La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Vers une informatique digne de confiance… Bernard Ourghanlian Directeur Technique & Sécurité Microsoft France

Publié parJean-Noël St-Jacques Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "Vers une informatique digne de confiance… Bernard Ourghanlian Directeur Technique & Sécurité Microsoft France"— Transcription de la présentation:

1 Vers une informatique digne de confiance… Bernard Ourghanlian Directeur Technique & Sécurité Microsoft France bourghan@microsoft.com

2 NIMDA et Code Red Dans certains cas, certaines sociétés ont été forcées de se couper temporairement de l’Internet Exemples publics : Siemens, US Bancorp Piper Jaffray, Booz Allen & Hamilton et General Electric Famille Code Red Famille NIMDA Estimation de la vitesse de propagation* 150 000 machines infectées en 14 h 2,2 millions de machines infectées en 24 h Impact économique mondial estimé en 2001* 2,62 milliards de dollars 635 millions de dollars *Computer economics Carslbad, CA

3 Slammer Un saut quantique dans la vitesse de propagation des virus Au début de la propagation du virus sur Internet, doublement du nombre de systèmes parcourus toutes les 8,5 secondes 90 % des systèmes vulnérables infectés en 10 minutes Source : University of Winsconsin Advanced Internet Lab (WAIL)

4 Quelques idées de l’impact de Blaster en France 80 000 appels pendant 4 semaines – 18 000 incidents traités 300 000 newsletters envoyées 700 000 visiteurs uniques et 2,3 millions de pages vues sur http://microsoft.com/france/securite http://microsoft.com/france/securite 100 000 click-thru depuis http://msn.fr http://msn.fr 10 000 unique users sur http://bcentral.fr http://bcentral.fr Communications radio, télévision (France Info, RFI, TF1,..) 126 articles (Web, journaux,…) en 2 semaines

5 Prolifération des correctifs Baisse du temps disponible avant une exploitation Exploitations plus sophistiquées Les approches actuelles ne sont pas suffisantes 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et l’exploitation Quelques constats complémentaires

6 Et l’informatique de confiance dans tout ça ? Rendre l’informatique aussi simple et fiable que l’eau, le gaz, l’électricité Nécessite l’adhésion et l’implication de toute l’industrie informatique Une priorité fondamentale pour Microsoft Cela prendra du temps (10 ans et plus) Changement culturel : privilégier la sécurité par rapport aux fonctionnalités

7

8 Sécurité Respect vie privée Fiabilité Intégrité entreprise Résistance aux attaques Protection de la confidentialité, de l’intégrité, de la disponibilité et des données Sûr Disponible lorsque nécessaire Offre le service attendu Chaque individu a un contrôle complet sur ses données personnelles Les produits et les services en ligne adhèrent à des principes de comportement justes et équitables Fournit des produits de qualité Aide les clients à trouver des solutions appropriées Règle les problèmes liés aux produits et services Interagit de manière ouverte avec ses clients Trustworthy Computing Les principes de base

9 SD 3 + Communications Engagement clair sur la sécurité Membre à part entière de la communauté de la sécurité Microsoft Security Response Center La sécurité Secure by Design Secure by Default Secure in Deployment Communications Architecture sécurisée Fonctionnalités « conscientes » de sécurité Réduction des vulnérabilités dans le code Réduction de la surface d’attaque Fonctionnalités inutilisées hors service par défaut Besoin minimum en privilèges Protéger, détecter, défendre, récupérer, gérer Processus : How to’s, guides d’architecture Hommes : les former !

10 Améliorer la qualité Processus de développement Trustworthy Computing M1 M2 Mn Beta Conception Développement Sortie Support Revue de sécurité Chaque é quipe d é veloppe une mod é lisation des menaces de son composant afin de s ’ assurer que la conception bloque bien les menaces applicables Dév & test Application des standards de codage et de conception de s é curit é Outils pour é liminer les erreurs du code (PREfix & PREfast) Surveillance et blocage des nouvelles techniques d ’ attaque Security Push Focalisation de toute l ’é quipe Mise à jour de la mod é lisation des menaces, revue de code, passage au crible des tests et de la documentation Audit de sécurité Analyse vis à vis des menaces courantes Tests de p é n é tration par des é quipes internes et de soci é t é s tierces Security Response Correction des probl è mes nouvellement d é couverts Analyse des causes pour trouver et corriger de mani è re proactive les vuln é rabilit é s associ é es Docs de conception & spécifications Développement test et documentation Produit Service Packs, correctifs

