Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Vers une informatique digne de confiance… Vincent Rullier [email protected] Ingénieur Avant-Vente

Journée pratique e-Gouvernement

Lausanne, 12 mai 2004

Vers une informatique digne de confiance…

Vincent RullierVincent [email protected]@microsoft.com Ingénieur Avant-VenteIngénieur Avant-VenteMicrosoft Suisse SarlMicrosoft Suisse Sarl


Ordre du jourOrdre du jour

• ActualitéActualité

• Informatique de confianceInformatique de confiance

• Un long cheminUn long chemin

• Des partenariatsDes partenariats

• Les actions de Microsoft en SuisseLes actions de Microsoft en Suisse




La sécurité est notre priorité #1.

« La solution » n’existe pas.

De nouvelles techniques doivent être mises au point.De nouvelles techniques doivent être mises au point.

151151180180

331331

Welchia/ Nachi

Nimda Blaster

2525SQL

Slammer

Journées entre le Journées entre le correctif et l’attaquecorrectif et l’attaque

Le temps s’accélère…Le temps s’accélère…

Sasser

1818


L’informatique de confianceL’informatique de confiance

• Rendre l’informatique Rendre l’informatique aussi simple et fiable aussi simple et fiable que l’eau ou l’électricitéque l’eau ou l’électricité

• Une priorité absolueUne priorité absoluepour Microsoftpour Microsoft

• Nécessite l’adhésion Nécessite l’adhésion et l’implication de toute et l’implication de toute l’industrie informatiquel’industrie informatique

• Changement culturel :Changement culturel :privilégier la sécurité par privilégier la sécurité par rapport aux fonctionnalitésrapport aux fonctionnalités


Les nouveaux défis de l’informatiqueLes nouveaux défis de l’informatique

• Nouvelles menaces Nouvelles menaces • Environnement en constante évolutionEnvironnement en constante évolution

• ComplexitéComplexité

• VecteursVecteurs

• VolumeVolume

• Motivation et impactMotivation et impact

Les réponses traditionnelles ne sont pas adaptéesLes réponses traditionnelles ne sont pas adaptées


La sécurité dans un monde complexeLa sécurité dans un monde complexe

Architecturesécurisée

HommesEnterpriseAdministrator

Domain

Admin

. User

Admin.

SystemManager

Service/Support

Developer

Utilisateur

ArchiveAccessPolicy

Inst

all

Repair

Event

Man

agem

ent

Performance

Management

Change/

Configuratio

n

Management

Proc

essu

s

Backup

Restore

IncidentResponse

Mic

roso

ft

Ope

ratio

ns

Fram

ewor

k

Risk

Asses

smen

t

TechnologiesWindows 2000/XP/2003

Active Directory

Service PacksHot F

ixes

IPSEC

Kerberos

PKI

Distrib

uted

File S

ystem

Encrypting

File System

SSL/TLS

Clustering

Intru

sion

Detectio

nSMS

MOM

ISA

Virus Scanner

GPO



La sécurité – SDLa sécurité – SD33 + C + C

Engagement clair sur la sécuritéMembre à part entière de la communauté de la sécurité

Microsoft Security Response Center

Communications

Secure by Design

Architecture sécuriséeFonctionnalités « conscientes » de sécuritéRéduction des vulnérabilités dans le code

Secure by Default

Réduction de la surface d’attaqueFonctionnalités inutilisées hors service par défautBesoin minimum en privilèges

Secure in Deployment

Protéger, détecter, défendre, récupérer, gérerProcessus : How to’s, guides d’architectureFormer les Femmes et les Hommes !


Nos progrès à ce jour avec SD3+CNos progrès à ce jour avec SD3+C

Nouveau système de notation du MSRCNouveau système de notation du MSRC VIA, amélioration du processus de réponseVIA, amélioration du processus de réponse www.microsoft.com/france/protection, SRK V4.1, SRK V4.1

Windows Server 2003, SQL Server 2000 SP3Windows Server 2003, SQL Server 2000 SP3 Exchange, Visual Studio.Net, Office 2003Exchange, Visual Studio.Net, Office 2003 Toutes les nouvelles versions cette année !Toutes les nouvelles versions cette année !

