Cybersécurité : Microsoft en quête d’une nouvelle crédibilité

Sérieusement épinglée par le CSRB, Microsoft est aujourd’hui critiquée de toutes parts pour les failles de sécurité de ses logiciels et une culture de la cybersécurité « inadéquate ». L’entreprise a réagi avec une nouvelle initiative et doit aujourd’hui veiller à ce que cette dernière ne soit pas qu’une annonce marketing mais bien une nouvelle culture cyber au sein de l’entreprise…

Les temps sont durs pour Microsoft. Son nom est trop régulièrement associé à des incidents de sécurité depuis quelques mois. Et ses pratiques de Cybersécurité ont largement été pointées du doigt ces dernières semaines, notamment suite au rapport du CSRB (Cyber Safety Review Report). Ce dernier a enquêté sur les failles Exchange qui ont impacté plusieurs hauts responsables américains et dénoncé non seulement « une cascade de défaillances chez Microsoft » qui auraient pu et dû « être évitées », mais aussi « une culture de sécurité inadéquate chez Microsoft ».

Tout semble indiquer que la culture du « Trustworthy Computing » insufflée en 2002 par Bill Gates s’est délitée avec le temps.

D’ailleurs, Microsoft semble en avoir pris conscience avant même la publication du rapport du CSRB. L’éditeur avait quelque peu anticipé ces reproches en lançant en novembre 2023 une nouvelle initiative appelée « Secure Future Initiative ». Celle-ci vise à rassembler toutes les « parties » de l’entreprise pour améliorer la protection contre la cybersécurité dans six domaines clés, notamment la protection des identités et des réseaux, l’amélioration des capacités de détection et de réponse aux menaces et l’accélération de la réponse et de la remédiation. Avec une inversion des priorités : la sécurité avant la continuité des anciens services souvent ciblés, parce que moins bien protégés que les plus récents.

Interrogé cette semaine sur le sujet cyber à l’occasion de la présentation des résultats de son troisième trimestre fiscal, le CEO de Microsoft, Satya Nadella affirme avoir placé la cybersécurité au premier plan de son agenda stratégique et « au-dessus de tout le reste – avant toutes les autres fonctionnalités et tous les autres investissements ». Avant même ses investissements IA ? Voilà qui semble bien peu crédible. Certes, Microsoft rétorquera que l’IA est une composante aujourd’hui indissociable de la cybersécurité. Mais les promesses n’engagent-elles pas que ceux qui les écoutent ?

Sur le papier, la « Secure Future Initiative » répond au changement de culture réclamé par le CSRB. Et les dernières prises de parole de Satya Nadella semblent aussi répondre à la demande du rapport de voir « le CEO s’emparer du sujet et superviser directement et étroitement la mise en œuvre de tous les changements nécessaires avec la plus grande urgence ».

Microsoft absent de la Connectivity Standards Alliance

En pratique, on s’étonne quand même de voir la société Microsoft absente de certaines initiatives comme la « CSA-IOT » (Connectivity Standards Alliance) qui vise à assurer des normes de cybersécurité pour les appareils connectés (et dont font partie 200 grands éditeurs dont Apple, Amazon et Google, mais pas Microsoft). Certes, la firme de Satya Nadella n’a pas vraiment d’IoT à son portfolio, mais la XBox est un « IoT » et Windows pour IoT est une composante de l’écosystème IoT.

Aux USA, de nombreuses voix s’élèvent s’inquiétant de voir l’omniprésence des technologies Microsoft dans les différentes administrations et les risques qui en découlent. Le CSRB notait d’ailleurs dans son rapport que l’éditeur n’avait « pas accordé à la gestion des risques de sécurité la priorité qu’elle méritait compte tenu de la menace et de l’importance critique de la technologie Microsoft pour plus d’un milliard de clients dans le monde ». 

Microsoft a les moyens de faire mieux

Il serait par ailleurs difficile de continuer à faire avaler aux clients qu’avec un chiffre d’affaires trimestriel de près de 62 milliards de dollars, un bénéfice net trimestriel de près de 22 milliards de dollars et un investissement CAPEX annuel de près de 50 milliards de dollars dans l’IA, Microsoft n’a pas les moyens de faire mieux et d’atteindre ses nouveaux objectifs pour une culture de la cybersécurité adaptée aux nouveaux enjeux.

La balle est bien évidemment dans le camp de Microsoft qui reste un leader du marché des solutions de cybersécurité mais dont l’image est écornée par les évènements restants. À la firme de Satya Nadella de corriger le tir et démontrer – sans marketing et par les faits – des vrais succès (ce qui n’est certes pas évident à faire) pendant que ses clients ont encore confiance…

À LIRE AUSSI :

Secu

Les autorités américaines épinglent durement Microsoft et son approche interne de la cybersécurité

Laurent Delattre

3 Avr

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !