Microsoft, lun des gants de la technologie, a rcemment annonc un changement majeur dans sa politique interne : dsormais, chaque employ sera valu en fonction de ses efforts en matire de scurit. Cette dcision intervient aprs des annes de problmes de scurit et de critiques croissantes lgard de lentreprise.
Les efforts de Microsoft en matire de scurit et de protection de la vie prive ont connu deux annes difficiles. Des terminaux mal configurs, des certificats de scurit malveillants et des mots de passe faibles ont tous caus ou risqu de causer l’exposition de donnes sensibles, et Microsoft a t critiqu par des chercheurs en scurit, des lgislateurs amricains et des organismes de rglementation pour la faon dont il a rpondu ces menaces et les a divulgues.
Les violations les plus mdiatises ont impliqu un groupe de hackers bas en Chine, nomm Storm-0558, qui a russi pntrer le service Azure de Microsoft et collecter des donnes pendant plus dun mois la mi-2023 avant dtre dcouvert et vinc. Aprs des mois dambigut, Microsoft a rvl quune srie de dfaillances de scurit avait permis Storm-0558 daccder au compte dun ingnieur, ce qui lui a permis de collecter des donnes de 25 clients Azure de Microsoft, y compris des agences fdrales amricaines.
Fin janvier, Microsoft a reconnu une nouvelle violation de donnes, dclarant dans un rapport que des pirates informatiques affilis l’tat russe se sont introduits dans son systme de messagerie lectronique interne et ont accd aux comptes des membres de l’quipe dirigeante, ainsi qu’ ceux des employs des quipes charges de la cyberscurit et des affaires juridiques. Microsoft a ajout que l’intrusion a commenc fin novembre et a t dcouverte le 12 janvier.
Microsoft a attribu l’attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l’entreprise, il s’agit d’un groupe de pirates hautement qualifis parrains par l’tat russe et qui sont l’origine de l’intrusion dans les systmes de SolarWinds il y a quelques annes. La violation aurait permis aux pirates d’exfiltrer des identifiants de connexion qu’ils utiliseraient dsormais afin de farfouiller dans les systmes de Microsoft. L’entreprise a publi en mars un autre rapport qui rvle que le groupe a galement vol du code source et qu’il tait peut-tre encore en train de fouiller dans ses systmes informatiques internes.
Ces dernires semaines, nous avons constat que Midnight Blizzard utilisait des informations initialement exfiltres de nos systmes de messagerie d’entreprise dans le but d’obtenir, ou tenter d’obtenir, un accs non autoris. Cela inclut l’accs certains rfrentiels de code source de Microsoft et des systmes internes. ce jour, nous n’avons trouv aucune preuve que les systmes clients hbergs par Microsoft ont t compromis , explique Microsoft dans un billet de blog.
Une culture de la scurit inadquate
Certains analystes se sont inquits des risques pour la scurit nationale amricaine. Le fait que l’un des plus grands fournisseurs de logiciels soit lui-mme en train d’apprendre les choses au fur et mesure est un peu effrayant. Vous n’avez pas l’assurance, en tant que client, qu’il ne se passe pas quelque chose de plus grave. Ces attaques tmoignent galement de l’agressivit des pirates , a dclar Jerome Segura, chercheur principal chercheur en menace de la socit de cyberscurit Malwarebytes. Segura a ajout qu’il est dconcertant que l’attaque soit toujours en cours malgr les efforts dploys par Microsoft.
C’est le genre de chose qui nous inquite vraiment. L’acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pntrer dans les environnements de production, puis compromettre les logiciels et installer des portes drobes et d’autres choses de ce genre , a dclar Segura. Dans un document dpos auprs de la Securities and Exchange Commission (SEC), Microsoft a dclar que l’attaque n’avait pas eu d’impact matriel sur ses activits, mais a averti que cela restait une possibilit, malgr des investissements accrus en matire de scurit et la coordination avec les autorits charges de l’application de la loi.