11 Secure in Deployment Automatisation de la configuration Automatisation de la configuration Gestion des identités Gestion des identités Surveillance de l’infrastructure Surveillance de l’infrastructure Guides prescriptifs Guides prescriptifs Secure by Design Revue de code Revue de code Architecture d’IIS Architecture d’IIS Modélisation des menaces Modélisation des menaces Investissement de 200 M$ Investissement de 200 M$ Secure by Default Diminution de la surface d’attaque par défaut de 60 % comparée à NT 4.0 SP3 Diminution de la surface d’attaque par défaut de 60 % comparée à NT 4.0 SP3 Services arrêtés par défaut Services arrêtés par défaut Services exécutés avec moins de privilèges Services exécutés avec moins de privilèges Communications Investissements dans la communauté des utilisateurs Investissements dans la communauté des utilisateurs Architecture webcasts Architecture webcasts Writing Secure Code 2.0 Writing Secure Code 2.0

12 SD3 en action – MS03-007 Windows Server 2003 non affecté La DLL (NTDLL.DLL) sous-jacente n’est pas vulnérable Corrigée pendant la revue de code Même si IIS tournait IIS 6.0 n’a pas DAV en service par défaut Même s’il avait DAV en service La longueur maximum d’URL avec IIS 6.0 est 16 Ko par défaut (> 64 Ko est nécessaire) Même si elle avait été vulnérable IIS 6.0 ne tourne pas par défaut sur Windows Server 2003 Même si l’on était arrivé là et qu’il y avait un Buffer Overrun Ceci aurait eu lieu dans w3wp.exe qui fonctionne maintenant comme network service

13 Nos progrès à ce jour avec SD3+C Nouveau système de notation du MSRC Nouveau système de notation du MSRC VIA, amélioration du processus de réponse VIA, amélioration du processus de réponse www.microsoft.com/france/protection, SRK V4.1 www.microsoft.com/france/protection, SRK V4.1www.microsoft.com/france/protection Windows Server 2003, SQL Server 2000 SP3 Windows Server 2003, SQL Server 2000 SP3 Exchange 2003, Visual Studio.Net 2003 Exchange 2003, Visual Studio.Net 2003 Toutes les versions majeures cette année ! Toutes les versions majeures cette année ! WS2K3 : 60 % de surface d’attaque en moins WS2K3 : 60 % de surface d’attaque en moins Plus de 20 services hors service par défaut Plus de 20 services hors service par défaut IIS 6.0 Lockdown IIS 6.0 Lockdown Hardening Guides pour WS2K3, WS2K Hardening Guides pour WS2K3, WS2K Guide to Security Patch Management Guide to Security Patch Management SMS+FP, SUS, MBSA SMS+FP, SUS, MBSA Secure by Design Secure by Default Secure in Deployment Communications

14 Évolution du nombre de bulletins de sécurité 34 …90 jours …150 jours Vulnérabilités importantes ou critiques dans les premiers… 917 Approche TwC ? Oui Non Bulletins depuis la sortie TwC Distribué en Janvier 2003, il y a 9 mois 1 Service Pack 3 Bulletins durant la période précédente 10 Bulletins depuis la sortie TwC Distribué en Juillet 2002, il y a 15 mois 1 Bulletins durant la période précédente 5 Service Pack 3

15 Windows et les autres systèmes d’exploitation Mais cela n’est PAS suffisant et Microsoft ne saurait s’en satisfaire... Source: sites web des sociétés Nombre de bulletins de sécurité en 2002 Trustix1.5DebianEnGarde Sun (OS) Mandrake8.x 0 20 40 60 80 100 120 RedHat7.2Windows2000 Windows XP SuSE 010246812 Microsoft (OS) 5 Redhat (OS) Solaris 12 CERT Advisories par OS 2002 12 Nombre de bulletins de sécurité par système d’exploitation jusqu’au 31 octobre 2003

16 La position de Microsoft sur la sécurité Les vulnérabilités de sécurité et les virus constituent un problème sérieux, coûteux et partagé par toute l’industrie informatique En tant que leader de cette industrie, Microsoft a une obligation spéciale pour assurer la sécurité de l’Internet et celle des données de ses clients

17 Utilisateurs de la bureautique Management + Opérations Réseau sécurisé Développeurs

18 Utilisateurs de la bureautique Management + Opérations Réseau sécurisé Développeurs

19 Développeurs Il est difficile de développer des applications sécurisées et de trouver des développeurs compétents dans ce domaine Il faut avoir accès à une infrastructure sécurisée Il n’y a pas d’outils de développement intégrés permettant d’améliorer la sécurité On a besoin de guides prescriptifs Les Challenges

