À la suite de cyberattaques majeures et de tests de la part du gouvernement fédéral, Microsoft s’efforce de renforcer la sécurité de ses produits et services. L’entreprise lance une refonte massive pour mettre la sécurité au premier plan, comme indiqué dans une note interne du PDG Satya Nadella.
Selon une note interne obtenue par The Verge, la sécurité est désormais la « priorité absolue » de Microsoft. Nadella fait comprendre clairement aux employés que s’ils sont un jour confrontés à un compromis entre la sécurité et un autre objectif, la réponse est simple : donner la priorité à la sécurité, sans poser de questions.
« Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire : faites de la sécurité », déclare sans détour Nadella. « Dans certains cas, cela signifie donner la priorité à la sécurité avant d’autres choses que nous faisons, comme la publication de nouvelles fonctionnalités ou la fourniture d’un support continu pour les systèmes existants. »
Cette dernière partie est particulièrement remarquable. Microsoft est connu depuis longtemps pour étendre la prise en charge logicielle beaucoup plus longtemps que d’habitude. Mais Nadella laisse entendre que l’entreprise devra peut-être abandonner certains bagages hérités afin de garder une longueur d’avance sur l’évolution des cybermenaces.
Ce bilan de sécurité intervient après que le Cyber Safety Test Board des États-Unis a qualifié les pratiques de sécurité passées de Microsoft d’« inadéquates » à la suite d’une enquête sur des incidents majeurs comme l’attaque Storm-0558 de l’été dernier. La société met actuellement en œuvre une « Secure Future Initiative » qui, selon Nadella, régira « toutes les facettes » des produits et des opérations de Microsoft à l’avenir.
L’initiative repose sur trois principes fondamentaux : « Secure by Design » (intégration de la sécurité dès le départ), « Secure by Default » (protections de sécurité activées automatiquement) et « Secure Operations » (surveillance et amélioration continues). Nadella affirme que les principes seront appliqués dans des domaines clés tels que la protection de l’identité, l’isolation du système, la détection des menaces et la réponse aux incidents.
Une partie de la rémunération des hauts dirigeants sera également liée à l’atteinte des objectifs et des jalons en matière de sécurité dans le cadre de la nouvelle initiative. Ils auront donc une motivation financière supplémentaire pour bien faire les choses.
Dans la note, Nadella souligne que l’ensemble de l’entreprise – et pas seulement les équipes de sécurité – est responsable de cette démarche de sécurité. « Chaque tâche que nous entreprenons – d’une ligne de code à un processus client ou partenaire – est une opportunité de contribuer à renforcer notre propre sécurité et celle de l’ensemble de notre écosystème », écrit-il.
L’urgence de la refonte de la sécurité de Microsoft est soulignée par le piratage dévastateur d’Exchange Online de l’année dernière. Les attaquants, soupçonnés d’être l’œuvre de l’acteur menaçant chinois Storm-0558, ont volé une clé de signature Azure sur l’ordinateur portable d’un ingénieur Microsoft fin 2021, à la suite d’une acquisition d’entreprise. Cette clé leur a ensuite donné accès aux boîtes de réception de courrier électronique en ligne de plus de 20 organisations, ce qui a eu un impact sur des centaines de victimes de premier plan, notamment de hauts responsables du gouvernement américain.
En janvier, Nadella a plaidé en faveur d’une « Convention de Genève sur la cybersécurité » entre les États-Unis, la Russie et la Chine après que la société russe Cozy Bear ait violé le réseau de Microsoft, avertissant que des cyberattaques incontrôlées d’États-nations pourraient déclencher une instabilité mondiale.
Avec l’intensification des cyberattaques et l’arrivée probable d’une réglementation, il était grand temps pour Microsoft – ainsi que d’autres grands géants de la technologie – de mettre de l’ordre dans sa sécurité.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
