“Une culture d’entreprise qui priorisait les investissements en matière de sécurité d’entreprise, et une gestion des risques en contradiction avec le niveau de confiance que les clients accordent à l’entreprise” : le CSRB, comité gouvernemental rattaché au département de la Sécurité intérieure des États-Unis, n’a pas mâché ses mots. Il y a moins de deux semaines, il publiait ses conclusions sur la campagne d’espionnage ayant visé la messagerie Exchange de Microsoft, ciblant des boîtes e-mail de hauts responsables du gouvernement américain.
Une intrusion “évitable”
L’été dernier, les boîtes e-mail de 22 organisations, et de 500 individus à travers le monde, avaient été piratées. Le CSRB avait ajouté que l’intrusion du groupe de hackers était “évitable”. Un porte-parole de Microsoft avait alors assuré qu’une “nouvelle culture d’ingénierie de sécurité” allait être adoptée.
Or entre-temps, la firme de Redmond a été victime de nouvelles cyberattaques. En début d’année, l’éditeur de Windows indiquait que le groupe de hackers Nobelium, affilié aux services de renseignement extérieur de la Russie, avait infiltré les adresses e-mail de plusieurs de ses dirigeants. Parmi eux, Brad Smith, président et responsable des affaires publiques, et Amy Hood, directrice financière.
Microsoft avait ensuite reconnu, en mars, que ces mêmes pirates avaient aussi volé “certains référentiels de code source et systèmes internes de l’entreprise”. L’agence fédérale de cybersécurité américaine (CISA) a confirmé, la semaine dernière, qu’il s’agissait bien d’hackers russes, tout en émettant des directives d’urgences aux autres agences fédérales pour mieux se protéger.
De longs délais de détection et de correction
La plupart des cyberattaques subies par Microsoft présentent un dénominateur commun : elles prennent du temps à être détectées ou à être corrigées. L’intrusion du groupe Nobelium, détectée le 12 janvier, a en réalité commencé fin novembre. Un précédent piratage de Microsoft Exchange, en août 2021, avait permis à des hackers d’avoir accès à des données sensibles de six ministères des Affaires étrangères, et de 8 sociétés spécialisées dans l’énergie. Les informations sensibles, de nature diplomatique, auraient été volées sur une période de trois ans, entre 2017 et 2020.
En mars 2023, la société de cybersécurité Tenable découvrait une vulnérabilité critique dans le cloud Azure, pouvant permettre à un hacker d’accéder à des informations sensibles. La faille avait été remontée à Microsoft, qui avait décidé d’appliquer un premier correctif… 90 jours plus tard. “Développer une mise à jour de sécurité est un équilibre délicat entre la rapidité et la qualité, tout en garantissant une protection maximale avec une perturbation minimale”, s’était alors défendu le géant de l’informatique.
La dépendance du gouvernement américain critiquée
Selon certains experts en cybersécurité, la dépendance du gouvernement américain constitue également une vulnérabilité en matière de cybersécurité. Actuellement, la plupart des agences gouvernementales utilisent Windows et Office, de même que le Pentagone et le FBI. Lors de la publication des conclusions du CSRB, au début du mois, peu de responsables politiques ou gouvernementaux ont refusé de critiquer Microsoft. Alors même que le rapport avait été mandaté par Joe Biden, qui s’était engagé à encadrer les abus des géants de la tech.
“La dépendance du gouvernement américain à l’égard de Microsoft constitue une menace sérieuse pour la sécurité nationale des États-Unis, a même osé le sénateur démocrate Ron Wyden. Le gouvernement est bloqué avec les produits de l’entreprise, malgré de multiples violations des systèmes du gouvernement américain par des hackers étrangers causés par la négligence de l’entreprise.” L’élu américain a annoncé, la semaine dernière, déposer un projet de loi pour fixer un délai de 4 ans au gouvernement, afin de cesser d’acheter des produits comme Microsoft Office, qui ne s’intègrent pas efficacement avec les services concurrents.
Microsoft lance sa feuille de route
“Nous nous engageons à nous adapter à l’évolution du paysages des menaces et à établir des partenariats entre l’industrie et le gouvernement pour nous défendre contre ces menaces mondiales croissantes et sophistiquées”, a expliqué Steve Faehl, directeur de la technologie pour l’activité de sécurité fédérale de Microsoft, dans une réponse écrite au média Wired.
À l’automne dernier, la firme a lancé une initiative pour améliorer sa sécurité en interne, notamment en bloquant automatiquement certains abus, en recherchant des informations sensibles dans le trafic réseau, ou à demander de nouvelles exigences lors de la création de comptes d’entreprise. Microsoft affirme enfin avoir déployé “des milliers d’ingénieurs” pour améliorer ses produits, et réunit certains cadres au moins deux fois par semaines concernant l’état de mises à jour.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
