Stratégie sécurité de Microsoft : bilan et perspectivesBernard OurghanlianChief Technology & Security Officer Microsoft France

Engagement pour l’interopérabilité centrée autour de nos clients Leader reconnu au sein de l’industriePartenaire d’envergure internationaleOuvert, transparent

Service prévisible, cohérent et disponibleMaintenable, facile à configurer et à gérer Résilient, fonctionne malgré les changementsRécupérable, facile à restaurerProuvé, prêt à fonctionner

Protection contre les attaquesProtéger la confidentialité, l’intégrité et la disponibilité des données et des systèmes

Gérable

Protection contre la divulgation non désirée d’informationsContrôle du caractère privé de l’informationLes produits, les services adhèrent à des principes de loyauté en matière d’information

Virus, spyware et versBotnets (réseaux de machines zombies) et rootkitsPhishing et fraude

Déployer les mises à jour de sécuritéIdentifier et configurer les systèmesFaire respecter la politique de sécurité

Gestion des identités et contrôle d’accèsGestion des accès dans l’entreprise étendueRisque sécurité des PC non gérés

Conformité réglementaireDévelopper et mettre en œuvre des politiques de

sécuritéRapports et responsabilité

Prévention contre les logiciels malveillants

Pratiques métier

Mise en œuvre de la défense

en profondeur

Gestion de lasécurité

Les grands défis actuels

Une plateforme fondamentalement sécurisée renforcée par des produits de sécurité, des services et des conseils permettant d’aider nos clients à rester hors de danger

Investissementstechnologiques

Excellence dans les fondamentauxInnovations en sécurité

Conseilsprescriptifs Partenariats

Bonnes pratiques, livres blancs et outilsRéponse aux incidents

Prise de conscience et éducation via des partenariats et collaborationsPartage d’informations sur le paysage des menaces

Stratégie sécurité de Microosoft

Plus de 288 millions de copies distribuéesSignificativement moins susceptible d’être infecté par un logiciel malveillant

Service Pack 2 Service Pack 1

Plus de 4,7 millions de téléchargementsPlus sécurisé lors de la conception; plus sécurisé par défaut

Aide à la protection contre les spywares ; inclus dans Windows VistaTéléchargement le + populaire de l’histoire de Microsoft; protège plus de 28 millions de clients

3.4 milliards d’exécutions ; 19 millions de désinfectionsA permis de réduire de manière spectaculaire le nombre d’infections par bot

En Mai 2006

Quelques progrès

MicrosoftBaseline Security Analyzer 2.0

Microsoft Update

Mises à jour automatiques

A la maison

Petites entreprises

Entreprises moyennes

Grandes Entreprises

Avancées au niveau des mises à jour

Security Development LifecycleProcessus et standard d’entreprise pour la sécurité lors de la conception et du développementPromu en interne via des formationsVérifié par audit avant la sortie du produitOuvrage « The Security Development Lifecycle »

Partagé avec les éditeurs et partenaires développeursDocumentation et formationCycles d’apprentissage de la sécuritéImplication communautaire active

Automatisé avec les outils de Visual Studio

PREfastFxCop

Ingénierie pour la sécuritéInvestissement

stechnologiques

ConceptionDéfinir les directives d’architecture et de conception de la sécuritéDocumenter les éléments de la surface d’attaque du logicielModélisation des menaces

Standards, bonnes pratiques, et outils

Appliquer les standards de dévelop-pement et de testUtiliser les outils de sécurité (fuzzing, analyse statique,…)

Push sécuritéRevues de codeTests de sécuritéRevue des nouvelles menacesConformité avec les critères de sortie

Revue de sécurité finale

Revue indépendante conduite par l’équipe sécuritéTests de pénétrationArchivage des informations de conformité

Sortie et déploiement

Réponse sécurité

Plan et processus en placeBoucle de retour vers le processus de développementPost-mortem

Démarragedu produit

Assigner un conseiller en sécuritéIdentifier les étapes clés pour la sécuritéPlanifier l’intégration de la sécurité dans le produit

