Microsoft, l’un des géants de la technologie, a récemment annoncé un changement majeur dans sa politique interne : désormais, chaque employé sera évalué en fonction de ses efforts en matière de sécurité. Cette décision intervient après des années de problèmes de sécurité et de critiques croissantes à l’égard de l’entreprise.Les efforts de Microsoft en matière de sécurité et de protection de la vie privée ont connu deux années difficiles. Des terminaux mal configurés, des certificats de sécurité malveillants et des mots de passe faibles ont tous causé ou risqué de causer l'exposition de données sensibles, et Microsoft a été critiqué par des chercheurs en sécurité, des législateurs américains et des organismes de réglementation pour la façon dont il a répondu à ces menaces et les a divulguées.
Les violations les plus médiatisées ont impliqué un groupe de hackers basé en Chine, nommé Storm-0558, qui a réussi à pénétrer le service Azure de Microsoft et à collecter des données pendant plus d’un mois à la mi-2023 avant d’être découvert et évincé. Après des mois d’ambiguïté, Microsoft a révélé qu’une série de défaillances de sécurité avait permis à Storm-0558 d’accéder au compte d’un ingénieur, ce qui lui a permis de collecter des données de 25 clients Azure de Microsoft, y compris des agences fédérales américaines.
Fin janvier, Microsoft a reconnu une nouvelle violation de données, déclarant dans un rapport que des pirates informatiques affiliés à l'État russe se sont introduits dans son système de messagerie électronique interne et ont accédé aux comptes des membres de l'équipe dirigeante, ainsi qu'à ceux des employés des équipes chargées de la cybersécurité et des affaires juridiques. Microsoft a ajouté que l'intrusion a commencé fin novembre et a été découverte le 12 janvier.
Microsoft a attribué l'attaque au groupe de pirates Midnight Blizzard (Nobelium). Selon l'entreprise, il s'agit d'un groupe de pirates hautement qualifiés parrainés par l'État russe et qui sont à l'origine de l'intrusion dans les systèmes de SolarWinds il y a quelques années. La violation aurait permis aux pirates d'exfiltrer des identifiants de connexion qu'ils utiliseraient désormais afin de farfouiller dans les systèmes de Microsoft. L'entreprise a publié en mars un autre rapport qui révèle que le groupe a également volé du code source et qu'il était peut-être encore en train de fouiller dans ses systèmes informatiques internes.
« Ces dernières semaines, nous avons constaté que Midnight Blizzard utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise dans le but d'obtenir, ou tenter d'obtenir, un accès non autorisé. Cela inclut l'accès à certains référentiels de code source de Microsoft et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft ont été compromis », explique Microsoft dans un billet de blog.
Une culture de la sécurité « inadéquate »
Certains analystes se sont inquiétés des risques pour la sécurité nationale américaine. « Le fait que l'un des plus grands fournisseurs de logiciels soit lui-même en train d'apprendre les choses au fur et à mesure est un peu effrayant. Vous n'avez pas l'assurance, en tant que client, qu'il ne se passe pas quelque chose de plus grave. Ces attaques témoignent également de l'agressivité des pirates », a déclaré Jerome Segura, chercheur principal chercheur en menace de la société de cybersécurité Malwarebytes. Segura a ajouté qu'il est déconcertant que l'attaque soit toujours en cours malgré les efforts déployés par Microsoft.
« C'est le genre de chose qui nous inquiète vraiment. L'acteur de la menace voudrait utiliser les secrets (de Microsoft) pour pénétrer dans les environnements de production, puis compromettre les logiciels et installer des portes dérobées et d'autres choses de ce genre », a déclaré Segura. Dans un document déposé auprès de la Securities and Exchange Commission (SEC), Microsoft a déclaré que l'attaque n'avait pas eu d'impact matériel sur ses activités, mais a averti que cela restait une possibilité, malgré des investissements accrus en matière de sécurité et la coordination avec les autorités chargées de l'application de la loi.
