Microsoft franchit une première étape dans l’amélioration de ses pratiques de cybersécurité

Chose promise, chose due. Après avoir été à de nombreuses reprises sous le feu des critiques pour des manquements dans la protection de ses produits et services, Microsoft entame pour de bon son chantier d’amélioration en matière de cybersécurité. La firme avait esquissé les grandes lignes de ce programme “Secure Future Initiative” en mai, qui s’articule autour de trois principes et six piliers.

Le premier principe vise à faire passer “la sécurité avant tout lors de la conception de tout produit ou service”, les deux autres précisant que ces protections seraient “activées et appliquées par défaut” et que les “contrôles et surveillance” sur cette sécurité seraient améliorées en permanence. Dans un communiqué publié le 23 septembre, Charlie Bell, vice-président exécutif chez Microsoft Security, affirme avoir mis 34 000 ingénieurs à plein temps sur cette initiative.

Un “conseil de gouvernance de la cybersécurité” réunissant tous les CISO

Microsoft annonce des changements dans la structure de l’entreprise, avec la création d’un “conseil de gouvernance de la cybersécurité”, composé de CISO de toutes les fonctions de sécurité clé et de toutes les branches d’ingénierie. Des créations de postes de CISO ont été prévues à cet effet. La sécurité est désormais définie comme une “priorité essentielle” pour les 220 000 employés de Microsoft, qui précise que la rémunération des cadres dirigeants sera liée aux performances en matière de sécurité. Des modules de formation réguliers sont aussi prévus à l’attention des salariés.

Sur les six piliers annoncés en début d’année, Microsoft avait en premier lieu évoqué une protection intégrale des identités et des “secrets”, comprenant les clés de chiffrement, jetons d’authentification et informations d’identification. Le géant de l’informatique indique avoir terminé de mettre à jour ses solutions cloud de gestion des accès Microsoft Entra ID et Account, permettant de mieux protéger les clés de signature critiques lors d’une authentification à distance.

Ce faisant, Microsoft compte éviter de reproduire une cyberattaque comme celle ayant eu lieu contre Microsoft Exchange l’année dernière. Les boîtes mail de hauts responsables du gouvernement américain et de 500 individus avaient alors été piratées. Au cours de celle-ci, les hackers chinois de Storm-0558 s’étaient infiltrés à l’aide d’une clé de signature unique et d’une vulnérabilité dans le système d’authentification. La firme de Redmond indique aussi avoir mis en œuvre une vérification vidéo pour 95% des utilisateurs internes dans ses environnements de production pour éliminer le partage de mots de passe.

Près de 6 millions de comptes inactifs supprimés de son environnement cloud

Sur la sécurité des systèmes de production, Microsoft affirme avoir éliminé 730 000 applications inutilisées et 5,75 millions de comptes inactifs de son environnement cloud. Le groupe a aussi déployé 15 000 nouveaux appareils verrouillés pour les équipes de production de logiciels pour isoler ses systèmes. Ces mesures visent à empêcher que des cybercriminels n’accèdent au code source des produits, comme cela s’était produit avec les pirates russes du groupe Nobelium.

L’entreprise s’était également engagée à créer des “couches de défense supplémentaires” contre les pirates pour mieux sécuriser les réseaux. Elle affirme désormais que 99% des actifs physiques du réseau de production sont enregistrés dans un système d’inventaire central. “Les réseaux virtuels avec connectivité back-end sont isolés du réseau d’entreprise Microsoft et soumis à des examens complets pour réduire les mouvements latéraux”, ajoute Charlie Bell.

Microsoft mise sur la transparence

En ce qui concerne ses systèmes d’ingénierie, Microsoft a réduit la durée de vie des jetons d’accès personnels à 7 jours et a désactivé l’accès au protocole sécurisé SSH pour tous ses référentiels d’ingénierie interne. Sur le volet de la détection des menaces, l’entreprise s’engage comme prévu à conserver pendant deux ans les journaux de sécurité de ses systèmes. Elle affirme que 99% des périphériques réseau sont dotés d’outils de collecte et de conservation centralisée de ces journaux.

De nombreuses critiques à l’égard de Microsoft reposaient sur son manque de réactivité pour répondre et apporter des correctifs après des incidents de cybersécurité. La société compte apporter une plus grande transparence avec la création d’un Customer Security Management Office, destiné à fournir une meilleure communication le cas échéant. Elle a aussi commencé à publier des vulnérabilités critiques du cloud sous forme de vulnérabilités courantes, appelées CVE, que le client ait à intervenir ou non.