Prérequis Conception Mise en œuvre

Vérification Sortie Réponse

Security Development Lifecycle

Investissements

technologiques

18

Bulletins depuis la sortie de la version TwC

Service Pack 3

Bulletins durant la période avant la sortie

16

3

SQL Server 2000 SP3 sorti le 17/1/2003

2003

109

77

20

La focalisation donne des résultats

Bulletins important + critiquesémis après la sortie du produit

Sorti le29/11/2000

Sorti le28/09/2003

* Au 10 octobre 2006

1265 jours après la sortie du produit

Sorti le31/05/2001

Sorti le17/11/2003

Bulletins 1058 jours après la sortie du produit

Investissements

technologiques

La focalisation donne des résultats

Quand on compare Windows Server 2003 à Windows 2000 Server, l’intérêt de SDL et de la défense en profondeur est assez évident : en 2006, Windows Server 2003 a eu 40 % de bulletins critiques de moins que Windows 2000 ; ces bulletins ont adressé 50 % de vulnérabilités critiques en moins avec Windows Server 2003 qu’avec Windows Server 2000.Microsoft a émis un seul bulletin de sécurité concernant IIS6 pendant les 3 dernières années à comparer avec les 44 vulnérabilités corrigées pour IIS5 pendant les mêmes 3 ansIl y a eu une diminution significative du nombre de mises à jour de sécurité pour SQL Server 2000 SP3 par rapport aux versions antérieuresIl n’y a eu, à ce jour, aucune mise à jour de sécurité concernant SQL Server 2005

Pendant l’année 2006, nous avons publié un nombre de bulletins de sécurité plus élevé qu’en 2005 (148 versus 85)  L’essentiel de cette augmentation provient des applications : 45 contre 5

Investissements

technologiques

Conseils

Outils de développement

Gestion des systèmesActive Directory

Federation Services (ADFS)

Gestion desidentités

Services

Protectiondes informations

Encrypting File System (EFS)

BitLocker™

Network Access Protection (NAP)

OS Client et Serveur

Applicationsserveurs

Périmètre

Offre complète de sécuritéInvestissement

stechnologiques

Ingénierie pour la sécurité

Renforcement des services Windows

Sécurité du noyau

Processus SDL (Security Development Lifecycle) amélioréModélisation des menaces et revues de codeCertification selon les Critères Communs (CC)

Exécute les services avec des privilèges réduitsLes services ont des profils d’activités autorisées pour le système de fichiers, le registre et le réseau (règles de pare-feu et permissions)

Rendre plus difficile le camouflage de rootkitsSignature de pilotes x64

Obligatoire pour les pilotes en mode noyau

Protection contre la modification du noyau

Protection contre les détournements sauvages du noyau par applications

Plateforme fondamentalement sécurisée

Investissements

technologiques

Atténuation des menaces et des vulnérabilités

Prévention Isolation Récupération

Forefront Client SecurityWindows DefenderPrévention de l’exécution des données (DEP) et Address Space Layout Randomization (ASLR)

Virtual PC et Virtual ServerPare-feu WindowsIPsecIE en mode protégéNAPISA Server

Sauvegarde et restauration de fichiersSauvegarde d’une image CompletePC™Restauration du systèmeSystem Center Data Protection ManagerVolume Shadow CopiesVolume Revert

Arrêter les attaques connues et inconnues

Limiter l’impact des attaques

Restaurer vers un état connu comme bon

Protection contre les logiciels malveillants et les intrusions

Investissements

technologiques

Indique le statut des paramètres et logiciels de sécuritéSurveille plusieurs solutions de sécurité de multiples fournisseurs et indiques celles qui sont activées et à jour

Pare-feu bidirectionnel; activé par défautComposant clé pour le renforcement de serviceIntégration IPsecPeut être désactivé par un pare-feu tiers

Détection et suppression des spywares et autres logiciels indésirablesProtection des points d’extensibilité du système d’exploitation

Protège contre les dommages occasionnés par l’installation d’un logiciel malveillantProcessus IE « isolé » pour protéger l’OSConçu pour la sécurité et la compatibilité

IE en mode protégé

Windows Defender

Pare-feuWindows

Centre de sécurité Windows

Protection contre les logiciels malveillants

Investissements

technologiques

Définition et respect d’une politiqueProtège l’information tout au long de son parcoursNouveau : client RMS intégré dans Windows VistaNouveau : protection de bibliothèques de documents dans SharePoint

Chiffrement de fichiers et de dossiers par utilisateurNouveau : possibilité de stocker les clés EFS dans une carte à puce avec Windows Vista

Protection des données grâce au matérielFournit un chiffrement intégral de volumeScénarios pour portables ou serveursNouveau : disponible avec Windows Vista

Protection des données Investissements

technologiques

Authentification

Contrôle des comptes d’utilisateurs (UAC)