Lancement de la « Secure Future Initiative » chez Microsoft
En réponse, Microsoft a lancé l’initiative « Secure Future Initiative » (initiative pour un avenir sûr) en novembre 2023, annonçant une série de plans et de changements dans ses pratiques de sécurité, dont certains ont déjà été mis en œuvre. Dans le cadre de cette initiative, Microsoft a annoncé hier une série de plans et de modifications de ses pratiques de sécurité, y compris quelques changements déjà effectués.
Charlie Bell, vice-président exécutif de la sécurité chez Microsoft, a écrit : « Nous faisons de la sécurité notre priorité absolue chez Microsoft, avant tout le reste – avant toutes les autres fonctionnalités ». « Nous élargissons le champ d'application du SFI, en intégrant les récentes recommandations du CSRB ainsi que les enseignements tirés de Midnight Blizzard, afin de garantir que notre approche de la cybersécurité reste solide et adaptée à l'évolution du paysage des menaces ».
Dans le cadre de ces changements, en mai, Microsoft a noté que la rémunération de l’équipe de direction senior dans son entreprise dépendra en partie de la réalisation des plans et objectifs de sécurité de l’entreprise, bien que Bell n’ait pas précisé quelle part de la rémunération des dirigeants serait dépendante de ces objectifs de sécurité :
« Nous mobiliserons les piliers et les objectifs élargis de la SFI dans l'ensemble de Microsoft et cette dimension sera prise en compte dans nos décisions de recrutement. En outre, nous instillerons la responsabilité en basant une partie de la rémunération de l'équipe dirigeante de l'entreprise sur les progrès réalisés dans la mise en œuvre de nos plans et de nos étapes en matière de sécurité ».
La priorité absolue : la sécurité
Mais Microsoft ne compte pas s'arrêter là : l'entreprise va lier ses efforts en matière de sécurité à l'évaluation des performances de chaque employé.
Kathleen Hogan, directrice des ressources humaines chez Microsoft, a déclaré dans une note interne : « Tout le monde chez Microsoft doit considérer la sécurité comme une priorité absolue. Lorsqu’il y a un compromis à faire, la réponse est claire et simple : la sécurité avant tout. » Cette nouvelle approche signifie que les employés devront désormais tenir compte de la sécurité dans leurs décisions quotidiennes, leurs projets et leurs tâches.
La sécurité et la diversité sont désormais au premier plan des piliers stratégiques de Microsoft. Elles font toutes deux partie intégrante du processus d'évaluation des performances internes appelé "Connect". Connect est conçu pour être utilisé par l'ensemble du personnel, y compris les cadres qui sont également responsables de la réalisation d'objectifs spécifiques en matière de sécurité.
Il semblerait que les employés de Microsoft soient désormais tenus de démontrer leur contribution au renforcement des mesures de sécurité. Pour ceux qui occupent des fonctions techniques, par exemple, il s'agirait d'intégrer des considérations de sécurité dès les premières étapes du développement des produits, d'adhérer aux protocoles de sécurité établis et de veiller à ce que les produits soient sécurisés par défaut pour les clients.
Un manque d'intérêt pour la sécurité chez les employés de Microsoft pourrait avoir un impact sur les promotions, les augmentations de salaire au mérite et les primes. « L'impact de la priorité de base en matière de sécurité sera un élément clé pour les responsables qui détermineront l'impact et recommanderont des récompenses », peut-on lire dans une FAQ interne de Microsoft sur sa nouvelle politique. « Cela va au-delà de la conformité, car nous demandons aux employés de donner la priorité à la sécurité dans tout le travail qu'ils effectuent et de se responsabiliser en enregistrant leur impact sur la sécurité à chaque fois qu'ils effectuent une connexion ».
Les difficultés de Microsoft en matière de sécurité
Ces dernières années, Microsoft a été critiquée pour son infrastructure de sécurité jugée laxiste.
