Secu
Microsoft veut juger ses employés sur leur effort cybersécurité
Par Laurent Delattre, publié le 06 août 2024
Microsoft demande officiellement à tous ses employés de mettre la cybersécurité en priorité dans une lettre interne dont nous vous proposons ici une traduction. Avec une question sous-jacente, y a-t-il ici matière à inspirer les DSI pour leur propre entreprise ?
Depuis plus d’un an et les incidents Microsoft Exchange de début 2023, Microsoft est dans le collimateur des autorités américaines qui lui reprochent « une culture de la cybersécurité inadéquate », « une cascade de défaillances qui auraient pu être évitées » et même une « attitude laxiste » face aux risques cyber. En réaction, le géant de Redmond a lancé fin 2023 son initiative « SFI : Secure Future Initiative » à la fois dans le but de redorer son image et regagner de la crédibilité mais également dans le but d’effectivement initier une nouvelle culture de la cybersécurité dans ses rangs.
Une initiative qui a réellement pris corps en avril dernier après la publication d’un courrier interne signé du CEO Satya Nadella enjoignant chacun au sein de l’entreprise « à donner la priorité à la sécurité avant tout le reste ».
À LIRE AUSSI :
Mais ça, c‘était bien évidemment avant le terrible incident Crowdstrike dont les répercussions sur l’image de Microsoft – qui n’est pas réellement responsable pour le coup – ont été pires encore que les estocades portées l’an dernier par le CSRB et autres autorités américaines.
À LIRE AUSSI :
Impliquer toute l’entreprise, vraiment toute l’entreprise
Désormais sous haute pression, Microsoft intensifie ses efforts pour redonner à l’entreprise cette attention à la cybersécurité qui a suivi la publication du fameux mémo de Bill Gates sur le « Trustworthy Computing » en 2002, il y a donc déjà 22 ans !
Cette semaine, Kathleen Hogan, Chief People Officer chez Microsoft a pris la plume pour expliquer que tous les collaborateurs devaient participer aux efforts « Cybersecurity First » de l’éditeur. Un mémo qui illustre que l’initiative SFI va bien au-delà des simples déclarations d’intention.
Par ce courrier, Microsoft met en place trois grandes décisions en interne :
1. Évaluations de performance : La sécurité sera désormais un critère clé dans l’évaluation des employés, influençant directement les promotions, les augmentations de salaire et les bonus.
2. Responsabilité individuelle : Chaque employé devra démontrer comment il a contribué à améliorer la sécurité dans son domaine d’activité.
3. Approche globale : Cette priorité s’applique à tous les niveaux de l’entreprise, des développeurs aux équipes marketing, en passant par les cadres dirigeants.
De façon amusante, il sera intéressant de voir comment l’équipe “communication” de Microsoft applique ses directives à son propre compte. En effet, le site “news.microsoft.com” fait un focus sur l’IA, sur l’innovation, sur la transformation numérique, sur la diversité et l’inclusion, sur la durabilité, sur la vie au quotidien et sur l’accessibilité… Mais il n’y a pas le moindre focus, la moindre rubrique “cybersécurité”. Un exemple parmi d’autres qui illustre le chemin à parcourir pour passer des bonnes intentions à la réalité de terrain.
À LIRE AUSSI :
Un mémo qui doit marquer un nouveau départ
Afin d’éclairer le débat et partir avec des éléments concrets, nous vous proposons ci-dessous de découvrir l’intégralité du mémo interne envoyé par Kathleen Hogan. D’autant qu’à plus d’un titre, il pourrait au final se retrouver aussi fondateur et impactant pour Microsoft que celui envoyé par Bill Gates il y a plus de 22 ans.
Voici la traduction de ce mémo interne :
Chez Microsoft, nous fournissons des infrastructures critiques dont le monde dépend pour accomplir toujours davantage de choses. Cette confiance qui nous est accordée s’accompagne d’une grande responsabilité : protéger nos clients, notre entreprise et notre monde des cybermenaces. En tant qu’employés de Microsoft, nous avons tous un rôle à jouer dans cette responsabilité.
Comme Satya l’a mentionné dans son email du 3 mai et à nouveau lors du lancement de l’année fiscale 2025 le 9 juillet, la sécurité est notre priorité numéro un, et chacun chez Microsoft aura la sécurité comme Priorité Fondamentale. Face à un compromis, la réponse est claire et simple : la sécurité avant tout. Notre engagement envers la sécurité est durable. Les attaques nouvelles et inédites nous obligeront à continuer d’apprendre, d’innover et de nous défendre. Pourtant, en travaillant ensemble, nous réaliserons des améliorations non linéaires, resterons vigilants et répondrons aux attentes de nos clients. Ils comptent sur nous, et notre avenir dépend de leur confiance.
