Ces dernières années n'ont pas été clémentes pour le géant américain en matière de sécurité et de confidentialité. Une série de problèmes allant de la mauvaise configuration des points d'extrémité à l'usage de mots de passe faibles a mis en lumière les vulnérabilités au sein de l'entreprise. Face aux critiques des chercheurs du secteur, des législateurs américains et des agences de régulation, Microsoft a été poussé à réagir.
L'un des incidents les plus notoires a impliqué Storm-0558, un groupe de pirates basé en Chine. Ce dernier a réussi à infiltrer le service Azure de Microsoft et à collecter des données pendant plus d'un mois à la mi-2023 avant d'être détecté et neutralisé. Ce n'est qu'après plusieurs mois que la firme de Redmond a admis que des failles de sécurité avaient permis aux hackers d'accéder au compte d'un ingénieur, ce qui leur a permis de recueillir des données de plusieurs clients importants, y compris des agences fédérales américaines. En janvier, une autre brèche a été révélée, cette fois par Midnight Blizzard, un groupe sponsorisé par l'État russe. Ils ont compromis un compte de test hérité, accédant aux systèmes de Microsoft durant deux mois. Face à ces incidents, le US Cyber Safety Review Board a publié un rapport critiquant sévèrement la culture de sécurité de l'entreprise, pointant du doigt des déclarations publiques inexactes et une réponse inadéquate face à des menaces évitables. En réponse, elle a lancé l'Initiative pour un Avenir Sécurisé en novembre 2023, annonçant une série de changements et de plans visant à renforcer ses pratiques de sécurité.
Charlie Bell, vice-président exécutif de la sécurité, a souligné que celle-ci serait désormais la priorité absolue de l'entreprise. L'initiative vise à intégrer les recommandations du CSRB et les leçons tirées de l'incident avec Midnight Blizzard pour développer une approche de cybersécurité qui reste robuste face à l'évolution des menaces. Les rémunérations de l'équipe de direction de Microsoft dépendront désormais en partie de l'atteinte des objectifs. L'entreprise a défini trois principes, sécurité par la conception, sécurité par défaut et opérations sécurisées, ainsi que six piliers destinés à renforcer les systèmes et les pratiques de développement. Microsoft s'engage à protéger tous ses comptes utilisateurs avec une authentification multifactorielle résistante au phishing, à appliquer un accès à privilège minimal, et à améliorer la surveillance réseau, entre autres.
De plus, la société a déjà mis en œuvre des mesures concrètes telles que l'activation par défaut de l'authentification multifactorielle pour plus d'un million de ses locataires et la suppression de 730 000 applications anciennes ou non sécurisées. En parallèle, une note interne de Satya Nadella, son PDG, obtenue par The Verge, réaffirme l'engagement de l'entreprise envers la sécurité, suggérant que son amélioration doit passer avant l'ajout de nouvelles fonctionnalités. Ces efforts montrent que Microsoft prend au sérieux les défis de cybersécurité auxquels il est confrontée et s'engage à améliorer continuellement ses pratiques pour protéger ses clients contre des menaces de plus en plus sophistiquées. Et comme dit l'adage, mieux vaut tard que jamais.
Tags:
Technologie