20 Développeurs Outils de développement Visual Studio.NET 2003 MSDN Patterns et pratiques Plate-forme sécurisée.NET Framework 1.0 Cryptographic APIs Public key infrastructure Outils + guides Visual Studio.NET 2004 Web Services Enhancements 2.0 Guides prescriptifs Outils de sécurisation intégrés Next Generation Secure Computing Base Meilleure sécurité, plus de respect de la vie privée Intégrité du système Aujourd’hui Demain

21 Utilisateurs de la bureautique Management + Opérations Réseau sécurisé Développeurs

22 Management et Opérations Gestion de la configuration du système Gestion des opérations liées à la sécurité Gestion des patches Donner du sens aux données événementielles Les Challenges

23 Management et Opérations IIS Lockdown Wizard & URLscan Microsoft Baseline Security Analyzer Windows Update Software Update Service SMS + Feature Pack Assistant de configuration Microsoft Baseline Security Analyzer 1.2 Moins d’installers « Microsoft » Update Software Update Services 2.0 Systems Management Server 2003 Aujourd’hui Demain

24 Gestion des correctifs Plusieurs sites de téléchargement Windows Update pour Windows seulement Office Update pour Office seulement Download Center pour tout le contenu MS Différents processus de patch 8 mécanismes différents d’installation 3 agents de scanning différents (WU, Office, MBSA) Outils Office Update Windows Update SUS 1.0 et MBSA 1.1 SMS 2.0 plus SUS feature pack Amélioration Infrastructure unifiée pour tous les patches Microsoft Update/Windows Update 2 installers MSI 3.0 pour toutes les applications Update.exe pour les OS Un seul moteur de scanning pour tous les outils Standards communs de comportement SUS 2.0 présente des améliorations pour le reporting et la scalability (serveurs parent/enfant) SMS 2003 dispose en standard d’un outil de gestion des patchs Aujourd’hui Windows Update SUS SMS Download Center Office Update Printemps-été 2004 SUS SMS “Microsoft” Update Windows Update

25 Améliorer la gestion des correctifs Nouvelles stratégies Extension du support sécurité à juin 2004 Windows 2000 SP2 Windows NT4 Workstation SP6a Publication mensuelle des correctifs de sécurité non urgents Permet de planifier un cycle de test / déploiement de manière prévisible Fournis sous forme de correctifs individuels qui peuvent être déployés ensemble Les correctifs de sécurité pour les problèmes urgents seront toujours publiés immédiatement

26 D’ici à mai 2004 : consolidation autour de 2 installateurs de correctifs pour Windows 2000 et ultérieur, SQL, Office & Exchange. Comportement cohérent entre tous les correctifs (SUS 2.0, MSI 3.0) Étendre l’automatisation à tous les produits 3 novembre : SMS 2003 offrira la capacité de déployer les correctifs pour toutes les plateformes et applications supportées D’ici à fin 2004, tous les correctifs Microsoft auront le même comportement pour l’installation (MSI 3.0 + SUS 2.0) et seront disponibles à un seul endroit : Microsoft Update Réduire la taille des correctifs Maintenant : réduction de la taille des correctifs de 35% ou plus. D’ici à mai 2004 : 80% de réduction (technologie de correction par différence - delta patching – et amélioration des fonctionnalités avec MSI 3.0) Réduire la complexité des correctifs Réduire le risque de déploiement d’un correctif Maintenant : tests internes accrus ; test des pré-versions de correctifs par nos clients D’ici à mai 2004 : possibilité de retour arrière pour Windows, SQL Server, Exchange, Office Réduire l’indisponibilité Maintenant : 10 % de réduction des redémarrages pour Windows 2000 et + D’ici à mai 2004 : 30 % de redémarrages en moins pour Windows Server 2003 (à partir du SP1). Jusqu’à 70 % de réduction pour la prochaine version serveur Votre besoin Notre réponse Améliorer la gestion des correctifs

27 Rendre les logiciels plus résistants aux attaques, même quand les correctifs ne sont pas (encore) installés Aider à arrêter l’exploitation des vulnérabilités connues et inconnues Objectif : rendre 7 correctifs sur 10 « installables » à votre rythme Au delà des correctifs

28 Utilisateurs de la bureautique Management + Opérations Réseau sécurisé Développeurs

29 Utilisateurs de la bureautique Code malicieux Les utilisateurs ne veulent pas être les victimes de hackers Disponibilité des systèmes Respect du caractère privé de l’information Besoin d’un guide de sécurité Le SPAM Les Challenges

