Crédit Photo : Tatiana Popova-Shutterstock
Au mois de septembre dernier, Microsoft avait annoncé la fermeture de son activité de sécurité Trustworthy Computing dans le cadre d’un plan social. Ce laboratoire était un centre d’expertise reconnu et a participé à sa façon à renforcer la sécurité des différentes solutions de Microsoft. Parmi ses faits d’arme, il était en charge de la supervision des Patch Tuesday mensuels.
Est-ce une conséquence a posteriori de cette fermeture ? Toujours est-il que la firme de Redmond continue à faire évoluer son offre de mise à jour de sécurité. Dans un blog, Chis Betz responsable de Microsoft Security Response Center (MSRC), a annoncé la fin de la pré-notification publique des bulletins du Patch Tuesday. « Après une décennie, nous apportons des changements dans la façon dont nous délivrons le service de pré-notification (ANS pour Advanced Notification System)). Nous fournirons ces informations directement aux clients Premier et les entreprises ayant contracté à un programme de support, mais il n’y aura plus de publication de cette pré-notification à travers le blog et la page web », souligne le responsable.
Pour expliquer ce choix, Chris Betz précise que les grandes entreprises utilisent de moins en moins l’ANS au profit des mises à jour automatique ou la mise en place de solution de tests avant déploiement. Les entreprises peuvent s’appuyer sur les services Update et Update Server pour déployer ces bulletins de sécurité. Idem pour les PME, Microsoft a lancé en mai dernier, MyBulletins qui permet d’appliquer et de prioriser les mises à jour de sécurité au sein de l’entreprise.
Pour mémoire, l’ANS permettait la semaine avant la diffusion du Patch Tuesday de connaître le nombre de bulletins de sécurité publiés, les produits de Microsoft concernés et le niveau de criticité.
Les experts en sécurité sont très mitigés face à l’annonce de l’éditeur de réserver l’ANS aux seuls comptes Premium. Wolfgang Kandek, CTO de Qualys, se montre dubitatif. « Personnellement, je pense que nos clients sont intéressés par les informations contenus dans l’ANS, mais nous allons voir comment cela fonctionne. » Il rappelle que l’année 2014 a été particulièrement perturbée par des évènements de sécurité et que la transparence de l’information sur les failles (Heartbleed, ShellShock, zero day chez Microsoft et Adobe) est essentielle pour le public et les experts.
Un avis partagé par Andrew Storms, vice-président de New Context qui dénonce chez nos confrères de ThreatPost au passage la fin de la gratuité de l’information sur les bulletins de sécurité. « Microsoft avait construit une forte relation avec la communauté d’experts en sécurité et soudainement nous passons d’un service gratuit à un modèle basé sur une redevance qui va avoir des répercussions. »
A lire aussi :
Microsoft : les Patch Tuesday deviennent des guides de piratage de Windows XP
Patch Tuesday : IE, Office et Windows corrigés en décembre
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…