Trustworthy Computing

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Le terme que Trustworthy Computing (TwC) a été appliqué aux systèmes informatiques qui sont intrinsèquement sécurisés, disponibles et fiables. La publication du Comité sur la fiabilité des systèmes d'informations Trust in cyberspace définit un tel système comme ”faisant ce que les gens s'attendent à ce qu'il fasse – et pas autre chose – malgré les perturbations environnementales, les utilisateurs, les erreurs de l'opérateur et les attaques par des parties hostiles. Les erreurs de conception et de mise en œuvre doivent être évitées, éliminées ou d'une certaine façon tolérées. Il n'est pas suffisant de ne régler que certaines de ces dimensions, il n'est pas non plus suffisant de simplement assembler des composants qui sont eux-mêmes fiables. La fiabilité est globale et multidimensionnelle. ”

Plus récemment, Microsoft a adopté le terme Trustworthy Computing comme le titre d'une initiative de l'entreprise pour améliorer la confiance du public dans ses propres offres commerciales. En grande partie, il est destiné à répondre aux préoccupations concernant la sécurité et la fiabilité des versions précédentes de Microsoft Windows et, en partie, aux préoccupations générales sur la vie privée et les pratiques commerciales. Cette initiative a changé le focus de nombreux efforts de développement interne de Microsoft, mais elle a été accueillie avec scepticisme par certains membres de l'industrie informatique.

"Trusted" vs. "Trustworthy"[modifier | modifier le code]

Les termes Trustworthy Computing et Trusted Computing ont des sens différents. Un système donné peut être fiable mais pas digne de confiance, et inversement.

La National Security Agency (NSA) définit un système ou un composant digne de confiance (trusted) comme étant celui « dont l'échec peut casser la politique de sécurité ». Un système ou un composant fiable (Trustworthy) est quant à lui considéré comme étant celui « qui ne faillira pas ». L'Informatique de confiance a été définie et décrite par un ensemble de spécifications et de lignes directrices par le Trusted Computing Platform Alliance (TCPA), incluant aussi les entrées/sorties sécurisées, curtaining de mémoire, stockage scellé et attestation distante. Comme indiqué ci-dessus, Trustworthy Computing vise à renforcer la confiance des consommateurs dans les ordinateurs, en les rendant plus fiables, et donc plus largement utilisés et acceptés.

L'Histoire[modifier | modifier le code]

Trustworthy computing n'est pas un concept nouveau. Les années 1960 ont vu une dépendance croissante des systèmes informatiques par les militaires, le programme spatial, les institutions financières et les organismes de sécurité publique. L'industrie informatique a commencé à identifier les lacunes dans les systèmes existants et s'est concentrée sur les domaines qui permettraient de répondre aux préoccupations du public concernant le recours à des systèmes automatisés.

En 1967, Allen-Babcock Computing a identifié quatre domaines de fiabilité qui préfigurent ceux de Microsoft. Leur entreprise de temps partagé permettait à plusieurs utilisateurs de différentes entreprises de coexister sur le même ordinateur, présentant un grand nombre des mêmes vulnérabilités que les systèmes d'information actuels.

la stratégie de Babcock-Allen pour fournir une informatique de confiance s'est concentrée sur quatre domaines :

  • Système d'exploitation cuirassé [fiabilité]
  • Utilisation d'utilisateurs dignes de confiance [~ intégrité entreprise]
  • Contrôle d'accès efficace [security]
  • Utilisateur demandé facultative confidentialité [confidentialité]

Un événement de référence a eu lieu en 1989, quand 53 organisations industrielles et gouvernementales se sont réunies. Cet atelier a évalué les défis impliqués dans le développement de systèmes informatiques critiques dignes de confiance et a recommandé l'utilisation de méthodes formelles comme une solution. Parmi les questions abordées était la nécessité de meilleurs logiciels méthodes d'essai qui garantissaient le haut niveau de fiabilité sur la version du logiciel initial. Les participants en outre recommandé certification programmeur comme un moyen de garantir la qualité et l'intégrité du logiciel.

