Microsoft dévoile son programme d’amélioration de sa cybersécurité interne

Microsoft a rendu public, le 3 mai 2024, les grands axes de son plan d’amélioration de ses pratiques de cybersécurité, baptisé « Secure Future Initiative » (SFI), lancé en interne en novembre 2023. La firme a récemment fait face à plusieurs piratages d’ampleur, aux conséquences stratégiques graves. À l’été 2023, une campagne d’espionnage contre sa messagerie Exchange a ainsi compromis les boîtes e-mails de hauts responsables américains.

En avril 2024, le Cyber Safety Review Board (CSRB), un comité gouvernemental rattaché au département de la Sécurité intérieure des États-Unis, a publié un rapport sur cet incident. Le CSRB y affirme que l’attaque était « évitable », et le fruit d’une « culture d’entreprise inadéquate » en terme de cybersécurité.

Pour y remédier, le SFI s’appuie sur trois « principes » et six « piliers ». Les trois principes sont :

• une cybersécurité pensée dès la conception pour tout produit ou service
• une application par défaut des protections de sécurité, dans tous les cas
• une amélioration continuelle des contrôles et de la surveillance de la sécurité

Pour respecter ces principes, la firme entend notamment :

• sécuriser « à 100 % » ses identités et ses accès
• protéger le code source des produits Microsoft contre toute intrusion
• renforcer sa protection des réseaux
• mieux repérer les failles dans son infrastructure et ses services de production
• faciliter l’identification détaillée des intrusions présentes et passées
• réviser ses mesures d’atténuation et de remédiation, jugées défaillantes

« Si vous êtes confrontés à un dilemme entre la sécurité et une autre priorité, la réponse est évidente : choisissez la sécurité. Dans certains cas, cela signifie donner la priorité à la sécurité sur d’autres choix stratégiques, comme la publication de nouvelles fonctionnalités ou la fourniture d’un support continu pour les systèmes existants », précise, dans une note aux salariés, Satya Nadella, PDG de Microsoft.