WS2K3 : 60 % de surface d’attaque en moinsWS2K3 : 60 % de surface d’attaque en moins Plus de 20 services hors service par défautPlus de 20 services hors service par défaut IIS 6.0 LockdownIIS 6.0 Lockdown

Hardening GuidesHardening Guides pour WS2K3, WS2K pour WS2K3, WS2K Guide to Security Patch ManagementGuide to Security Patch Management SMS 2003, SUS, MBSASMS 2003, SUS, MBSA

Secure by Secure by DesignDesign

Secure by Secure by DefaultDefault

Secure in Secure in DeploymentDeployment

CommunicationsCommunications


Amélioration de la qualitéAmélioration de la qualité

Bulletins de sécurité « importants et critiques »Bulletins de sécurité « importants et critiques »

Jours après la disponibilité

Nom

bre

de b

ulle

tins


Windows et les autres systèmes Windows et les autres systèmes d’exploitationd’exploitation

Mais cela n’est Mais cela n’est pas encore pas encore satisfaisant !satisfaisant !

Source: sites web des sociétésSource: sites web des sociétés

33 34 37

51

67

86 86 87

124Nombre de bulletins de sécurité en Nombre de bulletins de sécurité en 20022002

TrustixTrustix1.51.5

DebianDebianEnGarde EnGarde SunSun(OS)(OS)

Mandrake Mandrake 8.x8.x

00

2020

4040

6060

8080

100100

120120

RedHatRedHat7.27.2

WindowsWindows20002000

WindowsWindowsXPXP

SuSESuSE

00 101022 44 66 88 1212

MicrosoftMicrosoft(OS)(OS)

55

RedhatRedhat(OS)(OS)

SolarisSolaris 1212

CERT AdvisoriesCERT Advisories par OS 2002 par OS 2002

1212

Nombre de bulletins de sécurité par Nombre de bulletins de sécurité par système d’exploitation jusqu’au système d’exploitation jusqu’au

19 décembre 200319 décembre 2003


Microsoft : leader responsableMicrosoft : leader responsable

En tant que leader au sein En tant que leader au sein de cette industrie, de cette industrie,

Microsoft a une obligation Microsoft a une obligation spéciale pour assurer la spéciale pour assurer la sécurité de l’Internet et sécurité de l’Internet et celle des données de ses celle des données de ses

clientsclients



SpamSpamInitiative Coordonnée de Réduction du SpamInitiative Coordonnée de Réduction du Spam

• Trois propositions à la communauté de l’Internet Trois propositions à la communauté de l’Internet pour un filtrage plus efficace : pour un filtrage plus efficace :

• Authentifier l’auteur d'un courrier électronique en Authentifier l’auteur d'un courrier électronique en utilisant la technologie « Caller ID »utilisant la technologie « Caller ID »

• Définir des règles de conduite pour les expéditeurs de Définir des règles de conduite pour les expéditeurs de messages en volumemessages en volume

• Créer des alternatives d'identification viables pour les Créer des alternatives d'identification viables pour les expéditeurs de petits volumesexpéditeurs de petits volumes

Plus d’informations : Plus d’informations : www.microsoft.com/spamwww.microsoft.com/spam


Un effort à long termeUn effort à long terme

0101 0202 0303 0404 0505 0606 0707 0808 0909 1010

Nouvelle infrastructure, nouvelle culture Nouvelle infrastructure, nouvelle culture Réalisation Réalisation de TWCde TWC

Mémo de Bill GatesMémo de Bill GatesUne Une nouvelle nouvelle attentionattention

XP SP1, 2003 Server, Standards WSXP SP1, 2003 Server, Standards WSDébut du Début du déploiementdéploiement

Longhorn, DRM, NGSCBLonghorn, DRM, NGSCBNouvelles Nouvelles briquesbriques


PartenariatsPartenariatsStandardsStandards


Partenariat avec les Partenariat avec les fournisseurs d’accèsfournisseurs d’accès


Partenariat avec les Partenariat avec les fournisseurs d’anti-virusfournisseurs d’anti-virus


