• Rendre l’informatique Rendre l’informatique aussi simple et fiable aussi simple et fiable que l’eau ou l’électricitéque l’eau ou l’électricité
• Une priorité absolueUne priorité absoluepour Microsoftpour Microsoft
• Nécessite l’adhésion Nécessite l’adhésion et l’implication de toute et l’implication de toute l’industrie informatiquel’industrie informatique
• Changement culturel :Changement culturel :privilégier la sécurité par privilégier la sécurité par rapport aux fonctionnalitésrapport aux fonctionnalités
Lausanne, 12 mai 2004
Les nouveaux défis de l’informatiqueLes nouveaux défis de l’informatique
• Nouvelles menaces Nouvelles menaces • Environnement en constante évolutionEnvironnement en constante évolution
• ComplexitéComplexité
• VecteursVecteurs
• VolumeVolume
• Motivation et impactMotivation et impact
Les réponses traditionnelles ne sont pas adaptéesLes réponses traditionnelles ne sont pas adaptées
Lausanne, 12 mai 2004
La sécurité dans un monde complexeLa sécurité dans un monde complexe
Architecturesécurisée
HommesEnterpriseAdministrator
Domain
Admin
. User
Admin.
SystemManager
Service/Support
Developer
Utilisateur
ArchiveAccessPolicy
Inst
all
Repair
Event
Man
agem
ent
Performance
Management
Change/
Configuratio
n
Management
Proc
essu
s
Backup
Restore
IncidentResponse
Mic
roso
ft
Ope
ratio
ns
Fram
ewor
k
Risk
Asses
smen
t
TechnologiesWindows 2000/XP/2003
Active Directory
Service PacksHot F
ixes
IPSEC
Kerberos
PKI
Distrib
uted
File S
ystem
Encrypting
File System
SSL/TLS
Clustering
Intru
sion
Detectio
nSMS
MOM
ISA
Virus Scanner
GPO
Lausanne, 12 mai 2004
Lausanne, 12 mai 2004
La sécurité – SDLa sécurité – SD33 + C + C
Engagement clair sur la sécuritéMembre à part entière de la communauté de la sécurité
Microsoft Security Response Center
Communications
Secure by Design
Architecture sécuriséeFonctionnalités « conscientes » de sécuritéRéduction des vulnérabilités dans le code
Secure by Default
Réduction de la surface d’attaqueFonctionnalités inutilisées hors service par défautBesoin minimum en privilèges
Secure in Deployment
Protéger, détecter, défendre, récupérer, gérerProcessus : How to’s, guides d’architectureFormer les Femmes et les Hommes !
Lausanne, 12 mai 2004
Nos progrès à ce jour avec SD3+CNos progrès à ce jour avec SD3+C
Nouveau système de notation du MSRCNouveau système de notation du MSRC VIA, amélioration du processus de réponseVIA, amélioration du processus de réponse www.microsoft.com/france/protection, SRK V4.1, SRK V4.1
Windows Server 2003, SQL Server 2000 SP3Windows Server 2003, SQL Server 2000 SP3 Exchange, Visual Studio.Net, Office 2003Exchange, Visual Studio.Net, Office 2003 Toutes les nouvelles versions cette année !Toutes les nouvelles versions cette année !
WS2K3 : 60 % de surface d’attaque en moinsWS2K3 : 60 % de surface d’attaque en moins Plus de 20 services hors service par défautPlus de 20 services hors service par défaut IIS 6.0 LockdownIIS 6.0 Lockdown
Hardening GuidesHardening Guides pour WS2K3, WS2K pour WS2K3, WS2K Guide to Security Patch ManagementGuide to Security Patch Management SMS 2003, SUS, MBSASMS 2003, SUS, MBSA
Secure by Secure by DesignDesign
Secure by Secure by DefaultDefault
Secure in Secure in DeploymentDeployment
CommunicationsCommunications
Lausanne, 12 mai 2004
Amélioration de la qualitéAmélioration de la qualité
Bulletins de sécurité « importants et critiques »Bulletins de sécurité « importants et critiques »
Jours après la disponibilité
Nom
bre
de b
ulle
tins
Lausanne, 12 mai 2004
Windows et les autres systèmes Windows et les autres systèmes d’exploitationd’exploitation
Mais cela n’est Mais cela n’est pas encore pas encore satisfaisant !satisfaisant !
