Microsoft se construit une identité sécuritaire ''Forefront'

En matière de solutions de sécurité, Microsoft n’hésite pas à remonter au début de la décennie: « Nous sommes partis d’une page blanche en 2002, suite à l’initiative “l’informatique de confiance” lancée par Bill Gates en juin de cette année-là. Et nous avons acquis de nombreux produits de 1999 à 2009, et nous avons annoncé huit nouveaux produits en six mois », souligne Bernard Ourghanlian, directeur Technique et Sécurité chez Microsoft France.

Effectivement, les acquisitions se sont multipliées : une bonne dizaine Zoomit en 1999 (gestion des identités), Gecad en 2003 (base du moteur antivirus de Forefront Client Security), Giant en 2004 (base du moteur antimalware de Forefront Client Security), Sybari en 2005 (protection Exchange, SharePoint et Office Communicator), FrontBridge en 2005 (sécurisation d’Exchange hébergé et d’Exchange Hosted Services), Alacris en 2005 (gestion du cycle de vie des identités), Whale Communications en 2006 (accès VPN/SSL et contrôles applicatifs d’Intelligent Access Gateway), Secured Dimensions en 2007 (protection des logiciels), Credentica en 2008 (vie privée), Komoku en 2008 (rootkits) et Sentillion en 2009 (gestion des identités du secteur Santé), Ouf…

L’identité au cœur du système

Microsoft va-t-elle finir par arriver à créer une gamme homogène pour proposer une sécurité de bout en bout ? Le géant de Remond l’annonce avant fin 2010. Pour y parvenir, Microsoft a choisi de centrer son approche autour de la gestion des identités (et donc des accès).

« La gestion des identités est au centre de la politique de sécurité des entreprises qui souhaitent obtenir une protection globale de leur système d’information »,martèle Bernard Ourghanlian. « Ainsi, il devient possible de donner accès au SI, quel que soit le contexte où se trouve l’utilisateur. Il suffit de savoir qui est cet utilisateur et de déterminer le contexte afin de décider efficacement s’il peut se voir accorder l’accès et de quelle manière. »

Passer d’une approche où l’on bloque l’accès par défaut à une approche basée sur l’authentification répond effectivement mieux aux attentes des utilisateurs.

Une suite intégrée de produits qui communiquent

« Il est temps d’en finir avec les silos où chacun ajoute une partie de sécurité à un endroit, sans communiquer avec le reste du SI. Notre large gamme Forefront couvre fonctionnellement la quasi-totalité des besoins », affirme B. Ourghanlian.

« Suite intégrée de sécurité, Forefront propose une protection globale et cohérente des terminaux, des serveurs d’application et du périmètre réseau étendu, avec une gestion plus simple et un contrôle plus maitrisé ».

En effet, le bus logiciel Security Assessment Sharing (Sas)permet de propager les informations à tout endroit du SI, et de consolider l’information pour assurer des politiques cohérentes.

Microsoft confirme d’ailleurs la disponibilité au premier semestre 2010 (au plus tard le 30 juin…) de son Forefront Protection Manager qui jouera le chef d’orchestre entre les divers modules afin -par exemple- d’automatiser certaines décisions sans intervention humaine. Des rapports d’analyse sont disponibles ou peuvent être définis, et les données sur toutes ressources et utilisateurs peuvent être utilisées, avec des droits adéquats, cela va de soi… Inutile de préciser que Forefront est évolutif et sait prendre en charge des environnements physiques, virtuels et même en mode cloud. Peut-être pas inutile, après tout.

Un début d’ouverture, mais peut mieux faire

Plusieurs politiques de sécurité peuvent cohabiter, et l’ensemble, stocké sur des bases SQL (documentées), peut être exploité par la suite pour du reporting, des recherches de traces ou d’historique, des besoins d’optimisation… Évidemment, la découverte centralisée peut s’effectuer naturellement avec Active directory, des l’intégration avec les applicatifs Microsoft s’effectue sans encombre. Comme le dit une célèbre publicité automobile : « Qui mieux que… peut s’occuper de votre… ? » Et l’éditeur rappelle que Forefront intègre aussi le support d’Open LDAP.

Côté intégration avec des solutions tierces, on retrouve un SDK (framework de classes .NET), et un protocole basé sur les services Web pour interopérer entre les plates-formes. Et Microsoft laisse entendre que des annonces devraient bientôt arriver concernant la prise en compte d’environnements non Microsoft. Dans les environnements hétérogènes des entreprises, ces mesures pourraient élargir le champ de bataille de Forefront sur un terrain déjà bien occupé. À suivre.