Microsoft revoit son approche de la cybersécurité après une attaque très médiatisée contre les courriels de l'entreprise et une réprimande sévère du gouvernement fédéral sur ses pratiques de sécurité. L’entreprise a nommé d’autres responsables de la sécurité des informations (RSSI) au sein des équipes de produits, ainsi qu'une nouvelle RSSI adjointe, chargée d'assurer la liaison avec les clients. Selon un rapport publié par Bloomberg, les CISO dédiés aux produits rendront compte à Igor Tsyganskiy, le RSSI mondial de Microsoft, arrivé à ce poste il y a six mois environ.
Par ailleurs, Ann Johnson, responsable de longue date de la sécurité, a été nommée RSSI adjointe chargée de l'assistance aux clients et des industries réglementées. Elle rendra également compte à Igor Tsyganskiy. Elle se concentrera sur « l'engagement des clients et la communication sur la sécurité de Microsoft », a précisé l’éditeur dans un courriel lu par Bloomberg. Vendredi, un porte-parole de Microsoft a déclaré dans un courriel que, pour le moment, l'entreprise n'avait rien à partager sur les changements de direction mentionnés.
Renforcer la stratégie de sécurité
Ces mesures semblent s'inscrire dans le prolongement de la Secure Future Initiative (SFI) dévoilée par l'entreprise en novembre afin d'améliorer la sécurité intégrée de ses produits et plateformes et de mieux protéger ses clients contre les menaces croissantes. L’initiative vise à mobiliser « toutes les parties de Microsoft » en vue de renforcer la protection de la cybersécurité selon trois axes : « les cyberdéfenses basées sur l'IA, les avancées dans l'ingénierie logicielle fondamentale et la défense d'une application plus stricte des normes internationales », comme l’avait déclaré à l’époque Brad Smith, vice-président et président de Microsoft.
En effet, les solutions de Microsoft sont historiquement et notoirement la cible de pirates informatiques qui ont longtemps exploité leurs failles pour mener des activités malveillantes ayant affecté de nombreuses entreprises et causé des dommages étendus dans de multiples secteurs d'activité et zones géographiques. En décembre, dans la foulée de l'annonce de cette initiative, Microsoft a nommé Igor Tsyganskiy, relativement nouveau dans l'entreprise, pour remplacer Bret Arsenault, CISO de longue date, nommé à un poste de conseiller.
Des problèmes de sécurité persistants
À peu près au même moment, mais à l'insu de Microsoft jusqu'en janvier, Midnight Blizzard un groupe de la menace basé en Russie, également connu sous le nom de Nobelium, piratait les courriels d'employés de Microsoft, y compris de cadres supérieurs. L’an dernier, Microsoft avait accusé ce groupe d'avoir eu recours à l'ingénierie sociale pour mener une cyberattaque contre Teams. Mi-avril, l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avait averti que Midnight Blizzard avait exploité la faille pour voler les courriels d'agences gouvernementales, conseillant aux agences de vérifier d'urgence leurs systèmes de messagerie pour détecter tout signe de compromission.
Comme si cela ne suffisait pas, début avril, Microsoft a aussi fait l'objet d'une évaluation cinglante de la part d'une commission fédérale à propos d’une autre cyberattaque parrainée par un État et ayant affecté le gouvernement fédéral. Celle-ci s'est produite en juillet 2023, suite à l’intrusion d’acteurs chinois dans des comptes Microsoft 365 pour cibler des fonctionnaires clés du gouvernement américain. Le rapport publié le 2 avril par le comité indépendant d'examen de la cybersécurité du ministère de la Sécurité intérieure (Department of Homeland Security, DHS) dresse un bilan incendiaire de la culture de sécurité de Microsoft et accuse l'entreprise d'être responsable de l'attaque du groupe Storm-0558 qui, selon le comité, aurait pu être facilement évitée.
Sur la bonne voie
La dernière stratégie de sécurité de Microsoft montre que l'entreprise intègre les commentaires et prend des mesures correctives pour améliorer sa posture de sécurité globale et ses produits, en particulier à mesure que la pression extérieure s'intensifie. « Microsoft prend la bonne décision en mettant davantage l'accent sur la sécurité avec de nouvelles nominations à des postes de direction », a déclaré Pareekh Jain, CEO d'EIIRTrend & Pareekh Consulting, dans un courriel. « Aujourd'hui, non seulement des individus ou des groupes de pirates informatiques attaquent, mais des incidents de cybersécurité parrainés par l'État se produisent également. Les fournisseurs de solutuions comme Microsoft, qui ont une large emprise sur les consommateurs, les entreprises et les gouvernements, doivent avoir quelques longueurs d'avance dans ce domaine », a-t-il ajouté.
« Microsoft sera aussi considérée comme un exemple pour les autres fournisseurs de produits quant à la manière de relever les défis de sécurité, de sorte que les mesures qu'elle prend aujourd'hui sont cruciales pour la feuille de route globale de l'industrie en la matière », a-t-il fait remarquer. « Dans le secteur des produits, l’indicateur clé est le délai de mise sur le marché de nouvelles fonctionnalités. Il est temps que l'attention se porte sur le délai de sécurité », a ajouté le consultant. « L'industrie va scruter ce que fait Microsoft et, à l'avenir, un plus grand nombre d'entreprises de produits se concentreront sur le délai de mise sur le marché et sur l'intégration d'experts en sécurité au sein de leurs groupes de produits ».