Le monde numérique est encore sous le choc de la panne informatique mondiale du mois dernier, due à une mise à jour défectueuse de la société de cybersécurité CrowdStrike. Étant donné que de nombreuses solutions Microsoft ont été touchées, cet incident a d'abord semé la panique chez les observateurs qui craignaient une cyberattaque de masse ciblant Microsoft, avant que la responsabilité de CrowdStrike ne soit confirmée.
Bien que Microsoft ne soit pas responsable de la panne, celle-ci a mis en évidence la dépendance fragile du monde à l'égard de nombreux services de l'entreprise, à une époque où les attaques d'acteurs malveillants deviennent de plus en plus sophistiquées.
Cependant, il y a eu des cas plus alarmants d'attaques de sécurité visant Microsoft.
En octobre, des comptes Skype compromis ont été piratés pour diffuser le logiciel malveillant DarkGate, tandis que Microsoft Teams a également été pris pour cible. En novembre, des pirates russes ont pénétré les défenses de Microsoft, accédant aux comptes de messagerie de plusieurs membres de l'équipe dirigeante et volant du code source. La brèche est passée inaperçue pour Microsoft pendant près de deux mois, l'intrusion n'ayant été découverte qu'en janvier.
En avril, le US Cyber Safety Review Board (CSRB) a affirmé que Microsoft aurait dû être mieux équipé pour empêcher les pirates chinois d'accéder aux courriels du gouvernement américain via son logiciel Microsoft Exchange Online lors de la cyberattaque Storm-0558 en juillet 2023.
En réponse, Microsoft s'est engagé à mettre en œuvre les recommandations du CSRB et a détaillé un ensemble complet de principes et d'objectifs de sécurité. En liant la rémunération des dirigeants et les performances des travailleurs à la réalisation de ces objectifs de sécurité, Microsoft souligne sa volonté d'améliorer ses mesures de cybersécurité.
En juillet, Malwarebytes a publié un rapport faisant état d'une « campagne de publicité malveillante » visant à voler les mots de passe des utilisateurs de Microsoft Teams pour Mac.
Les pirates ont incité les utilisateurs de Mac à télécharger une fausse version de Microsoft Teams, qui est en fait le logiciel malveillant Atomic Stealer conçu pour voler les mots de passe des trousseaux de clés et des navigateurs web d'Apple. Les utilisateurs ont accédé à ces sites de téléchargement frauduleux de Microsoft Teams par l'intermédiaire d'un compte publicitaire Google compromis à Hong Kong, ce qui a permis aux liens des pirates d'apparaître en tête des résultats de recherche pour le logiciel de vidéoconférence et de collaboration.
Le même mois, Microsoft s'est excusée pour une panne causée par une cyberattaque et amplifiée par une erreur dans ses défenses, perturbant Microsoft 365, Xbox, Outlook et Minecraft.
Sources : mémo de Microsoft, des acteurs malveillants diffusent le logiciel malveillant DarkGate via Skype (TrendMicro), une version factice de Microsoft Teams pour Mac livre Atomic Stealer (Malwarebytes)
Et vous ?
Quelle est la responsabilité des employés en matière de sécurité ? Pensez-vous que les employés devraient être évalués sur leur engagement envers la sécurité ? Comment cela pourrait-il affecter leur travail au quotidien ? Comment équilibrer sécurité et innovation ? De quelle façon Microsoft pourrait maintenir un haut niveau de sécurité tout en encourageant l’innovation et la créativité parmi ses employés ? Quelles mesures concrètes peuvent être prises pour améliorer la sécurité ? Partagez vos idées sur les actions spécifiques que Microsoft et d’autres entreprises peuvent entreprendre pour renforcer la sécurité. La sécurité doit-elle être prioritaire sur d’autres aspects du travail ? Êtes-vous d’accord avec la nouvelle politique de Microsoft ? Pensez-vous que la sécurité devrait toujours être la priorité absolue ? Quel rôle joue la sensibilisation à la sécurité ? Explorez l’importance de la formation et de la sensibilisation à la sécurité pour tous les employés, quel que soit leur poste. 
Envoyé par Stéphane le calme
