Article de : Charlie Bell, Vice-président exécutif, Sécurité de Microsoft
En novembre 2023, nous avons lancé l’initiative pour un avenir sûr (IAS) pour faire progresser la protection de la cybersécurité pour Microsoft, nos clients et l’industrie. En mai 2024, nous avons élargi l’initiative pour nous concentrer sur six piliers clés de la sécurité, en intégrant les remarques de l’industrie et nos propres idées. Depuis le début de l’initiative, nous avons consacré l’équivalent de 34 000 ingénieurs à temps plein à l’IAS, ce qui en fait le plus grand effort d’ingénierie de cybersécurité de l’histoire. Et aujourd’hui, nous partageons les principales mises à jour et les jalons du premier rapport d’étape de l’IAS.
[Lire l’intégralité du rapport d’avancement de l’IAS ici]
Mettre l’accent sur la sécurité par-dessus tout
Chez Microsoft, nous reconnaissons notre responsabilité unique de protéger l’avenir de nos clients et de notre communauté. En conséquence, chaque personne chez Microsoft joue un rôle central pour « donner la priorité à la sécurité par-dessus tout ». Nous avons fait d’importants progrès dans la promotion d’une culture axée sur la sécurité. Voici quelques-unes des principales mises à jour:
- Afin d’améliorer la gouvernance, nous avons annoncé aujourd’hui la création d’un nouveau Conseil de gouvernance de la cybersécurité et la nomination de chefs adjoints de la sécurité de l’information (DSI adjoints) pour les fonctions clés de sécurité et toutes les divisions d’ingénierie. Dirigés par notre RSSI Igor Tsyganskiy, les RSSI adjoints forment le Conseil de gouvernance de la cybersécurité et sont responsables du cyber risque global, de la défense et de la conformité de l’entreprise.
- La sécurité est désormais une priorité essentielle pour tous les employés de Microsoft et sera incluse dans leurs évaluations de performance. Cela permettra à chaque employé et gestionnaire de s’engager à prioriser la sécurité et d’en être responsable, et un moyen pour nous de codifier les contributions d’un employé à l’IAS et de célébrer l’impact.
- Nous avons lancé la Security Skilling Academy, une expérience d’apprentissage personnalisée de formations spécifiques à la sécurité et organisées pour tous les employés du monde entier. L’académie s’assure que, quel que soit leur rôle, les employés sont équipés pour donner la priorité à la sécurité dans leur travail quotidien et identifier la partie directe qu’ils ont dans la sécurisation de Microsoft.
- Et pour garantir la responsabilité et la transparence aux plus hauts niveaux, l’équipe de direction de Microsoft examine les progrès de l’IAS chaque semaine et des mises à jour sont fournies au conseil d’administration de Microsoft tous les trimestres. De plus, l’équipe de direction de Microsoft dispose désormais de performances de sécurité directement liées à la rémunération.
[Explorez plus en détails les mises à jour sur la culture et la gouvernance dans le rapport complet]
Faits saillants du pilier : Une approche globale de la cybersécurité
Nous avons également réalisé des progrès dans l’ensemble de nos six piliers clés, chacun représentant un domaine critique d’intérêt en matière de cybersécurité. Ces piliers guident notre travail en cours pour relever la barre de la sécurité dans l’ensemble de Microsoft et nous aider à répondre aux exigences en constante évolution du paysage de la sécurité. Vous trouverez ci-dessous les mises à jour les plus récentes dans ces domaines :
- Protéger les identités et les secrets : Nous avons effectué des mises à jour de Microsoft Entra ID et de Comptes de Services Microsoft pour nos nuages informatiques publics et gouvernementaux américains afin de générer, de stocker et de faire pivoter automatiquement les clés de signature de jetons d’accès à l’aide du service Azure Managed Hardware Security Module (HSM). Nous avons continué à favoriser l’adoption généralisée de nos Kits de développement logiciel (SDK) d’identité standard qui fournissent une validation cohérente des jetons de sécurité. Cette validation standardisée couvre désormais plus de 73% des jetons émis par Microsoft Entra ID pour les applications appartenant à Microsoft. Nous avons étendu la journalisation des jetons de sécurité standardisés dans nos SDK d’identité standard pour prendre en charge la poursuite et la détection des menaces et avons permis à ceux de plusieurs services critiques avant une large adoption. Nous avons terminé l’application de l’utilisation d’informations d’identification résistantes à l’hameçonnage dans nos environnements de production et mis en œuvre la vérification des utilisateurs vidéo pour 95% des utilisateurs internes de Microsoft dans nos environnements de productivité afin d’éliminer le partage de mot de passe lors de la configuration / récupération.
