Microsoft : 10 ans d'informatique de confiance

15 janvier 2002, Bill Gates, alors patron de Microsoft, envoyait par mail un mémo à l’ensemble de ses employés pour définir la nouvelle priorité du groupe : Trustworthy Computing, l’informatique de confiance.

Souvenons-nous… Janvier 2002, Microsoft a la gueule de bois. Un lendemain de fête trop arrosé ? Non, car cela perdure depuis quelque temps et l’esprit n’est pas aux réjouissances. L’année 2001 en particulier a été catastrophique en terme d’image.

2001, la cyber année de toutes les menaces

Microsoft souffre d’un mal insidieux qui le mine, la précipitation ! Les produits sortent au rythme d’une nouvelle version tous les deux ans. C’est trop rapide, ils sont mal finis, présentent des bugs. Pire, ils affichent des failles. Windows est la proie des hackers, qui à l’époque sont certes moins organisés, moins techniciens, moins mafieux dans leurs objectifs, mais qui font mal, très mal. 2001, c’est l’année de Code Red et de Nimda qui vont dominer plusieurs semaines de cyber attaques massives. La presse s’engouffre dans la brèche, pas toujours avec discernement, mais avec acharnement. Microsoft est aux premières loges. Ça va mal pour la firme de Bill Gates !

Mémo mémorable

Le patron et co-fondateur de Microsoft est conscient des difficultés que rencontrent sa société. N’est-il pas quasi systématiquement interpelé par ses clients, ses partenaires, les analystes, les journalistes sur les faiblesses de ses produits, les failles de sécurité qui s’accumulent et les correctifs qui tardent à combler les brèches. Le début d’année, c’est également aux Etats-Unis la période des grand-messes sur la sécurité informatique. Il faut donc occuper rapidement le terrain et marquer un grand coup.

Celui-ci va venir le 15 janvier 2002, par un mémo de Bill Gates aux employés de Microsoft, bien évidemment rendu public, depuis devenu célèbre. Le patron y fait un focus sur la sécurité et définit une nouvelle priorité pour le groupe, qui prend le doux nom de Trustworthy Computing (TwC), ou informatique de confiance. « La plus haute priorité pour l’entreprise et pour notre industrie au cours de la prochaine décennie », affirmait Bill Gates, sera « la construction d’un environnement informatique de confiance pour les clients qui soit aussi fiable que l’électricité qui aujourd’hui alimente nos maisons et nos entreprises. »

Focus, formation, intervention et développement

Dans les faits, le discours de Bill Gates va tout d’abord se traduire par la remise à plat des développements en cours, quitte à ralentir le rythme de sortie des nouvelles versions. Tous les développeurs Microsoft vont également recevoir une formation sur la sécurité. Enfin l’éditeur se dote d’un TwC Group dont les activités porteront sur la création de méthodes et d’outils pour identifier et résoudre les problématiques de sécurité et sécuriser les pratiques dans le développement de logiciels.

En 2004, les travaux du TwC group vont aboutir au SDL (Secure Development Lifecycle), un ensemble de pratiques et d’outils de développement, devenu aujourd’hui un standard pour l’industrie. Il a été retenu par des acteurs majeurs comme Adobe et Cisco, et aligne près de 700 000 téléchargements. SDL Agile, dédiés aux développements sur les plateformes cloud ou en cycles courts, a également été téléchargé 18 000 fois.

Les bénéfices du SDL seront immédiats : les vulnérabilités découvertes dans les produits Microsoft vont chuter drastiquement. Windows Vista, premier OS Microsoft développé sous SDL, alignera 45% de vulnérabilités découvertes en moins que son prédécesseur XP au cours de la première année de commercialisation – même si la démarche sécuritaire s’est révélée trop intrusive pour beaucoup d’utilisateurs ! -, et même en chute de 91% pour SQL Server 2005.

Une nouvelle décade, TwC Next

Une décade est passée, une nouvelle commence. Microsoft devrait présenter lors de la conférence RSA, qui se tiendra en février, une nouvelle stratégie TwC, nommée TwC Next. L’informatique a changé, la consommation de la donnée s’est démultipliée, diversifiée et complexifiée. TwC Next devrait mettre l’accent sur la confidentialité, la sécurité dans le nuage et les nouveaux modèles informatiques (Internet, mobilité, cloud, SaaS, etc.), ainsi que la collaboration entre l’industrie et les autorités. Microsoft aurait pu évoquer Trustworthy Internet, mais les succès du groupe sur la toile sont loin d’avoir convaincu, alors l’éditeur préfèrera miser sur ses acquis…

Lire aussi : D’Entra ID à Mistral AI, l’UE scrute Microsoft de toutes parts