Microsoft, seul, face au reste du monde
A coup de croissances externes et de développements internes, Microsoft est en train de s'offrir une place d'acteur majeur du monde de la sécurité. Déjà, le Gartner le référence dans son fameux quadrant magique consacré aux spécialistes de ce domaine. Alors Microsoft est-il, une fois de plus, en position hégémonique ou non ?
Microsoft est vilipendé, honni de toute part depuis son succès commercial qui le place en situation quasi-monopolistique dans le secteur des systèmes d'exploitation. Attaqué de toute part, poursuivi par les tribunaux tant américains qu'européens, Microsoft continue son bonhomme de chemin sans sembler être inquiété outre-mesure. Et pourtant, il y a moins de cinq ans, les graves problèmes de sécurité vécus par les utilisateurs d'environnement Microsoft ont bien failli ternir à jamais l'image de marque de l'éditeur. Là, Bill Gates a défrayé la chronique en prenant la lourde décision de retarder la sortie du noyau en cours de développement jusqu'à ce que celui-ci soit considéré comme suffisamment sécurisé. Ce moment fera assurément date car c'est également à cet instant que Microsoft commence à considérer de manière sérieuse le monde de la sécurité. Tout d'abord en reformant toutes les équipes de développement à intégrer la dimension sécurité ce, dès la conception des programmes. Ensuite, en achetant des sociétés spécialistes du domaine.
A la question « Microsoft est-il en train de tuer le marché de la sécurité en proposant des solutions de défense périmétriques si faciles d'accès que les utilisateurs pourraient dédaigner peu à peu l'achat de solutions tierces ? », Bernard Ourghanlian répond que « le succès de Microsoft n'est pas la vente de Windows en tant que tel mais l'éco-système qui l'entoure. Là est le réel patrimoine de Microsoft. Pour un dollar gagné par MS l'écosystème en récoltera sept à huit de produits tiers venant compléter le premier. Ceux qui en profitent sont bien entendu les éditeurs de logiciels de tout bord, les SSII et les intégrateurs. Ce phénomène est également applicable à tout le marché de la sécurité. C'est le même que l'on constate dans tous les domaines pour conserver un équilibre comme en biologie avec les renards et les lapins. S'il y a trop de lapins, la population décline par manque de nourriture et cela est également vrai avec les renards. Il est nécessaire pour conserver un équilibre de savoir doser les oscillations de populations par rapport à la moyenne. La moralité est que l'on a chacun besoin des uns et des autres. Un système d'exploitation si beau soit-il n'est qu'un OS. Les couches métiers viennent se greffer dessus. Ainsi même si MOM, Microsoft Operation Manager, existe pour administrer les plates formes Windows, les Tivoli, CA ou HP Openview ont leur place sur le marché. Seul point à considérer : pour une entreprise qui vit de la vente d'une console d'administration mieux vaut s'interfacer le plus possible avec MoM. On est typiquement dans un environnement dans lequel on va pouvoir compléter car on ne fournit que les briques de la solution et on est loin de la solution. » Ainsi, si l'on considère la politique NAP avancée par Microsoft en collaboration avec celle du NAC proposée par Cisco, les quarante accords de partenariat signés par différents acteurs (anti-virus, anti-spyware, équipement réseau ...) avec l'éditeur de Seattle forment ce genre d'écosystème. Cependant de nombreuses voix commencent à s'élever autour de la politique de contrôle d'accès et ce, non en faveur du NAP de Microsoft. Certains avancent que Microsoft ou Cisco sont loin d'être les seuls au monde et qu'il faut proposer une solution basée sur des protocoles standards sur lesquels tout le monde s'alignerait ... car aujourd'hui, il faut encore, pour être compatible avec l'agent NAP de Microsoft qui fédèrerait tout le processus de contrôle d'accès, demander la permission à l'éditeur pour obtenir les ressources nécessaires au développement de la partie commune. Le code de la plateforme Windows demeure en effet pour l'essentiel propriétaire même si quelques APIs sont publiées. A cela, Bernard Ourghanlian rétorque « Une assemblée nombreuse autour d'une table pour mettre au point une solution commune de contrôle d'accès pourrait mettre quelques années avant d'aboutir à une solution ... notamment si de nombreux concurrents sont assis autour de la même table. Par exemple, la standardisation des services web a mis peu de temps car nous étions très peu d'acteurs. Résultat en l'espace de trois ans, il a été produit pas moins d'une quarantaine de normes. En ce qui concerne NAP et NAC, il est toujours possible de céder la propriété intellectuelle sous-jacente au travers de licence sans royalties comme par exemple on peut obtenir la partie Microsoft d'openXML gratuitement. Nous avons bien là deux moyens d'obtenir un standard. Là, NAP a su tirer son épingle du jeu si l'on considère la richesse autour des partenariats conclus. ».
« Et pour en revenir aux solutions de sécurité proposées avec la plate forme Windows, il faut considérer la façon dont l'utilisateur associe l'insécurité de la plate forme : « c'est encore un problème Windows ! ». Nous occupons certes une position enviable qui nécessite que ce qui est proposé soit au moins correctement protégé et ce, sachant que rien n'est sûr à 100% dès qu'il s'agit de sécurité. Par ailleurs, le marché de l'anti-virus familial est loin d'être saturé et Microsoft doit encore faire ses preuves sur ce marché notamment quand on sait que l'on a proposé un certain nombre de logiciels peu efficaces, il fut un temps, sur ce point. » Et de préciser que la récente offre Windows Live Onecare a fait un tabac en moins de deux mois aux US. Ce service transparent pour l'utilisateur final comprend une offre tout en un alliant anti-virus et spyware, une optimisation des performances du PC, la mise à jour des logiciels, un parefeu en service et optionnellement des sauvegardes. Le succès serait dû à une simplicité extrême du produit allié à un prix très largement inférieur à celui des concurrents ce qui oblige ces derniers à s'aligner ...
Sécurité : en construction
Mars 2003, Pelican Software : Analyse comportementale
Juin 2003, GeCAD : anti-virus
Décembre 2004, Giant : antispyware
Février 2005, Sybari : anti-virus
Juillet 2005, FrontBridge : anti-virus email
Juillet 2005, Finjan Software (brevets) : Anti-virus et antispyware
Septembre 2005, Alacris : gestion des identités
Février 2006, Futuresoft (Internet DynaComm i :filter) : filtrage contenu web
Mai 2006, Whale Communications : RPV SSL et coupe-feux applicatifs