Lancement de la Secure Future Initiative chez Microsoft
En rponse, Microsoft a lanc linitiative Secure Future Initiative (initiative pour un avenir sr) en novembre 2023, annonant une srie de plans et de changements dans ses pratiques de scurit, dont certains ont dj t mis en uvre. Dans le cadre de cette initiative, Microsoft a annonc hier une srie de plans et de modifications de ses pratiques de scurit, y compris quelques changements dj effectus.
Charlie Bell, vice-prsident excutif de la scurit chez Microsoft, a crit : Nous faisons de la scurit notre priorit absolue chez Microsoft, avant tout le reste avant toutes les autres fonctionnalits . Nous largissons le champ d’application du SFI, en intgrant les rcentes recommandations du CSRB ainsi que les enseignements tirs de Midnight Blizzard, afin de garantir que notre approche de la cyberscurit reste solide et adapte l’volution du paysage des menaces .
Dans le cadre de ces changements, en mai, Microsoft a not que la rmunration de lquipe de direction senior dans son entreprise dpendra en partie de la ralisation des plans et objectifs de scurit de lentreprise, bien que Bell nait pas prcis quelle part de la rmunration des dirigeants serait dpendante de ces objectifs de scurit :
Nous mobiliserons les piliers et les objectifs largis de la SFI dans l’ensemble de Microsoft et cette dimension sera prise en compte dans nos dcisions de recrutement. En outre, nous instillerons la responsabilit en basant une partie de la rmunration de l’quipe dirigeante de l’entreprise sur les progrs raliss dans la mise en uvre de nos plans et de nos tapes en matire de scurit .
La priorit absolue : la scurit
Mais Microsoft ne compte pas s’arrter l : l’entreprise va lier ses efforts en matire de scurit l’valuation des performances de chaque employ.
Kathleen Hogan, directrice des ressources humaines chez Microsoft, a dclar dans une note interne : Tout le monde chez Microsoft doit considrer la scurit comme une priorit absolue. Lorsquil y a un compromis faire, la rponse est claire et simple : la scurit avant tout. Cette nouvelle approche signifie que les employs devront dsormais tenir compte de la scurit dans leurs dcisions quotidiennes, leurs projets et leurs tches.
La scurit et la diversit sont dsormais au premier plan des piliers stratgiques de Microsoft. Elles font toutes deux partie intgrante du processus d’valuation des performances internes appel « Connect ». Connect est conu pour tre utilis par l’ensemble du personnel, y compris les cadres qui sont galement responsables de la ralisation d’objectifs spcifiques en matire de scurit.
Il semblerait que les employs de Microsoft soient dsormais tenus de dmontrer leur contribution au renforcement des mesures de scurit. Pour ceux qui occupent des fonctions techniques, par exemple, il s’agirait d’intgrer des considrations de scurit ds les premires tapes du dveloppement des produits, d’adhrer aux protocoles de scurit tablis et de veiller ce que les produits soient scuriss par dfaut pour les clients.
Un manque d’intrt pour la scurit chez les employs de Microsoft pourrait avoir un impact sur les promotions, les augmentations de salaire au mrite et les primes. L’impact de la priorit de base en matire de scurit sera un lment cl pour les responsables qui dtermineront l’impact et recommanderont des rcompenses , peut-on lire dans une FAQ interne de Microsoft sur sa nouvelle politique. Cela va au-del de la conformit, car nous demandons aux employs de donner la priorit la scurit dans tout le travail qu’ils effectuent et de se responsabiliser en enregistrant leur impact sur la scurit chaque fois qu’ils effectuent une connexion .
Les difficults de Microsoft en matire de scurit
Ces dernires annes, Microsoft a t critique pour son infrastructure de scurit juge laxiste.
