Le mémo transmis par email, présentait L’initiative Trustworthy Computing (TWC) dont le développement des solutions de la société devrait être axé sur la sécurité, la fiabilité et la confidentialité.
Au moment du lancement du Trustworthy Computing, les systèmes Windows à travers le monde ont été la cible des programmes malveillants comme CodeRed, Nimda ou encore “I Love You”. Le virus CodeRed avait par exemple exploité une faille entrainant le dépassement de tampon dans Windows Server et le serveur Web IIS pour infecter plus de 300 000 ordinateurs.
Avec l’initiative Trustworthy Computing, l’ancien PDG de Microsoft a cherché à répondre aux préoccupations concernant la sécurité et la fiabilité de Windows, ainsi qu’aux inquiétudes plus générales sur la protection de la vie privée des utilisateurs.
Gates avait ordonné à l’époque à son entreprise de se concentrer sur l’amélioration de la sécurité des applications plus que sur l’intégration de nouvelles fonctionnalités. « Si nous ne faisons pas cela, les gens ne pourront tout simplement pas disposer ou être en mesure de profiter de tout l’immense travail que nous avons effectué », pouvait-on lire dans le mémo.
La sécurité des produits devait donc être prise en compte dès la phase de conception des applications. Le développement, les tests des produits, la communication avec les fournisseurs tiers et les clients sur les failles, et la correction des problèmes devaient obligatoirement suivre la politique Security Development Lifecycle.
Le Security Development Lifecycle avait même été adapté par plusieurs entreprises à leurs produits comme Adobe ou encore Cisco. Adobe par exemple a emprunté certaines des solutions de Microsoft comme les mises à jour de sécurité régulières et le partage d’information sur les vulnérabilités avec les fournisseurs avant la publication des mises à jour afin qu’ils puissent fixer leurs logiciels.
« Sous TWC, il y a eu des efforts de sensibilisation réguliers auprès des chercheurs en sécurité externes qui auditent les produits de la société pour trouver des failles. La sécurité traverse les veines des employés de Microsoft, elle est vraiment dans notre ADN » note Adrienne Hall, directrice générale Trustworthy Computing.
10 ans après, les préoccupations concernant la sécurité des applications de Microsoft ont grandement baissé et l’éditeur n’est plus la cible principale des pirates qui se tournent désormais beaucoup plus vers d’autres produits.
« Nous sommes fiers de ce que nous avons accompli et des nombreuses innovations qui sont devenues les meilleures pratiques de l’industrie. Mais il serait erroné de se féliciter d’un travail bien effectué. Il y a encore beaucoup à faire » a déclaré Hall.
Malgré ces avancées sur le plan sécuritaire, TWC entame sa deuxième décennie en gardant les mêmes objectifs, tout en investissant son potentiel et son expérience dans le Cloud Computing, dont l’évolution devrait sans doute entrainer l’émergence de nouvelles cybermenaces.
Source : Le mémo de Bill Gates, Blog TWC
Et vous ?
Que pensez-vous de la sécurité des produits Microsoft 10 ans après ?