30 Utilisateurs de la bureautique Applications sécurisées Mail chiffré Outlook Email Security Update Plate-forme sécurisée Anti-virus Firewall personnel Encrypted file system Contrôle de l’information Rights Management Services Office 2003 Protection de bout en bout Protection anti-virus plus étendue Exchange Server 2003 Politiques de restrictions logicielles Aujourd’hui Demain 15 3 3 0 Bulletins notés critiques for Windows XP

31 Le SPAM Intégration en standard d’une technologie de filtrage « intelligent » dans l’ensemble de nos produits : SmartScreen Fondée sur technologie d’auto-apprentissage reposant sur des mécanismes de filtrage Bayesien (voir http://research.microsoft.com/~horvitz/junkfilter.htm) http://research.microsoft.com/~horvitz/junkfilter.htm Base de connaissance initiale reposant sur l’analyse du comportement d’internautes volontaires, utilisateurs de HotMail et regroupant 500 000 caractéristiques de SPAM Extraction de chacun des mots de chacun des messages, pondération de ceux-ci en fonction de la probabilité d’être ou de ne pas être un SPAM Génération d’une estimation probabiliste du fait que le message soit un SPAM ou non et placement éventuel du message dans le dossier Junk e-mail s’il y a dépassement d’un seuil paramétrable par l’utilisateur Enrichissement permanant de la base de connaissance en fonction du comportement de l’utilisateur et de la mise à jour de la base de comportement initiale qui peut-être téléchargée depuis le site Office Outlook 2003, MSN 8 Exchange 2003 : Intelligent Message Filter (disponible au premier semestre 2004)

32 Utilisateurs de la bureautique Management + Opérations Réseau sécurisé Développeurs

33 Apparition du sans fil Augmentation du périmètre du système d’information de l’entreprise Besoin d’accès sécurisé aux réseaux de l’entreprise Coût des VPN et management Les Challenges

34 Réseau sécurisé Sans fil sécurisé 802.1X, WPA Protected EAP Protection d’accès Quarantaine Carte à puce, PKI améliorée Virtual Private Networks L2TP/IPSecFirewall Filtrage de niveau applicatif Exchange + IIS Augmentation de la protection d’accès NAT traversal Authentification cohérente Meta-annuaireFirewall Filtrage de paquets Protection d’application Support d’IPv6 Nouvel ICF (mise en service par défaut) Aujourd’hui Demain

35 Windows XP SP2 Pare-feu amélioré Messagerie électronique et navigation Internet plus sures Amélioration de la protection de la mémoire Page en mode no access (IA-64 + AMD) Beta d’ici à la fin de l’année, RTM selon le retour de nos clients testeurs Windows Server 2003 SP1 Configuration de la sécurité par rôle Inspection des machines clients pour l’accès à distance Inspection des machines locales à la connexion RTM : H2 CY04 Pour résumer : à court terme

36 Pour résumer : à moyen terme Solutions tirant parti des acquisitions récentes de Microsoft Behavior blocking (Pelican Software) Antivirus (GeCAD) Gestion et administration de la sécurité Gestion de la sécurité fondée sur des rôles Management de la configuration de sécurité Limitation de l’utilisation des privilèges Environnement d’exécution sécurisé Protection de l’administrateur (contre lui-même) Nouvelle plateforme : NGSCB …

37 1 er semestre 2004 2 nd semestre 2004 Futur Octobre 2003 Support étendu Correctifs mensuels Guides Windows XP SP2 Améliorations des correctifs SMS 2003 SUS 2.0 Microsoft Update Formations Windows Server 2003 SP1 Technologies de sûreté Inspection de nouvelle génération ISA Server 2004 Durcissement de Windows via NGSCB Autres technologies de sûreté au niveau du système d’exploitation Pour résumer : planning prévisionnel

38 La sécurité dans un monde complexe Architecture sécurisée Hommes Enterprise Administrator Domain Admin. User Admin. System Manager Service/ Support Developer Utilisateur Archive Access Policy Install Repair Event Management Performance Management Change/ Configuration Management Processus Backup Restore Incident Response Microsoft Operations Framework Risk Assessment Technologies Windows 2000/XP/.NET Active Directory Service Packs Hot Fixes IPSEC Kerberos PKI Distributed File System Encrypting File System SSL/TLS Clustering Intrusion Detection SMS MOM ISA Virus Scanner GPO

39 La sécurité dans un monde complexe La sécurité n’est pas une activité ponctuelle : c’est une partie intégrale du cycle de vie du système d’information La sécurité est un processus itératif : on n’en a jamais terminé Le niveau de sécurité doit être révisé et testé périodiquement La sécurité absolue est inatteignable : c’est un voyage, pas une destination...

