Microsoft est sous le feu des critiques du Cyber Safety Review Board (CSRB), un bureau attaché au DHS (Department of Homeland Security), les autorités en charge de la sécurité intérieure des États-Unis. Un rapport publié début avril a conclu que « la culture de sécurité de Microsoft n’était pas adéquate et nécessitait une révision ». Ces derniers mois, de très sérieuses brèches ont été exploitées par des pirates, à tel point que la confiance envers Microsoft est ébranlée.
Lire Cybersécurité : Microsoft est-il négligent ou prudent ?
Voilà qui pousse Microsoft à faire de la sécurité sa « première priorité », comme l’explique Charlie Bell, vice-président du groupe attaché au sujet. On comprend donc que ce n’était pas le cas jusqu’à présent ! En novembre dernier, l’entreprise avait lancé la Secure Future Initiative (SFI) pour se préparer à faire face aux cyberattaques toujours plus importantes. Mais ça n’est manifestement pas suffisant.
« Microsoft occupe une place centrale dans l’écosystème numérique mondial, et cela implique une responsabilité cruciale de gagner et de maintenir la confiance. Nous devons et allons en faire plus », explique le dirigeant. Cela passe par une série de mesures :
- Protéger les identités et les secrets : améliorer la sécurité autour des systèmes d’authentification en utilisant des rotations automatiques de clés et des protections matérielles.
- Protéger les instances dédiées et isoler les systèmes de production : renforcer la sécurité des instances Microsoft et des environnements de production en éliminant les systèmes inutilisés et en gérant strictement l’accès.
- Protéger les réseaux : sécuriser et isoler les réseaux de production de Microsoft, en appliquant une microsegmentation et en améliorant la surveillance pour une meilleure défense contre les attaques.
- Protéger les systèmes d’ingénierie : renforcer la sécurité des systèmes d’ingénierie et de la chaîne d’approvisionnement logicielle, sécuriser l’accès au code source et aux infrastructures.
- Surveiller et détecter les menaces : maintenir une surveillance proactive et une détection automatique des menaces sur l’infrastructure de production, en centralisant les journaux de sécurité pour faciliter les enquêtes.
- Accélérer les temps de réponse et la remédiation : améliorer la réponse aux vulnérabilités découvertes, en accélérant la mitigation et en augmentant la transparence des actions correctives à travers l’adoption de standards de l’industrie.
Dans un mémo à ses équipes, Satya Nadella s’engage à intégrer l’ensemble des activités de Microsoft dans SFI et à mettre en œuvre trois grands principes : « sécurisé dès la conception », « sécurisé par défaut » et « sécurité des opérations ». Voilà qui ressemble beaucoup à la promesse « Secure by design, secure by default » (« Sécurisé dès la conception, sécurisé par défaut ») faite au début des années 2000 et qui visiblement a été oubliée en chemin.
Le patron de Microsoft conclut en expliquant que si un employé du groupe est confronté à un choix entre la sécurité et une autre priorité, « la réponse est claire : privilégiez la sécurité ». Dans certains cas, « cela signifiera placer la sécurité au-dessus d’autres activités, comme le lancement de nouvelles fonctionnalités ou le support continu des systèmes obsolètes ». Chiche ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Microsoft
Ah bon c’est la sécurité la priorité de MS ? Je pensais que c’était de nous mettre de la pub partout….
Bizzare, j’allais dire la même chose. Priorité à la pub
Aaaah toujours de belle promesse à ce que je vois on ne change pas une équipe qui gagne et comme d’habitude : Le patron de Microsoft conclut en expliquant que si un employé du groupe est confronté à un choix entre la sécurité et une autre priorité, « la réponse est claire (et la bonne réponse de chez Microsoft en interne est) : privilégiez la publicité et la sécurité on s’en fous puisque ça rapporte rien voila ce qu’il fallait lire entre les lignes du communiqué de Microsoft.