Microsoft offre désormais à quelques partenaires, clients et intégrateurs triés sur le volet l’opportunité de tester les correctifs de sécurité avant leur publication. Baptisée Security Update Validation Program, l’initiative vise à assurer un contrôle qualité que l’éditeur peut difficilement réaliser en interne. Il s’agit en effet de tester les rustines dans différents environnements de production, caractérisés par des applicatifs métiers et des architectures très diverses. Les participants au programme s’engagent à créer un laboratoire dédié aux tests et à y répliquer leur environnement métier. Les correctifs devront alors y être testés sans lien avec l’extérieur. Il s’agit donc de mener des simulations sur des maquettes, et non sur les systèmes de production.

La diffusion des correctifs de sécurité a toujours été un problème épineux pour Microsoft : ils doivent être bien sûr publiés rapidement, mais après avoir étés longuement testés. C’est donc la quadrature du cercle, et pas seulement pour l’éditeur : ses grands clients ont depuis longtemps appris à ne jamais installer les correctifs sans les avoir longuement testés à leur tour ! A tel point que certains vendeurs en ont même fait un argument de vente pour leurs IPS (Intrusion Prevention Systems), des outils qui permettent notamment d’isoler les systèmes vulnérables le temps de tester les correctifs.

Avec ce programme, Microsoft espère donc être en mesure d’offrir de meilleures garanties quant à la qualité de ses correctifs tout en permettant au reste de ses clients de les installer plus rapidement.

Détail amusant : les membres de ce programme de test valideront les rustines sans savoir quelles failles elles corrigent. Ils sont là pour s’assurer que le correctif ne casse pas leur environnement de travail, et rien d’autre. Mais bien sûr, ils y trouvent aussi leur compte : une fois le correctif validé par Microsoft, ils sont certains de pouvoir le déployer en toute tranquillité avant tout le monde !