Google partage ses secrets de sécurité

Cloud

Le moteur de recherche a profité de la conférence RSA pour dévoiler sa stratégie de sécurité.

Google a invité les professionnels de la sécurité à examiner ses systèmes de sécurité. Scott Petry, directeur de Google Enterprise et fondateur de la société de sécurité Postini, a expliqué lors de la conférence RSA la stratégie employée par le moteur de recherche pour gérer la pression et la vigilance constantes des pirates.

« Google est une cible de tout premier choix », n’a-t-il pas manqué de rappeler. « Si vous êtes mal intentionné et que vous souhaitez vous forger une solide réputation, pirater Google est le meilleur moyen d’acquérir une crédibilité. »

Pour protéger ses produits, Google a fait de la sécurité une valeur culturelle. Le programme comprend une formation de sécurité obligatoire pour les développeurs, une bibliothèque de sécurité interne et l’examen du code par des développeurs Google ainsi que par des chercheurs en sécurité extérieurs.

« La formation est la chose la plus importante que réalise notre équipe de sécurité », explique Scott Petry. « Eduquer est le mieux qu’un professionnel de la sécurité puisse faire. « 

Scott Petry a également rappelé qu’à une époque où les utilisateurs et les entreprises reposent de plus en plus sur des services et applications externes, il devient quasiment impossible de verrouiller totalement l’accès à une entreprise. « Les services informatiques mènent une bataille dépassée », explique-t-il en référence à la politique consistant à limiter l’accès de tous les utilisateurs.

Outre la formation de ses employés, le moteur de recherche a également mis en place des ‘glissières de sécurité’ sur ses logiciels, qui avertissent les utilisateurs en cas d’actions potentiellement à risque et consigne ses actions à l’attention de l’administrateur.

Pour les développeurs de logiciels, Scott Petry a également suggéré d’adopter une approche de ‘surveillance du quartier’ vis-à-vis de la divulgation des vulnérabilités. Pour Google, cela signifier de partager davantage d’informations avec les chercheurs et de leur faire confiance pour prendre les bonnes mesures lorsqu’ils font des découvertes.

« Si vous détectez une vulnérabilité, nous vous demandons de la partager. Si vous la partagez, nous vous répondrons que nous allons nous charger nous-mêmes de la corriger », explique-t-il. « Mais en faisant cela, nous donnons une réponse qui relève de notre responsabilité. Alors s’il vous plaît, ne divulguez pas [les vulnérabilités]. »

Cette philosophie, combinée à une politique consistant à créditer tous les chercheurs qui signalent une faille, s’est révélée extrêmement efficace pour Google, conclut Scott Petry.

Traduction de l’article Google shares its security secrets de Vnunet.com en date du 9 avril 2008.