Le monde numrique est encore sous le choc de la panne informatique mondiale du mois dernier, due une mise jour dfectueuse de la socit de cyberscurit CrowdStrike. tant donn que de nombreuses solutions Microsoft ont t touches, cet incident a d’abord sem la panique chez les observateurs qui craignaient une cyberattaque de masse ciblant Microsoft, avant que la responsabilit de CrowdStrike ne soit confirme.
Bien que Microsoft ne soit pas responsable de la panne, celle-ci a mis en vidence la dpendance fragile du monde l’gard de nombreux services de l’entreprise, une poque o les attaques d’acteurs malveillants deviennent de plus en plus sophistiques.
Cependant, il y a eu des cas plus alarmants d’attaques de scurit visant Microsoft.
En octobre, des comptes Skype compromis ont t pirats pour diffuser le logiciel malveillant DarkGate, tandis que Microsoft Teams a galement t pris pour cible. En novembre, des pirates russes ont pntr les dfenses de Microsoft, accdant aux comptes de messagerie de plusieurs membres de l’quipe dirigeante et volant du code source. La brche est passe inaperue pour Microsoft pendant prs de deux mois, l’intrusion n’ayant t dcouverte qu’en janvier.
En avril, le US Cyber Safety Review Board (CSRB) a affirm que Microsoft aurait d tre mieux quip pour empcher les pirates chinois d’accder aux courriels du gouvernement amricain via son logiciel Microsoft Exchange Online lors de la cyberattaque Storm-0558 en juillet 2023.
En rponse, Microsoft s’est engag mettre en uvre les recommandations du CSRB et a dtaill un ensemble complet de principes et d’objectifs de scurit. En liant la rmunration des dirigeants et les performances des travailleurs la ralisation de ces objectifs de scurit, Microsoft souligne sa volont d’amliorer ses mesures de cyberscurit.
En juillet, Malwarebytes a publi un rapport faisant tat d’une campagne de publicit malveillante visant voler les mots de passe des utilisateurs de Microsoft Teams pour Mac.
Les pirates ont incit les utilisateurs de Mac tlcharger une fausse version de Microsoft Teams, qui est en fait le logiciel malveillant Atomic Stealer conu pour voler les mots de passe des trousseaux de cls et des navigateurs web d’Apple. Les utilisateurs ont accd ces sites de tlchargement frauduleux de Microsoft Teams par l’intermdiaire d’un compte publicitaire Google compromis Hong Kong, ce qui a permis aux liens des pirates d’apparatre en tte des rsultats de recherche pour le logiciel de vidoconfrence et de collaboration.
Le mme mois, Microsoft s’est excuse pour une panne cause par une cyberattaque et amplifie par une erreur dans ses dfenses, perturbant Microsoft 365, Xbox, Outlook et Minecraft.
Sources : mmo de Microsoft, des acteurs malveillants diffusent le logiciel malveillant DarkGate via Skype (TrendMicro), une version factice de Microsoft Teams pour Mac livre Atomic Stealer (Malwarebytes)
Et vous ?
Quelle est la responsabilit des employs en matire de scurit ? Pensez-vous que les employs devraient tre valus sur leur engagement envers la scurit ? Comment cela pourrait-il affecter leur travail au quotidien ?
Comment quilibrer scurit et innovation ? De quelle faon Microsoft pourrait maintenir un haut niveau de scurit tout en encourageant linnovation et la crativit parmi ses employs ?
Quelles mesures concrtes peuvent tre prises pour amliorer la scurit ? Partagez vos ides sur les actions spcifiques que Microsoft et dautres entreprises peuvent entreprendre pour renforcer la scurit.
La scurit doit-elle tre prioritaire sur dautres aspects du travail ? tes-vous daccord avec la nouvelle politique de Microsoft ? Pensez-vous que la scurit devrait toujours tre la priorit absolue ?
Quel rle joue la sensibilisation la scurit ? Explorez limportance de la formation et de la sensibilisation la scurit pour tous les employs, quel que soit leur poste.