Source: sites web des sociétésSource: sites web des sociétés
33 34 37
51
67
86 86 87
124Nombre de bulletins de sécurité en Nombre de bulletins de sécurité en 20022002
TrustixTrustix1.51.5
DebianDebianEnGarde EnGarde SunSun(OS)(OS)
Mandrake Mandrake 8.x8.x
00
2020
4040
6060
8080
100100
120120
RedHatRedHat7.27.2
WindowsWindows20002000
WindowsWindowsXPXP
SuSESuSE
00 101022 44 66 88 1212
MicrosoftMicrosoft(OS)(OS)
55
RedhatRedhat(OS)(OS)
SolarisSolaris 1212
CERT AdvisoriesCERT Advisories par OS 2002 par OS 2002
1212
Nombre de bulletins de sécurité par Nombre de bulletins de sécurité par système d’exploitation jusqu’au système d’exploitation jusqu’au
19 décembre 200319 décembre 2003
Lausanne, 12 mai 2004
Microsoft : leader responsableMicrosoft : leader responsable
En tant que leader au sein En tant que leader au sein de cette industrie, de cette industrie,
Microsoft a une obligation Microsoft a une obligation spéciale pour assurer la spéciale pour assurer la sécurité de l’Internet et sécurité de l’Internet et celle des données de ses celle des données de ses
clientsclients
Lausanne, 12 mai 2004
Lausanne, 12 mai 2004
SpamSpamInitiative Coordonnée de Réduction du SpamInitiative Coordonnée de Réduction du Spam
• Trois propositions à la communauté de l’Internet Trois propositions à la communauté de l’Internet pour un filtrage plus efficace : pour un filtrage plus efficace :
• Authentifier l’auteur d'un courrier électronique en Authentifier l’auteur d'un courrier électronique en utilisant la technologie « Caller ID »utilisant la technologie « Caller ID »
• Définir des règles de conduite pour les expéditeurs de Définir des règles de conduite pour les expéditeurs de messages en volumemessages en volume
• Créer des alternatives d'identification viables pour les Créer des alternatives d'identification viables pour les expéditeurs de petits volumesexpéditeurs de petits volumes
Plus d’informations : Plus d’informations : www.microsoft.com/spamwww.microsoft.com/spam
Lausanne, 12 mai 2004
Un effort à long termeUn effort à long terme
0101 0202 0303 0404 0505 0606 0707 0808 0909 1010
Nouvelle infrastructure, nouvelle culture Nouvelle infrastructure, nouvelle culture Réalisation Réalisation de TWCde TWC
Mémo de Bill GatesMémo de Bill GatesUne Une nouvelle nouvelle attentionattention
XP SP1, 2003 Server, Standards WSXP SP1, 2003 Server, Standards WSDébut du Début du déploiementdéploiement
Longhorn, DRM, NGSCBLonghorn, DRM, NGSCBNouvelles Nouvelles briquesbriques
Lausanne, 12 mai 2004
PartenariatsPartenariatsStandardsStandards
Lausanne, 12 mai 2004
Partenariat avec les Partenariat avec les fournisseurs d’accèsfournisseurs d’accès
Lausanne, 12 mai 2004
Partenariat avec les Partenariat avec les fournisseurs d’anti-virusfournisseurs d’anti-virus
Lausanne, 12 mai 2004
Le point en mai 2004Le point en mai 2004
• Windows XP SP2Windows XP SP2• Mise à jour majeure pour la sécurité : pare-feu, Mise à jour majeure pour la sécurité : pare-feu,
automatisation des mises à jour, …automatisation des mises à jour, …
• Windows Update ServicesWindows Update Services• Système automatisé de déploiement des mises à Système automatisé de déploiement des mises à
jour de sécuritéjour de sécurité
• Exchange Intelligent Message Filter Exchange Intelligent Message Filter • Filtre anti-spam pour Exchange 2003Filtre anti-spam pour Exchange 2003
• Tous ces produits seront disponibles d’ici l’étéTous ces produits seront disponibles d’ici l’été
Lausanne, 12 mai 2004
L’initiative sécurité en SuisseL’initiative sécurité en Suisse
• Site Sécurité -> information, préventionSite Sécurité -> information, prévention • Expertise techniqueExpertise technique
• InfosuranceInfosurance
