Microsoft a présenté le 3 mai les principaux piliers de son grand programme d’amélioration de ses pratiques de cybersécurité. Ce plan, intitulé “Secure Future Initiative” (SFI), avait été lancé en novembre dernier en interne. Il prévoyait notamment de bloquer automatiquement certains abus, de rechercher des données sensibles dans le trafic réseau, et d'appliquer de nouvelles exigences lors de la création de comptes d’entreprise.
Une sécurité qui s’applique dès la conception du produit ou service
Charlie Bell, vice-président exécutif de Microsoft Security, explique que l’initiative de Microsoft s’articule autour de trois “principes de sécurité”, et de “six piliers de sécurité prioritaires”. Suivant le premier principe, “la sécurité passe avant tout lors de la conception de tout produit au service”. Les deux autres principes précisent que ces protections de sécurité seront “activées et appliquées par défaut”, qu’elles ne sont pas facultatives, et que “les contrôles et la surveillance de sécurité seront continuellement améliorés”.
Les “piliers de sécurité” donnent davantage de précisions. Microsoft entend tout d’abord protéger à 100% les identités et les “secrets”, soit les clés de chiffrement, jetons d’authentification ou informations d’identifications gérées par le système. La firme demande à ce que les systèmes d’identité et d’infrastructure à clés publiques (PKI) soient “prêts pour un monde de cryptographie post-quantique”.
Elle s’engage également à prendre une série de mesures pour empêcher les pirates d’accéder au code source de ses produits, en isolant les systèmes de production. Un enjeu de taille pour Microsoft : en mars, le groupe avait reconnu que les pirates russes du groupe Nobelium avaient volé “certains référentiels de code source et systèmes internes de l’entreprise”.
Accélérer les mesures de correction des vulnérabilités
Microsoft prend aussi de nombreuses mesures pour protéger les réseaux, en créant notamment des “couches de défense supplémentaires” contre les pirates, et en permettant aux clients de sécuriser plus facilement leurs réseaux et d’isoler les ressources réseau dans le cloud.
Pour mieux détecter les menaces à venir, Microsoft compte maintenir un inventaire à jour de son infrastructure et de ses services de production, conserver les journaux de sécurité de ses systèmes pendant au moins deux ans et faciliter l’accès aux enquêtes de sécurité. Elle souhaite aussi proposer des mesures plus rapides d’atténuation, pour contrer les critiques sur ses longs délais de détection et de correction des cyberattaques dans ses systèmes. L’intrusion du groupe Nobelium, détectée initialement en janvier, avait en réalité commencé fin novembre.
Reste à savoir si la firme de Redmond parviendra à tenir sa feuille de route. Ces derniers mois, Microsoft multiplie ses efforts et investissements dans le développement d’outils d’IA générative. Des solutions qui pourraient laisser aux pirates informatiques un champ d’action plus vaste pour mener des cyberattaques, et mettre en danger les données de ses clients.
“Choisissez la sécurité”, insiste Satya Nadella
Le géant de l’informatique a décidé de passer à la vitesse supérieure notamment suite à un rapport du gouvernement américain. “Les récentes conclusions du Cyber Safety Review Board (CSRB) (…) soulignent la gravité des menaces auxquelles notre entreprise et nos clients sont confrontés”, explique Charlie Bell dans un communiqué.
Le CSRB, comité gouvernemental rattaché au département de la Sécurité intérieure des États-Unis, avait publié il y a un mois ses conclusions sur la campagne d’espionnage ayant visé la messagerie Exchange l’été dernier. Les boîtes e-mail de 22 organisations et 500 individus à travers le monde, dont certains hauts responsables du gouvernement américain, avaient été piratées par le groupe de hackers Storm-0558, considéré comme affilié à la Chine. Le CSRB avait dénoncé une “culture d’entreprise” inadéquate, et ajoutait que l’intrusion des pirates était “évitable”.
Dans une note adressée vendredi aux salariés, Satya Nadella, CEO de Microsoft, a déclaré : “Si vous êtes confrontés à un dilemme entre la sécurité et une autre priorité, votre réponse et claire : choisissez la sécurité. Dans certains cas, cela signifie donner la priorité à la sécurité avant d’autres choses, comme la publication de nouvelles fonctionnalités ou la fourniture d’un support continu pour les systèmes existants.” Satya Nadella précise qu’à l’avenir, la rémunération des cadres dirigeants de Microsoft sera en partie calculée en fonction du degré de réalisation des objectifs de ce programme.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
