Secu
Satya Nadella prend la plume pour insuffler une culture Cyber au sein de Microsoft
Par Laurent Delattre, publié le 06 mai 2024
Sous la pression des clients et des autorités américaines, Microsoft par la voix de son CEO Satya Nadella a expliqué les mesures mises en œuvre pour instaurer une nouvelle ère de « cybersécurité first » au sein de Microsoft. Des bonnes paroles mais aussi des actes… en attendant des résultats…
En écho à notre récent article et au rapport lapidaire du CSRB américain, Satya Nadella a pris la plume pour redonner un nouvel élan à la culture cybersécurité de son entreprise et détailler les mesures mises en œuvre par Microsoft pour redorer son image et surtout renforcer sa posture cybersécurité et celle de ses clients.
Un mémo envoyé aux 200 000 employés du groupe qui n’est pas sans rappeler celui, devenu célèbre, envoyé en janvier 2002 par Bill Gates autour du Trustworthy Computing.
« I want to talk about something critical to our company’s future: prioritizing security above all else. »… « Je souhaite aujourd’hui aborder un sujet essentiel pour l’avenir de notre entreprise : donner la priorité à la sécurité avant tout le reste »… En une phrase d’introduction, Satya Nadella résume toutes les clés : Microsoft joue sa crédibilité, Microsoft veut imposer une nouvelle culture interne qui place la sécurité en premier avec son initiative Secure Future Initiative (SFI), Microsoft a entendu le CSRB et sa demande de voir le CEO de l’entreprise s’emparer du sujet et en faire sa priorité.
Insuffler une nouvelle énergie
Comme nous l’expliquions la semaine dernière, l’initiative SFI veut réinstaurer chez Microsoft la volonté de faire de la cybersécurité la première de toutes les priorités. « Si vous devez choisir entre la sécurité et une autre priorité, la réponse est claire : privilégiez la sécurité. Dans certains cas, cela signifie qu’il faut donner la priorité à la sécurité plutôt qu’à d’autres choses, comme le lancement de nouvelles fonctionnalités ou la continuité d’activité de systèmes ancestraux. Il s’agit là d’un élément clé pour faire progresser à la fois la qualité et les capacités de nos plateformes afin de protéger les biens numériques de nos clients et de construire un monde plus sûr pour tous » précise Satya Nadella dans son mémo.
À LIRE AUSSI :
Il ajoute par ailleurs « nous devons relever ce défi avec une rigueur à la fois technique et opérationnelle, et en mettant l’accent sur l’amélioration continue. Chaque tâche que nous entreprenons – qu’il s’agisse d’une ligne de code ou d’un processus client ou partenaire – est une occasion de renforcer notre propre sécurité et celle de l’ensemble de notre écosystème. »
Bien évidemment, voir Satya Nadella répondre aux préoccupations du CSRB et des clients en s’emparant aussi ouvertement du sujet est à la fois rassurant et attendu. Mais pour que tout ceci ne reste pas des promesses en l’air, l’éditeur va devoir publier plus que des mots. Et passer à l’action.
Instaurer la culture de la cybersécurité « first »
Dans un billet de blog publié parallèlement, Charlie Bell, Executive VP Microsoft Security, est revenu un peu plus en détail sur certaines mesures prises récemment par Microsoft dans le cadre de son initiative SFI.
« Microsoft joue un rôle central dans l’écosystème numérique mondial, et cela s’accompagne d’une responsabilité essentielle, celle de gagner et de conserver la confiance. Nous devons faire plus et nous ferons plus. Nous faisons de la sécurité notre priorité absolue, avant toute autre chose » écrit-il en écho au mémo de Satya Nadella.
Il y développe les 6 piliers de la stratégie SFI, des piliers bien peu originaux mais véritablement fondamentaux qui tendent à démontrer que s’il est aussi essentiel de les rappeler, c’est qu’un vrai relâchement s’était opéré au fil des années chez Microsoft.
Ils s’accompagnent de deux directives : insuffler une nouvelle gouvernance et instiller une culture « Security First ».
Côté gouvernance, Microsoft ajoute des « Chefs Cybersécurité », autrement dit des RSSI, dans chaque groupe produit. Ces derniers reporteront directement à Igor Tsyganskiy nommé « Global CISO » en décembre dernier. Parallèlement, Microsoft a nommé un « Deputy CISO for customer » en la personne de Ann Johnson qui supervisera l’engagement client et la communication autour de la sécurité propre à Microsoft.
Charlie Bell explique que « Microsoft met en œuvre un nouveau framework de gouvernance de la sécurité, sous la houlette du Global CISO. Ce framework définit un partenariat entre les équipes d’ingénieurs et les RSSI adjoints nouvellement créés, collectivement responsables de la supervision de la SFI, de la gestion des risques et de l’établissement de rapports sur les progrès réalisés directement à l’équipe de direction. Les progrès seront examinés chaque semaine par un forum exécutif et chaque trimestre par notre conseil d’administration ».
En matière de culture d’entreprise, Charlie Bell explique que « la culture ne peut être renforcée que par nos comportements quotidiens. La sécurité est un sport d’équipe et elle est mieux réalisée lorsque les frontières organisationnelles sont dépassées. ». Microsoft veut insuffler une réflexion sur la cybersécurité ancrée dans les comportements quotidiens avec des processus de résolution des problèmes qui partent du bas et s’appliquent de bout en bout. L’éditeur met en place des réunions opérationnelles « cyber » hebdomadaires et mensuelles.
Bien évidemment, cette agitation nouvelle autour de la cybersécurité est d’abord une opération de communication pour rassurer les autorités américaines et les clients. Mais, sous surveillance du CSRB, ces paroles ne pourront pas ne rester que des mots. L’éditeur semble bien décidé à passer à l’action et semble avoir effectivement réalisé qu’il fallait insuffler une nouvelle dynamique interne après plus de 20 ans d’essoufflement du tsunami interne provoqué par le mémo de Bill Gates.
Selon Charlie Bell, l’initiative SFI porte déjà très concrètement ses fruits. Elle a conduit à la prise en charge « d’une authentification multifactorielle automatiquement appliquée » à plus d’un million de profils Entra ID utilisés au sein de Microsoft. L’éditeur a également éliminé 730.000 apps qui n’étaient plus en cycle de support et n’étaient pas conformes aux règles édictées dans le cadre du SFI.
L’éditeur doit désormais faire ses preuves et démontrer – chiffres et PKI à l’appui – l’efficacité de ses mesures d’autant que tout ce battage médiatique autour de sa nouvelle stratégie ne va pas manquer de titiller les cyberattaquants de tous horizons !
À LIRE AUSSI :