• Offres partenairesOffres partenaires
• Formations et webcasts -> prévention, aideFormations et webcasts -> prévention, aide
• Notification en cas d’urgence -> préventionNotification en cas d’urgence -> prévention
Lausanne, 12 mai 2004
Site sécuritéSite sécurité pour les entreprises pour les entreprises
Site Sécurité central sur le portail de Site Sécurité central sur le portail de Microsoft SuisseMicrosoft Suisse ::
• avec possibilité d’alerte par courrier avec possibilité d’alerte par courrier électronique en cas de virusélectronique en cas de virus
• avec offres de partenaires sur le avec offres de partenaires sur le thème de la sécuritéthème de la sécurité
• http://www.microsoft.com/shttp://www.microsoft.com/switzerland/fr/security/businwitzerland/fr/security/business/default.aspess/default.asp
Lausanne, 12 mai 2004
http://www.infosurance.ch/http://www.infosurance.ch/
Lausanne, 12 mai 2004
Recommendations pour les particuliersRecommendations pour les particuliers
Campagne „Protégez votre PC“Campagne „Protégez votre PC“
http://www.microsoft.com/switzerland/fr/protect/default.asp
Lausanne, 12 mai 2004
Proposition de loi fédéraleProposition de loi fédérale
• 17.3.200417.3.2004, , Microsoft s’engage en faveur de Microsoft s’engage en faveur de prescriptions légales contre les e-mails non prescriptions légales contre les e-mails non sollicitéssollicités
Microsoft Suisse défend auprès du Parlement fédéral l’adoption de Microsoft Suisse défend auprès du Parlement fédéral l’adoption de dispositions légales générales contre l’envoi en masse de messages dispositions légales générales contre l’envoi en masse de messages électroniques non sollicités (spamming). Cette société a donc électroniques non sollicités (spamming). Cette société a donc présenté aujourd’hui à Berne avec des parlementaires un projet de loi présenté aujourd’hui à Berne avec des parlementaires un projet de loi dans ce sens, mais allant beaucoup plus loin que la réglementation dans ce sens, mais allant beaucoup plus loin que la réglementation proposée par le Conseil fédéral dans sa Loi sur les proposée par le Conseil fédéral dans sa Loi sur les télécommunications (LTC). Cette proposition est soutenue par télécommunications (LTC). Cette proposition est soutenue par d’importants fournisseurs de cyberservices suisses.d’importants fournisseurs de cyberservices suisses.
Lausanne, 12 mai 2004
Les règles d’orLes règles d’or
1.1. Au niveau organisationnelAu niveau organisationnel Définir les responsabilités et mettre en place des processusDéfinir les responsabilités et mettre en place des processus
2.2. Au niveau informatiqueAu niveau informatique Authentifier les accès et sauvegarder les données Authentifier les accès et sauvegarder les données Déployer un antivirusDéployer un antivirus Protéger les connexions InternetProtéger les connexions Internet Déployer rapidement les correctifs logicielsDéployer rapidement les correctifs logiciels
3.3. Au niveau des hommesAu niveau des hommes Définir des directives pour les utilisateursDéfinir des directives pour les utilisateurs Sensibiliser tout le personnelSensibiliser tout le personnel
Lausanne, 12 mai 2004
Les points à retenirLes points à retenir
• Pour chaque administration, la sécurité Pour chaque administration, la sécurité informatique est un risque majeur qu’il faut informatique est un risque majeur qu’il faut évaluer et auquel il faut répondreévaluer et auquel il faut répondre
• Microsoft a mis et continuera à placer la Microsoft a mis et continuera à placer la sécurité au centre de ses produitssécurité au centre de ses produits
Journée pratique e-Gouvernement
Lausanne, 12 mai 2004
© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.