La sécurité, c’est « la priorité par dessus tout » chez Microsoft, a affirmé son CEO, Satya Nadella. L’éditeur de Windows a fait l’objet de critiques assassines de la part du gouvernement américain, qui pousse l’entreprise à renforcer son infrastructure contre les cyberattaques.
Microsoft est sous le feu des critiques du Cyber Safety Review Board (CSRB), un bureau attaché au DHS (Department of Homeland Security), les autorités en charge de la sécurité intérieure des États-Unis.
Un rapport publié début avril a conclu que « la culture de sécurité de Microsoft n’était pas adéquate et nécessitait une révision ».
Ces derniers mois, de très sérieuses brèches ont été exploitées par des pirates, à tel point que la confiance envers Microsoft est ébranlée.
Voilà qui pousse Microsoft à faire de la sécurité sa « première priorité », comme l’explique Charlie Bell, vice-président du groupe attaché au sujet. On comprend donc que ce n’était pas le cas jusqu’à présent !
En novembre dernier, l’entreprise avait lancé la Secure Future Initiative (SFI) pour se préparer à faire face aux cyberattaques toujours plus importantes. Mais ça n’est manifestement pas suffisant.
- Protéger les identités et les secrets : améliorer la sécurité autour des systèmes d’authentification en utilisant des rotations automatiques de clés et des protections matérielles.
- Protéger les instances dédiées et isoler les systèmes de production : renforcer la sécurité des instances Microsoft et des environnements de production en éliminant les systèmes inutilisés et en gérant strictement l’accès.
- Protéger les réseaux : sécuriser et isoler les réseaux de production de Microsoft, en appliquant une microsegmentation et en améliorant la surveillance pour une meilleure défense contre les attaques.
- Protéger les systèmes d’ingénierie : renforcer la sécurité des systèmes d’ingénierie et de la chaîne d’approvisionnement logicielle, sécuriser l’accès au code source et aux infrastructures.
- Surveiller et détecter les menaces : maintenir une surveillance proactive et une détection automatique des menaces sur l’infrastructure de production, en centralisant les journaux de sécurité pour faciliter les enquêtes.
- Accélérer les temps de réponse et la remédiation : améliorer la réponse aux vulnérabilités découvertes, en accélérant la mitigation et en augmentant la transparence des actions correctives à travers l’adoption de standards de l’industrie.
Dans un mémo à ses équipes, Satya Nadella s’engage à intégrer l’ensemble des activités de Microsoft dans SFI et à mettre en œuvre trois grands principes : « sécurisé dès la conception », « sécurisé par défaut » et « sécurité des opérations ». Voilà qui ressemble beaucoup à la promesse « Secure by design, secure by default » (« Sécurisé dès la conception, sécurisé par défaut ») faite au début des années 2000 et qui visiblement a été oubliée en chemin.
Le patron de Microsoft conclut en expliquant que si un employé du groupe est confronté à un choix entre la sécurité et une autre priorité, « la réponse est claire : privilégiez la sécurité ».
Dans certains cas, « cela signifiera placer la sécurité au-dessus d’autres activités, comme le lancement de nouvelles fonctionnalités ou le support continu des systèmes obsolètes ». Chiche ?
01net