Notre nouvelle Priorité Fondamentale de Sécurité (Security Core Priority) renforce notre engagement envers la sécurité et nous rend responsables de la création de produits et de services sécurisés. Elle est maintenant disponible dans l’outil Connect pour la plupart des employés, et nous collaborons avec les équipes RH géographiques pour étendre l’accès à tous les employés dans le monde. La Priorité Fondamentale de Sécurité n’est pas un simple exercice de conformité : c’est un moyen pour chaque employé et manager de s’engager et d’être responsable de la priorisation de la sécurité, ainsi qu’une façon de codifier vos contributions et de reconnaître votre impact. Nous devons tous agir avec une mentalité axée sur la sécurité, nous exprimer et rechercher proactivement des opportunités pour garantir la sécurité dans tout ce que nous faisons.
La Priorité Fondamentale de Sécurité comprend deux parties :
1 – Des éléments de base communs qui s’appliquent à tous les employés
2 – Une section optionnelle permettant aux employés de préciser comment ils activeront la Priorité Fondamentale de Sécurité en fonction de leur rôle, équipe, organisation, etc.
Tous les employés définiront leur Priorité Fondamentale de Sécurité dans le cadre de leur premier Connect de l’année fiscale 2025, avec l’intention que lors des conversations régulières Connect, vous et votre manager discutiez de vos progrès et de votre impact concernant la Priorité Fondamentale de Sécurité.
Ce processus suivra la même approche que nos autres priorités fondamentales à l’échelle de l’entreprise pour la Diversité & l’Inclusion et les Managers. Vous pouvez en apprendre davantage sur la Priorité Fondamentale de Sécurité sur ce lien, y compris les FAQ et des exemples d’activation de la Priorité Fondamentale de Sécurité pour trois principaux types de rôles : technique, orienté client et partenaire, et tous les autres rôles.
Alors que nous entamons notre 50e année en tant qu’entreprise, je sais que nous nous sentons tous honorés et humbles d’être encore là – en tant qu’entreprise pertinente et conséquente – poursuivant ensemble notre mission. Lorsque nous permettons à chaque personne et organisation sur la planète d’accomplir davantage de choses, nous relevons les plus grands défis de la société et donnons du pouvoir au monde. Quelle mission grande, audacieuse et significative nous avons, et pourtant aucun d’entre nous ne peut la tenir pour acquise. Nous sommes ici parce que nos clients nous font confiance, et nous devons continuer à mériter leur confiance chaque jour.
Merci pour votre engagement envers notre Priorité Fondamentale de Sécurité qui contribuera à protéger Microsoft, nos clients et nos partenaires.
Kathleen
Quels enseignements pour les DSI ?
L’initiative SFI (et son volet Priorité Fondamentale de Sécurité) de Microsoft va bien évidemment devoir faire ses preuves. Elle peut être perçue par les DSI comme un petit pas dans la bonne direction d’un partenaire clé pour leur IT mais elle peut aussi servir de source d’inspiration au travers de quelques enseignements précieux que l’on peut extrapoler des emails de Satya Nadella et de Kathleen Hogan.
Voici 4 enseignements que les DSI peuvent extraire de cette initiative et appliquer à leur propre entreprise :
1. Faire de la sécurité une valeur d’entreprise : En intégrant la sécurité aux évaluations de performance, Microsoft envoie un message clair sur l’importance de cet enjeu. Les DSI pourraient envisager des approches similaires pour ancrer un peu plus la cybersécurité dans la culture de leur organisation.
2. Responsabiliser chaque employé : Le mémo souligne que la sécurité n’est pas seulement l’affaire des équipes IT. C’est une évidence pour les DSI et les RSSI mais malheureusement pas pour les collaborateurs des autres divisions. Impliquer l’ensemble des collaborateurs dans la protection des actifs numériques de l’entreprise est un effort essentiel mais difficile qui doit être planifié mais qui nécessite surtout un véritable engagement humain et financier dans toutes les strates de l’entreprise.
3. Aligner les incitations : En liant la sécurité aux récompenses et à l’évolution de carrière, Microsoft veut créer une forte motivation. On ignore exactement comment Microsoft va mettre en pratique cette volonté. Et l’adapter à l’esprit européen ne sera pas aisé. Mais valoriser les contributions à la sécurité au sein de leur entreprise est forcément une bonne idée.
4. Adopter une approche proactive : Le mémo encourage les employés à engager les discussions cyber et chercher proactivement des opportunités pour améliorer la sécurité. C’est une façon d’imposer peu à peu une culture qui favorise l’anticipation des risques et des menaces mais qui impose de régulières campagnes de sensibilisation adaptées à chacun, à chaque poste, et un effort pertinent pour engager le dialogue cyber. Facile à dire, plus compliqué à concrétiser.
L’initiative de Microsoft, née sous la pression politique et médiatique, est bien évidemment une opération de communication, mais elle n’est pas nécessairement « qu’une opération de comm’ » ni même « d’abord une opération de comm’ ». Pour réussir à regagner une confiance très sérieusement écornée ces derniers mois, l’éditeur n’a pas d’autres alternatives que de mettre des actions et des résultats derrière ses initiatives, ses courriels, ses mots…
En faisant de la cybersécurité une responsabilité partagée et valorisée, Microsoft espère insufflée une nouvelle culture Cyber dans ses rangs. Pourquoi les DSI ne s’en inspireraient pas, eux aussi, afin d’établir leur propre culture organisationnelle plus résiliente face aux menaces numériques croissantes ?
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
