Secu
Cybersécurité : Microsoft intensifie ses efforts, mais le chemin reste long
Par Laurent Delattre, publié le 25 septembre 2024
Près d’un an après la mise en place de son initiative SFI visant à insuffler une nouvelle culture de la cybersécurité dans l’entreprise, Microsoft fait un premier point d’étape. Un effort de transparence très (trop ?) teinté de marketing qui cherche à redorer son blason bien terni mais qui met aussi en avant le chemin qui lui reste à parcourir. Un rapport néanmoins instructif pour tous les DSI et RSSI…
Depuis près de deux ans, Microsoft fait face à une vague de fortes critiques concernant la sécurité de ses produits et services. Après plusieurs failles majeures l’an dernier, le très médiatisé incident Crowdstrike qui a paralysé des industries entières cet été et un rapport accablant du Cyber Safety Review Board (CSRB) des États-Unis, l’entreprise a lancé son “Secure Future Initiative” (SFI) en novembre 2023 pour renforcer sa posture en cybersécurité. Dix mois après son officialisation, l’éditeur fait un point d’étape dans un long rapport.
Une culture d’entreprise et 34.000 ingénieurs cyber
Présentée comme “le plus grand effort d’ingénierie en cybersécurité de l’histoire“, l’initiative SFI mobilise l’équivalent de 34 000 ingénieurs à plein temps avec un leitmotiv imposé à tous « Sécurité First » et une volonté affichée de faire de la cybersécurité « une priorité absolue au-dessus de tout le reste ».
Parallèlement, Microsoft a aussi créé un nouveau Conseil de Gouvernance de la Cybersécurité et nommé 13 directeurs adjoints à la sécurité de l’information (RSSI). Parmi eux, un RSSI des industries hautement régulées, un RSSI des acquisitions et fusions, un RSSI des clients gouvernementaux, et un RSSI « gaming ».
Mais l’initiative la plus spectaculaire et transformative en termes de culture d’entreprise est sans aucun doute d’avoir fait de la sécurité un critère clé dans les évaluations de performance de tous les employés. On notera aussi la création d’une Académie de Formation en Sécurité, lancée pour sensibiliser le personnel.
À LIRE AUSSI :
Au-delà de la théorie, la pratique…
Au-delà de ces initiatives stratégiques et organisationnelles, Microsoft est aussi passée à l’action. L’entreprise a notamment renforcé la protection des identités, éliminé 5,75 millions de comptes inactifs pour réduire la surface d’attaque et amélioré ses processus de détection et de réponse aux menaces. La protection réseau a été améliorée en isolant certains réseaux virtuels avec une connectivité backend pour réduire le potentiel de mouvement latéral. Certaines règles d’administration pour Azure Storage, SQL, Cosmos DB et Key Vault ont été renforcées pour aider les clients à se sécuriser.
L’initiative SFI a également permis de mettre en place une gouvernance centralisée qui supervise désormais 85% des pipelines de build de production de Microsoft pour le cloud, de réduire à 7 jours la durée de vie des jetons d’accès personnels, d’introduire des vérifications supplémentaires dans le cycle de développement logiciel, de supprimer 730.000 applications non utilisées, et de réduire drastiquement le nombre de rôles à privilèges élevés pouvant accéder aux systèmes d’ingénierie.
La détection et la surveillance des menaces ont été rationalisées grâce à l’introduction de journaux d’audit de sécurité standardisés et à une gestion centralisée des journaux couvrant 99% des dispositifs réseau.
Preuve qu’il y avait vraiment un travail urgent d’assainissement à réaliser, mais preuve également qu’il reste bien du travail à réaliser tant les mesures mises en œuvre semblent évidentes et auraient dû être en place depuis bien longtemps. Surtout pour un acteur aussi fondamental de par son omniprésence dans les infrastructures IT mondiales, mais également pour un acteur qui se veut être le n°1 des fournisseurs de solutions de cybersécurité.
Insuffler, transformer, convaincre
Tous ces efforts sont sains et louables bien évidemment, mais ne doivent pas faire oublier l’essentiel : Microsoft doit encore prouver l’efficacité de ces mesures.
Le CSRB soulignait dans son terrible rapport à charge que la culture cyber de l’entreprise était “inadéquate” or on ne change pas une culture d’entreprise en un an et les vieilles habitudes ont une fâcheuse tendance à vite revenir à la charge dès qu’on lâche un tant soit peu la pression.
Pour les DSI et RSSI, la lecture de ce premier rapport SFI est instructive non seulement sur les changements opérés chez le géant de l’informatique mais aussi et surtout pour les “Key Learning” qu’il met en évidence et qui peuvent inspirer des bonnes pratiques dans leurs propres organisations. Il permet aussi de mesurer le chemin à parcourir. Car, dans un louable effort de transparence, ce premier point d’étape de l’initiative SFI liste les 20 points de défaillance mis en évidence par le rapport du CSRB et pour chacun d’eux l’état d’avancement des actions de remédiation chez Microsoft. Seuls 2 sur 20 sont “Complete”, les autres étant encore “in progress”.
« Le travail accompli jusqu’à présent n’est que le début », confirme d’ailleurs Charlie Bell, responsable de la sécurité chez Microsoft. « Nous savons que les cybermenaces continueront d’évoluer, et nous devons évoluer avec elles. »
Microsoft est en quête pour restaurer sa réputation. Un processus forcément long et qui impose à l’entreprise d’en faire plus et de faire mieux que les autres. Avec un chiffre d’affaires annuel de plus de 245 milliards de dollars et un bénéfice net annuel de plus de 88 milliards de dollars, avec des investissements massifs dans l’intelligence artificielle, Microsoft dispose largement des ressources nécessaires pour améliorer significativement sa sécurité.
« En favorisant cette culture d’apprentissage et d’amélioration continus, nous construisons un avenir où la sécurité n’est pas seulement une fonctionnalité, mais une fondation », affirme Charlie Bell. L’ambition est là, l’efficacité opérationnelle de cette culture reste à démontrer…
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
