Discussion :

[Idelways]

Microsoft accuse Google de « revendications trompeuses »
Concernant l'accréditation fédérale de la sécurité de ses applications destinées au gouvernement



Peu de temps après avoir rejoint une plainte collective contre Google, Microsoft, à peine décidé de peser de tout son poids pour inculper Google de pratiques anticoncurrentielles l'attaque déjà sur un autre front. Celui de la réputation de ses applications destinées aux gouvernements.

L'entreprise, prenant à témoin le Département de la Justice américain, accuse Google de déclarations trompeuses, pour avoir affirmé que sa suite d'applications Cloud destinées aux agences gouvernementales (Google Apps For Goverment) étaient certifiés FISMA alors que, d'après Microsoft, elle ne l'est pas.

FISMA (Federal Information Security Management Act) est une accréditation issue d'une loi fédérale américaine, qui certifie qu'une technologie donnée répond suffisamment à des critères de sécurité pour pouvoir être adoptée par les autorités fédérales.

Or, tout a justement commencé à la suite d’une action en justice que Google a intentée en novembre dernier contre les États-Unis d'Amérique, accusant ses départements de « favoritisme » envers les solutions de Microsoft sur un appel d’offres.

En étudiant la plainte de Google, les avocats du gouvernement ont remarqué qu'en dépit des affirmations publiques de Google (notamment sur son site web), il semblerait que Google Apps for Government ne soit pas certifié FISMA.

Cette révélation n'a pas manqué de faire agir les responsables juridiques de Microsoft, qui affichent leur consternation sur une annonce signée David Howard, vice-président Corporate et avocat général adjoint de l'entreprise.

De son côté, Google balaye d'un revers de main les accusations de Microsoft dans une déclaration à la presse par David Mihalchik, responsable à la division Google Entreprise.

Le géant américain rappel que la version Premium de Google Apps est accréditée FISMA depuis juin 2010 par l’Administration des services généraux et que (par extension) Google Apps for Government serait aussi accréditée.

Google estime qu'il s'agit du même système, renforcé avec de contrôles supplémentaires qui surpasseraient même les exigences FISMA.

Mihalchik n'a pas manqué, à son tour de signaler que la solution Business Productivity Online Suite de Microsoft n'est pas certifiée FISMA, pourtant l'appel d'offres litigieux lui a été accordé.

La question est alors de savoir si la modification d'un produit ou son extension nécessitent l'obtention d'une nouvelle accréditation.
Et c'est certainement sur ce point que les avocats de Google doivent se montrer convaincants s’ils ne veulent pas affaiblir leur cause sur cette affaire et la réputation de leur communication et produits.


Source :

Et vous ?

Qu'en pensez-vous ?
Les accusations de Microsoft vous semblent-elle fondées ?

[Flaburgan]

Les affaires de gros sous, toujours...

[Neko]

Ça parait assez logique qu'il faille refaire une accréditation après modification, non ?

[abriotde]

La version normal est accrédité et Google s'est dit on va la sécurisé plus pour le gouvernement. L'accusation est au minimum ridicule puisque s'il le faut il fournissent la version premium qui suffit.
Deplus lorsqu'une appli est certifié, les patch qui s'ajoutent au fur et a mesure le sont aussi donc pour moi elle l'est. La modification qui pourrait demander de recertifier une application est s'il y a ajout de fonctionnalités. Est-ce le cas?

[Hellwing]

La version normal est accrédité et Google s'est dit on va la sécurisé plus pour le gouvernement. L'accusation est au minimum ridicule puisque s'il le faut il fournissent la version premium qui suffit.
Deplus lorsqu'une appli est certifié, les patch qui s'ajoutent au fur et a mesure le sont aussi donc pour moi elle l'est. La modification qui pourrait demander de recertifier une application est s'il y a ajout de fonctionnalités. Est-ce le cas?

Ajouter des fonctionnalités n'empêche pas la régression de la sécurité, volontaire ou non. Selon moi un certificat doit être réattribué. Ca serait trop facile sinon : il suffirait de créer une application certifiée et rajouter discrètement des failles pour que le fournisseur (par exemple) puisse accéder aux données sensibles.

[WebPac]

Deplus lorsqu'une appli est certifié, les patch qui s'ajoutent au fur et a mesure le sont aussi donc pour moi elle l'est.

Les patchs ne doivent pas être automatiquement certifiés, ils doivent au contraire passer par une accréditation pour être certifiés.
Et une application certifiée qui a reçu des patchs non certifiés ne doit plus l'être.

Comment sait-on que les modifications apportées par Google n'ont pas de faille de sécurité si on ne le vérifie pas ?

[psychadelic]

Je me trompe ou j'ai l'impression que Microsoft à fait de Google sa bête noire ?

C'est le nieme proces lancé par Microsoft, et j'ai du mal à m'expliquer cet acharnement; estiment-ils que Google risque de causer leur perte ???