- Protéger les tenants et isoler les systèmes de production : Nous avons effectué une itération complète de la gestion du cycle de vie des applications pour tous nos tenants de production et de productivité, éliminant ainsi 730 000 applications inutilisées. Nous avons éliminé 5,75 millions de tenants inactifs, réduisant considérablement la surface d’attaque potentielle. Nous avons mis en œuvre un nouveau système pour rationaliser la création de tenant de test et d’expérimentation avec des défauts sécurisés et une gestion stricte de la durée de vie appliquée. Nous avons déployé plus de 15 000 nouveaux dispositifs verrouillés prêts pour la production au cours des trois derniers mois.
- Protéger les réseaux : Plus de 99% des actifs physiques sur le réseau de production sont enregistrés dans un système d’inventaire central, ce qui enrichit l’inventaire des actifs avec la propriété et le suivi de la conformité du micrologiciel. Les réseaux virtuels avec connectivité backend sont isolés du réseau d’entreprise Microsoft et soumis à des examens de sécurité complets pour réduire les mouvements latéraux. Pour aider les clients à sécuriser leurs propres déploiements, nous avons étendu les capacités de la plate-forme telles que les règles d’administration pour faciliter l’isolation réseau des ressources de plateforme en tant que service (PaaS) telles que le stockage, SQL, Cosmos DB et Key Vault.
- Protéger les systèmes d’ingénierie : 85% de nos accès de production pour le cloud commercial utilisent désormais des modèles d’accès régis de manière centralisée, ce qui rend les déploiements plus cohérents, efficaces et fiables. Nous avons réduit la durée de vie des jetons d’accès personnels à sept jours, désactivé l’accès SSH pour tous les dépôts d’ingénierie internes Microsoft et considérablement réduit le nombre de rôles élevés avec accès aux systèmes d’ingénierie. Nous avons également mis en œuvre des vérifications de preuve de présence pour les points d’étranglement critiques dans notre flux de code de développement logiciel.
- Surveiller et détecter les menaces : Nous avons réalisé des progrès significatifs pour faire en sorte que toutes les infrastructures et tous les services de production de Microsoft adoptent des bibliothèques standard pour les journaux d’audit de sécurité, afin de garantir l’émission de télémétrie pertinente, et de conserver les journaux pendant au moins deux ans. Par exemple, nous avons établi une gestion centrale et une période de conservation de deux ans pour les journaux d’audit de sécurité de l’infrastructure d’identité, englobant tous les événements d’audit de sécurité tout au long du cycle de vie des clés de signature actuelles. De même, plus de 99 % des périphériques réseau sont désormais activés grâce à la collecte et à la rétention centralisées des journaux de sécurité.
- Accélérer la réponse et la correction : Nous avons mis à jour les processus dans l’ensemble de Microsoft afin d’améliorer le délai d’atténuation des vulnérabilités critiques du cloud. Nous avons commencé à publier des vulnérabilités cloud critiques en tant que vulnérabilités et expositions communes (CVE), même si aucune action client n’est requise, afin d’améliorer la transparence. Nous avons créé le Bureau de gestion de la sécurité client (BGSC) pour améliorer la messagerie publique et l’engagement des clients pour les incidents de sécurité.
[Pour lire plus détails sur les six piliers dans le rapport complet]
Réaffirmer notre engagement en matière de sécurité
Dans le domaine de la sécurité, des progrès constants sont plus importants que la « perfection » et cela se reflète dans l’ampleur des ressources mobilisées pour atteindre nos objectifs d’IAS. Le travail collectif que nous faisons pour augmenter continuellement la protection, éliminer les actifs hérités ou non conformes et identifier les systèmes restants pour la surveillance mesure de manière concluante notre succès. Alors que nous nous tournons vers l’avenir, nous demeurons déterminés à nous améliorer. IAS continuera d’évoluer, de s’adapter aux nouvelles menaces et de peaufiner ses pratiques de sécurité. Notre engagement à l’égard de la transparence et de la collaboration de l’industrie demeure inébranlable. Plus tôt cette année, Microsoft est devenu un partisan majeur de l’engagement Secure by design de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis https://www.cisa.gov/resources-tools/resources/cisa-secure-design-pledge , renforçant notre engagement à intégrer la sécurité dans tous les aspects de nos produits et services. De plus, nous continuons d’intégrer les recommandations du Comité d’examen de la cybersécurité (CSRB) afin de renforcer notre approche en matière de cybersécurité et d’améliorer la résilience.
Le travail que nous avons accompli jusqu’à présent n’est que le début. Nous savons que les cybermenaces continueront d’évoluer, et nous devons évoluer avec elles. En favorisant cette culture d’apprentissage et d’amélioration continus, nous bâtissons un avenir où la sécurité n’est pas seulement une caractéristique, mais un fondement.