En 1996, le Conseil National de recherches du Canada a reconnu que la montée de l'Internet augmente simultanément sociétaux s'appuyant sur des systèmes informatiques tout en augmentant la vulnérabilité de ces systèmes à l'échec. Le Comité sur la fiabilité de système d'Information a été convoqué ; produire le œuvre, la confiance dans le cyberespace. Ce rapport examine les avantages des systèmes digne de confiance, le coût de systèmes un-trustworthy et identifie les mesures nécessaires pour l'amélioration. En particulier, les erreurs de l'opérateur, perturbations physiques, erreurs de conception et des logiciels malveillants comme éléments d'être atténués ou éliminés. Il identifie également l'autorisation cryptée, contrôle d'accès de niveau fine et une surveillance proactive comme essentielles à un système digne de confiance.

Microsoft a lancé son initiative Trustworthy Computing en 2002. Ce programme a été en réponse directe à la dévastation Internet causée par le Code Red et Nimda vers en 2001. Annonce de l'initiative est venu sous la forme d'un email de tous les employés du fondateur de Microsoft Bill Gates redirigeant les activités de développement des logiciels de l'entreprise afin d'inclure une vue "by design" de la sécurité.

Vie Privée[modifier | modifier le code]

Pour le calcul de devenir omniprésents dans entre les gens et de transmission de l'information sur divers réseaux et services il est essentiel que l'information est protégée et gardée secret. Microsoft a de la vie privée comme le deuxième pilier pour Trustworthy Computing et s'engage à faire de la vie privée une priorité dans la conception, l'élaboration et la mise à l'essai de leurs produits. Pour garantir cette confidentialité, il importe également de contribuer à des normes et politiques créées par le gouvernement et les organismes de l'industrie. Politiques de confidentialité doivent être honorés et pratiqués dans l'ensemble de l'industrie.

Un autre élément essentiel de la vie privée est de fournir à l'utilisateur un sentiment de contrôle sur ses informations personnelles. Cela comprend l'éducation permanente, d'information et notification des politiques et des procédures. Dans un monde de spam, les pirates et fenêtres publicitaires non sollicités, les utilisateurs d'ordinateurs doivent se sentir responsabilisés avec les outils et les produits de l'informatique, surtout lorsqu'il s'agit de protéger leurs informations personnelles.

Troisième pilier de Microsoft Trustworthy Computing est la fiabilité. Microsoft utilise une définition assez large pour englober tous les aspects techniques liés à la récupération de disponibilité, de performance et de perturbations. Il est destiné à être une mesure non seulement de savoir si un système fonctionne, mais si elle continuera de travailler dans les situations non optimales.

Six attributs clés ont été définies pour un système fiable :

Résilients. Le système continuera de fournir à l'utilisateur un service face à la perturbation interne ou externe. Récupérable. Suite à une perturbation induite par utilisateur ou système, le système peut être facilement restauré, instrumentation et de diagnostic, à un état connu auparavant sans perte de données. Contrôlée. Fournit un service précis et opportun, chaque fois que nécessaire. Undisruptable. Améliorations et modifications requises ne pas perturber le service fourni par le système. Prête à la production. Sur la libération, le système contient des bogues logiciels minime, nécessitant un nombre limité de mises à jour prévisibles. Prévisible. Cela fonctionne comme prévu ou promis, et ce qui a fonctionné avant fonctionne maintenant.

Intégrité des affaires

Quatrième pilier de Microsoft Trustworthy Computing est l'intégrité de l'entreprise. Beaucoup considèrent cela comme une réaction par l'entreprise de technologie aux scandales comptables d'Enron, Worldcom et d'autres, mais il parle aussi des préoccupations concernant l'intégrité de développeur de logiciels et de réactivité.

Microsoft identifie deux grands secteurs de concentration pour l'intégrité de l'entreprise. Il s'agit de réactivité : "l'entreprise accepte la responsabilité de problèmes et prend des mesures pour les corriger. Aide est fournie aux clients dans la planification, l'installation et de fonctionnement du produit"; et la transparence: « la société est ouverte dans ses rapports avec les clients. Ses motivations sont claires, il garde son mot et clients savent où ils se situent dans une transaction ou d'interaction avec la société.

Notes et références[modifier | modifier le code]

technet.microsoft

http://www.microsoft.com/about/twc/en/us/default.aspx