Network Access Protection (NAP)

Nouvelle architecture remplaçant GINAIntégration de cartes à puceSupport natif de cartes à puceAuthentification forte

Exécution en tant qu’utilisateur standard plus facileContrôle parentalMeilleure protection pour les administrateurs

Assure que seules les machines « saines » peuvent accéder aux données de l’entreprisePermet aux machines « non saines » d’être mises en conformité avant d’obtenir l’accès

Accès sécuriséInvestissement

stechnologiques

Permettre un accès sécurisé aux utilisateurs légitimes fondé sur une politique

Écosystème de confiance

Gestion des lettres de créance

Accès et autorisation

Active Directory Federation ServicesADAM et AZManWindows CardSpace™ (autrefois InfoCard)Microsoft Identity Integration Server (MIIS)

Certificate Lifecycle ManagerServices de CertificatsItinérance des lettres de créance

Contrôle d’accès basé sur les rôlesAméliorations de l’audit Windows

Gestion des identités et des accès

Investissements

technologiques

OS Client et Serveur

Applicationsserveurs

Périmètre

Microsoft Forefront fournit une protection et un contrôle améliorés de la sécurité de l’infrastructure réseau de votre entreprise

Investissements

technologiques

Périphériques Windows Mobile 5 avec MSFP interagissent directement avec Exchange Server 2003 SP2

Sécurité du périphériqueApplication d’une politique de code PINEffacement du périphérique (local ou à distance)Authentification par certificat pour messagerie sécuriséeGestion et mise en œuvre à distance des politiques d’entreprise (over the air)Server Sync – recevoir des e-mails, quand et où vous le voulez

Terminaux et sécurité en entreprise

Investissements

technologiques

Outils et fonctionnalités innovantes pour développer du code sécurisé

Créer des applications non-admin

Analyse statique

Code sécurisé

Fonctionnalités avancées pour créer des applications suivant le principe du moindre privilègeCréez des applications pour une zone personnalisée de manière transparenteDebug-in-zone & calculateur de permissions

Analysez votre code à la recherche de vulnérabilités de sécuritéOutils capables de trouver certains types d’erreurs dans le codeFxCop & PREfast

Développez du code plus sécuriséOutils pour aider à réduire de manière significative le nombre de défauts de sécurité dans les applicationsOption /GS & Safe CRT Libraries

Nouveaux outils de sécurité dans Visual Studio

Investissements

technologiques

www.microsoft.com/security/guidance

Outils de sécurité

Éducation et formation

Être prêt à la sécurité

Livre Security Development Lifecycle Cycles

d’apprentissage de la sécurité

Conseils prescriptifs

Points de vue (en anglais) de l’équipe du MSRCMises à jour sur les nouvelles, activités, annonces ou menaces récentes liées à la sécuritéhttp://blogs.technet.com/msrc/

Blogdu MSRC

Complémente les bulletins de sécuritéFournit les premières informations à propos de vulnérabilités, facteurs atténuants, solutions de contournementMis à jour au cours d’un incident avec de nouvelles informations

Avis desécurité

Gérer et résoudre les vulnérabilités et incidents de sécurité

Publiés pour chaque mise à jour de sécurité MicrosoftFacteurs atténuants et solutions de contournement pour les vulnérabilités corrigéesDistribution et conseils pour le déploiementNiveau de sévérité (Critique, Important, Modéré, Faible)

Bulletinsde sécurité

Microsoft Security Response Center

Forces de policeet de gendarmerie Politique

publique

Partenariatsindustriels

Sensibilisationdu grand public

Partenariats

Serv

ice

sP

late

form

eP

rod

uit

s

Windows Live OneCareExchange Hosted Services Windows Live Safety CenterWindows Live ID

ISA Server 2004Microsoft AntigenWindows Rights Management ServicesMicrosoft Identity Integration Server 2003Data Protection Manager 2006

Windows XPSP2Windows Server 2003 SP1Outils Anti-malwareMicrosoft UpdateWindows Server Update ServicesEncrypted File SystemActive Directory Federation Services Certificate Services

Prochaine génération de services

Ligne Forefront Server SecurityForefront Client SecurityISA Server 2007MIIS « Gemini »Microsoft Certificate Lifecycle ManagerActive Directory Rights Management ServicesServices de filtrage de contenu Forefront

Windows VistaWindows DefenderBit LockerCardSpaceInternet Explorer 7 Windows Server “Longhorn” Network Access ProtectionActive Directory Certificate Services