Le point en mai 2004Le point en mai 2004

• Windows XP SP2Windows XP SP2• Mise à jour majeure pour la sécurité : pare-feu, Mise à jour majeure pour la sécurité : pare-feu,

automatisation des mises à jour, …automatisation des mises à jour, …

• Windows Update ServicesWindows Update Services• Système automatisé de déploiement des mises à Système automatisé de déploiement des mises à

jour de sécuritéjour de sécurité

• Exchange Intelligent Message Filter Exchange Intelligent Message Filter • Filtre anti-spam pour Exchange 2003Filtre anti-spam pour Exchange 2003

• Tous ces produits seront disponibles d’ici l’étéTous ces produits seront disponibles d’ici l’été


L’initiative sécurité en SuisseL’initiative sécurité en Suisse

• Site Sécurité -> information, préventionSite Sécurité -> information, prévention • Expertise techniqueExpertise technique

• InfosuranceInfosurance

• Offres partenairesOffres partenaires

• Formations et webcasts -> prévention, aideFormations et webcasts -> prévention, aide

• Notification en cas d’urgence -> préventionNotification en cas d’urgence -> prévention


Site sécuritéSite sécurité pour les entreprises pour les entreprises

Site Sécurité central sur le portail de Site Sécurité central sur le portail de Microsoft SuisseMicrosoft Suisse ::

• avec possibilité d’alerte par courrier avec possibilité d’alerte par courrier électronique en cas de virusélectronique en cas de virus

• avec offres de partenaires sur le avec offres de partenaires sur le thème de la sécuritéthème de la sécurité

• http://www.microsoft.com/shttp://www.microsoft.com/switzerland/fr/security/businwitzerland/fr/security/business/default.aspess/default.asp


http://www.infosurance.ch/http://www.infosurance.ch/


Recommendations pour les particuliersRecommendations pour les particuliers

Campagne „Protégez votre PC“Campagne „Protégez votre PC“

http://www.microsoft.com/switzerland/fr/protect/default.asp


Proposition de loi fédéraleProposition de loi fédérale

• 17.3.200417.3.2004, , Microsoft s’engage en faveur de Microsoft s’engage en faveur de prescriptions légales contre les e-mails non prescriptions légales contre les e-mails non sollicitéssollicités

Microsoft Suisse défend auprès du Parlement fédéral l’adoption de Microsoft Suisse défend auprès du Parlement fédéral l’adoption de dispositions légales générales contre l’envoi en masse de messages dispositions légales générales contre l’envoi en masse de messages électroniques non sollicités (spamming). Cette société a donc électroniques non sollicités (spamming). Cette société a donc présenté aujourd’hui à Berne avec des parlementaires un projet de loi présenté aujourd’hui à Berne avec des parlementaires un projet de loi dans ce sens, mais allant beaucoup plus loin que la réglementation dans ce sens, mais allant beaucoup plus loin que la réglementation proposée par le Conseil fédéral dans sa Loi sur les proposée par le Conseil fédéral dans sa Loi sur les télécommunications (LTC). Cette proposition est soutenue par télécommunications (LTC). Cette proposition est soutenue par d’importants fournisseurs de cyberservices suisses.d’importants fournisseurs de cyberservices suisses.


Les règles d’orLes règles d’or

1.1. Au niveau organisationnelAu niveau organisationnel Définir les responsabilités et mettre en place des processusDéfinir les responsabilités et mettre en place des processus

2.2. Au niveau informatiqueAu niveau informatique Authentifier les accès et sauvegarder les données Authentifier les accès et sauvegarder les données Déployer un antivirusDéployer un antivirus Protéger les connexions InternetProtéger les connexions Internet Déployer rapidement les correctifs logicielsDéployer rapidement les correctifs logiciels

3.3. Au niveau des hommesAu niveau des hommes Définir des directives pour les utilisateursDéfinir des directives pour les utilisateurs Sensibiliser tout le personnelSensibiliser tout le personnel


Les points à retenirLes points à retenir

• Pour chaque administration, la sécurité Pour chaque administration, la sécurité informatique est un risque majeur qu’il faut informatique est un risque majeur qu’il faut évaluer et auquel il faut répondreévaluer et auquel il faut répondre

• Microsoft a mis et continuera à placer la Microsoft a mis et continuera à placer la sécurité au centre de ses produitssécurité au centre de ses produits

Journée pratique e-Gouvernement


© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Documents

Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Vers une informatique digne de confiance… Vincent Rullier [email protected] Ingénieur Avant-Vente