Lors de sa conférence Ignite de mardi, Microsoft a fait le point sur l'état d'avancement de son initiative pour un avenir sûr (Secure Future Initiative ou SFI), lancée il y a un an, qui comprenait des mesures importantes telles que l'application de l'authentification multifacteur (MFA) par défaut pour les instances, l'isolation de près de 100 000 terminaux professionnels dans le cadre de politiques d'accès conditionnel et le blocage des secrets GitHub pour réduire leur exposition aux menaces. Le rapport d'étape, structuré autour des six piliers d'ingénierie habituels de Microsoft utilisés pour évaluer ses avancées, présente des perspectives plus prometteuses par rapport à une précédente mise à jour de septembre qui portait sur la rotation des informations d'identification, les contrôles d'accès JIT/JEA et la surveillance des menaces.

« En mai 2024, le CEO de Microsoft, Satya Nadella, a fait de la sécurité la priorité absolue de l'entreprise », a déclaré Microsoft dans son document. « Depuis lors, nous avons consacré l'équivalent de 34 000 ingénieurs à l'avancement des objectifs énoncés dans la SFI, ce qui en fait le plus grand projet d'ingénierie de cybersécurité de l'histoire. » Microsoft a également souligné les efforts déployés pour intégrer la sécurité dans sa culture, en menant à bien plusieurs initiatives en matière d'apprentissage et de gouvernance, notamment des formations obligatoires à la sécurité du personnel par l'intermédiaire de la Microsoft Security Academy, et en s'engageant à respecter l'engagement CISA « secure by design » (« sécurité dès la conception »).

Microsoft s'engage à protéger les identités, les secrets et les systèmes

Microsoft a souligné son engagement en faveur de la sécurité en intégrant une série de cadres « sécurisés dès la conception » dans ses processus. L'entreprise a défini quatre piliers d'ingénierie SFI clés pour soutenir cet effort : la protection des identités et des secrets, l'isolation des systèmes de production pour protéger les instances, la protection des réseaux et la sécurisation des systèmes d'ingénierie. À cette fin, le fournisseur, qui dispose d'outils d'identité tels que Azure AD, Entra, Defender et Authenticator, a mis en place le MFA par défaut pour tous ces nouvelles instances hôtes. En outre, il met en œuvre une MFA résistante à l'hameçonnage dans ses environnements de productivité. « Pour aider à sécuriser les clients, l'authentification multifacteur (MFA) est désormais activée par défaut pour les hôtes et sera appliquée pour le portail Azure, le centre d'administration Entra, celui d'Intune et celui de Microsoft 365 », indique l'éditeur. Azure Managed Identity for service-to-service (S2S) a également été mis en œuvre à grande échelle pour les applications Entra ID et les ressources Azure, afin de protéger les secrets tels que les mots de passe, les clés d'accès au stockage et les jetons SAS de stockage contre les fuites.

Afin d'atténuer les risques liés aux terminaux, Microsoft a indiqué avoir déployé 98 000 PC verrouillés prêts pour la production (fonctionnant uniquement avec des fonctionnalités sécurisées et limitées), et avoir transféré 28 000 « utilisateurs à haut risque » vers une solution de virtualisation de poste de travail (VDI) personnalisée et verrouillée. « Pour aider les clients à se protéger, nous avons introduit un modèle d'accès conditionnel Entra, actuellement en avant-première publique, qui exige la conformité des terminaux », a déclaré Microsoft. Dans le cadre du pilier « protéger les systèmes d'ingénierie », qui fait référence aux pratiques visant à réduire le risque de secrets et d'informations d'identification dans son code, l'entreprise a déployé GitHub Advanced Security pour bloquer l'exposition de nouveaux secrets dans les référentiels GitHub et Azure DevOps Git.

Une attention accrue à la gestion des menaces

Pour lutter contre les fuites de secrets, Microsoft s'efforce de « supprimer les secrets du code et d'autres méthodes de stockage et de transmission non sécurisées ». Il a mis en œuvre « des normes de protocoles d'authentification forte qui ne reposent pas sur des mécanismes faibles tels que les informations d'identification en clair et qui détectent, bloquent et suppriment activement les secrets et les informations d'identification exposés. » Concernant la protection des réseaux, Azure Virtual Network Encryption est disponible dans toutes les régions et la prise en charge des extensions de sécurité du système de noms de domaine est disponible en avant-première publique. En outre, pour favoriser « l'isolation et la segmentation » de la gestion et des services, plus de 99,3 % des actifs physiques ont été inventoriés et des listes de contrôle d'accès (ACL) obligatoires leur ont été appliquées, afin d'isoler leur gestion, explique Microsoft.

La société a attribué une poignée d'autres améliorations aux autres piliers de la SFI : surveiller et détecter les menaces, et accélérer la réponse et la remédiation. Pour faciliter l'amélioration de la surveillance des systèmes en vue de la détection des menaces, Microsoft a déclaré qu'il avait étendu les capacités de journalisation dans le cloud, qui comprennent des journaux détaillés de plus de 30 types de données et une conservation standard des logs pendant 180 jours. Ces fonctionnalités sont disponibles par défaut pour les clients de 365, sans coût supplémentaire, a ajouté Microsoft. En outre, l'entreprise a déclaré avoir mis en place une gestion centralisée et une période de conservation de deux ans pour les journaux d'audit de sécurité de l'infrastructure d'identité. Dans le cadre des initiatives de gestion des menaces, l'entreprise a déclaré avoir corrigé 90 % des vulnérabilités dans le délai imparti pour atténuer les effets des vulnérabilités les plus graves de l'informatique cloud. Elle a également déclaré avoir publié près de 800 vulnérabilités et expositions communes (CVE) dans le cadre d'un effort de communication transparent. « Microsoft continue de progresser dans la réalisation de ses objectifs en matière de SFI », a déclaré Vasu Jakkal, vice-président chargé de la sécurité chez Microsoft. « Dans ce rapport, nous soulignons les investissements que nous réalisons dans l'ensemble de l'entreprise pour identifier, hiérarchiser et traiter les risques de cybersécurité dans toute l'entreprise.