PlanningMaintenant 2006/2007

En direct de …

Annonce d’Identity Lifecycle Manager 2007Windows CardSpace et démonstration de la preuve de concept de Wachovia BankSupport de la validation étendue pour les certificats SSL avec IE7 par des partenaires en autorité de certification (12 dont VeriSign)Nouveaux partenaires pour le filtre anti-phishing (MySpace, NetCraft, etc.)Beta publique : Forefront Server Security Management Console

Identity Lifecycle Manager 2007

Synchronisation des identitésFournit une seule vue d’un utilisateur au sein de l’entrepriseAssure automatiquement la cohérence des identités

Regroupe méta-annuaire, gestion des certificats et provisionnement des utilisateurs au sein d’un seul package

Provisionnement des utilisateursAutomatise le processus d’arrivée et de départ des utilisateursSimplifie la conformité grâce à le gestion automatique des identitésRend obligatoire la cohérence des identités à travers les systèmes

Gestion des certificats et des cartes à puceRéduit le coût de gestion des lettres de créance basées certificatsAutomatise les workflows d’émission et de révocation des certificatsSimplifie grandement le déploiement des cartes à puce

Support de la validation étendue pour les certificats SSLDepuis plus d’un an, nous avons travaillé pour

mettre au point la prochaine génération de certificats SSL (Secure Socket Layer), afin qu’ils puissent non seulement fournir un moyen de chiffrement mais aussi un standard pour l’identité sur Internet Pour cela, nous avons regroupé de nombreux autorités de certification et de fournisseurs de navigateurs au sein du CA/Browser forum afin de créer ces certificats de nouvelle génération appelés EV SSL CertificatesLe CA/Browser a permis de faire évoluer les certificats SSL au sein de la version courante du Draft 11 afin de permettre une meilleure protection des consommateurs contre le phishing tout en maintenant la compatibilité avec les navigateurs existants

Support de la validation étendue pour les certificats SSLC’est ainsi que la plupart des fournisseurs d’autorité

de certification tels que Verisign (y compris Thawte et GeoTrust), CyberTrust, Entrust, GoDaddy, QuoVadis, XRamp, SecureTrust et DigiCert ont exprimé leur intention de supporter les EV Certificates dès maintenant, d’autres comme Wells Fargo désirant les suivre de prèsLes navigateurs tels que KDE et Opera ont également prévu d’ajouter le support de EV Draft 11 dans de futures versions de leurs logiciels

Filtre anti-phishing d’IE7

Protection dynamique contre les sites Web frauduleux3 « contrôles » pour protéger contre le phishing Comparaison du site Web avec une liste locale de sites

connus légitimes Analyse du site pour rechercher les caractéristiques

communes des sites de phishing (heuristique) Contrôle du site avec un service en ligne qui liste les

sites de phishing qui ont été signalés (mis à jour plusieurs fois par heure)

Plus de 10 millions d’exploitations de phishing stoppées depuis la Beta 1 Niveau 1: Alerte

Site suspect signaléNiveau 2 : Blocage Site de phishing

confirmé et bloqué

Deux niveaux d’alerte et de protection avec

Internet Explorer 7 et Windows Live

Les nouveaux partenaires du filtrage anti-phishing d’IE7

et maintenant

Le filtre anti-phishing en chiffres

Nos utilisateurs et nos partenaires signalent environ 10 000 sites de Phishing par semaineIE7 a été téléchargé plus de 100 millions de fois et a aidé à bloquer plus de 10 millions de tentatives de visite de sites frauduleux, soit plus d’un million de blocages par semaine Le filtre anti-phishing d’IE7 a été étudié par l’université de Carnegie-Mellon de manière indépendante et a été jugé comme l’un des plus justes de tous ceux testés. Cette étude sera présentée lors du Network and Distributed System Security Symposium (NDSS) le 1er mars prochain

D’après cette étude, IE7 a été le seule technologie qui repérait de manière systématique plus de 60 % des sites de phishing en provenance d’échantillons de données en provenance de Phishtank et de APWG avec le taux le plus bas de faux positifsCette étude a été effectuée de manière tout à fait indépendante de Microsoft.Voir le lien vers la dernière version de l’étude conduite par le Dr. Lorrie Cranor et son équipe en : http://lorrie.cranor.org/pubs/ndss-phish-tools-final.pdf

Questions ?

© 2007 Microsoft France

Votre potentiel, notre passion TM