40 Sensibiliser les utilisateurs Campagne : 3 étapes pour vous aider à protéger votre PC http://www.microsoft.com/france/securite/p rotection http://www.microsoft.com/france/securite/p rotection

41 Guides des opérations sur la sécurité, de solutions de sécurisation et d’architectures Microsoft Solution for Securing Windows 2000 Server http://www.microsoft.com/technet/security/prodtech/Windows/SecWin2k http://www.microsoft.com/technet/security/prodtech/Windows/SecWin2k Threats and countermeasures in Windows XP and Windows Server 2003 http://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.asp http://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.asp Windows Server 2003 Security Guide http://microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655- 521EA6C7B4DB&displaylang=en http://microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655- 521EA6C7B4DB&displaylang=en http://microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655- 521EA6C7B4DB&displaylang=en SQL Server Security http://www.microsoft.com/sql/techinfo/administration/2000/security/securityWP.asp http://www.microsoft.com/sql/techinfo/administration/2000/security/securityWP.asp Securing Wireless LANs http://www.microsoft.com/technet/security/prodtech/windows/win2003/pkiwire/SWLAN.asp http://www.microsoft.com/technet/security/prodtech/windows/win2003/pkiwire/SWLAN.asp Guide des opérations sur la sécurité de Microsoft Exchange 2000 Server http://www.microsoft.com/france/technet/produits/exchange/info/20021004_guide_securite.ht ml http://www.microsoft.com/france/technet/produits/exchange/info/20021004_guide_securite.ht ml http://www.microsoft.com/france/technet/produits/exchange/info/20021004_guide_securite.ht ml 17 livres en tout à ce jour

42 Microsoft s’engage Microsoft s’engage à travailler pour aider ses clients et l’ensemble de l’industrie informatique à rentrer et demeurer dans un environnement sécurisé. Nous ne nous reposerons pas tant que ce problème ne sera pas réglé Brian Valentine, Senior VP, Microsoft

43 Un long voyage 01020304050607080910 Nouvelle infrastructure, nouvelle culture Réalisation de TWC Mémo de Bill Gates Une nouvelle attention XP SP1, 2003 server, Standards WS Début du déploiement Longhorn, DRM, NGSCB Nouvelles briques Temps

44 La confiance… Nous ne pouvons pas aller plus loin sans elle !

45 © 2003 Microsoft France Direction Technique et Sécurité

Télécharger ppt "Vers une informatique digne de confiance… Bernard Ourghanlian Directeur Technique & Sécurité Microsoft France"

Présentations similaires

Sécurité informatique

Sécurité informatique
Rick Claus Conseiller professionnel en TI Microsoft Canada Rodney Buike Conseillère professionnelle en TI Microsoft Canada

Rick Claus Conseiller professionnel en TI Microsoft Canada Rodney Buike Conseillère professionnelle en TI Microsoft Canada
La sécurité en tant que service. Doctor Web est le seul vendeur SaaS en Russie En 2007 Dr.Web AV-Desk est lancé En octobre 2007 Dr.Web AV-Desk est intégré

La sécurité en tant que service. Doctor Web est le seul vendeur SaaS en Russie En 2007 Dr.Web AV-Desk est lancé En octobre 2007 Dr.Web AV-Desk est intégré
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?

Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Hygiène de la messagerie chez Microsoft

Hygiène de la messagerie chez Microsoft
Gérer son parc hétérogène depuis MOM et SMS avec QMX de Quest Software Laurent CAYATTE Consultant avant-vente Quest Software.

Gérer son parc hétérogène depuis MOM et SMS avec QMX de Quest Software Laurent CAYATTE Consultant avant-vente Quest Software.
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.

1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Botnet, défense en profondeur

Botnet, défense en profondeur
Protection de Exchange Server 2003

Protection de Exchange Server 2003
Modélisation des menaces

Modélisation des menaces
Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.

Le déploiement dapplications et la gestion du réseau pédagogiques détablissements scolaires Brice DELONS Consultant manager EXAKIS.
Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »

Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »
Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Vers une informatique digne de confiance… Vincent Rullier Ingénieur Avant-Vente.

Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Vers une informatique digne de confiance… Vincent Rullier Ingénieur Avant-Vente.
Microsoft Office system Opportunités pour les éditeurs Franck Halmaert Chef de Produit Office Microsoft France.

Microsoft Office system Opportunités pour les éditeurs Franck Halmaert Chef de Produit Office Microsoft France.
La Gestion de la Configuration

La Gestion de la Configuration
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Microsoft Office Groove 2007. Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.

Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information

Présentations similaires

Annonces Google