Microsoft vient de publier un premier rapport pour présenter les actions prises dans le cadre de sa Secure Future Initiative. La société affirme qu’il s’agit du plus vaste projet de cybersécurité de l’histoire. Elle veut montrer, par l’ampleur de ces mesures, qu’elle a retenu les enseignements du passé, voire qu’elle peut être une source d’inspiration.

La Secure Future Initiative (SFI) a été annoncée en novembre 2023. La société de Redmond avait présenté de grands objectifs, présentant un plan de révision intégrale de sa cybersécurité. Il s’agissait autant de mieux protéger ses propres infrastructures que ses clients, à travers la longue liste de produits qu’elle propose. Tout particulièrement dans le cloud.

Comment l’entreprise en est-elle arrivée à lancer cette initiative ? À la suite d’une série d’incidents de sécurité. Ce fut particulièrement le cas en septembre 2023, quand Microsoft a révélé qu’un groupe de pirates chinois, nommé Storm-0558, avait réussi à s’infiltrer dans des comptes email, dont plusieurs appartenaient à des gouvernements (américain et européens). Des informations avaient été volées.

Après l’annonce de la SFI, plusieurs autres incidents ont eu lieu. En janvier, des groupes de pirates russes ont cette fois réussi à avoir accès à des comptes email de responsables chez Microsoft. Là encore, il y avait eu vol d’informations. Deux mois plus tard, les mêmes groupes ont réussi à s’introduire dans plusieurs dépôts de code de Microsoft sur GitHub.

Conséquence, l’entreprise a annoncé en mai que la sécurité était désormais sa « priorité absolue ». Six piliers avaient été identifiés (nous y reviendrons). Enfin, trois grands principes ont été proclamés : sécurité dès la conception, sécurité par défaut et opérations sécurisées. Dans un premier rapport, Microsoft résume ainsi l'ensemble des actions prises depuis les évènements de l'été 2023.

Une nouvelle organisation

Depuis, Microsoft s’est doté d’un conseil de gouvernance de la cybersécurité. Il est composé de treize RSSI (responsables de la sécurité des systèmes d’information) adjoints, sous la houlette du RSSI de l’entreprise, Igor Tsyganskiy. Chaque RSSI adjoint est en charge de la sécurité dans une division de Microsoft, comme Azure, IA, Microsoft 365, Gaming et ainsi de suite.

« Le Conseil de gouvernance de la cybersécurité collabore avec les responsables de l'ingénierie de la SFI pour définir et hiérarchiser les travaux ainsi que pour définir les orientations futures. Le conseil est responsable de la mise en œuvre des exigences réglementaires, de la conformité permanente et de la détermination de l'architecture de sécurité nécessaire pour atteindre nos objectifs. Le conseil rend compte des risques cyber et de la conformité au RSSI, qui à son tour communique ces informations à l'équipe de direction et au conseil d'administration de Microsoft », indique le rapport.

Microsoft infuse également une plus grande dose de cybersécurité chez l’ensemble des employés, qui n’ont plus le choix. Définie comme priorité absolue, elle compte désormais dans les évaluations de performances. Chaque employé est donc tenu de s’y engager et doit rendre des comptes. Un lien a également été établi entre la sécurité et la rémunération pour la direction.

En juillet dernier, l’entreprise a créé une Security Skilling Academy. Elle a pour mission de concentrer les ressources et former les employés. « L'académie garantit que, quel que soit leur rôle, les employés sont équipés pour donner la priorité à la sécurité dans leur travail quotidien et pour identifier le rôle direct qu'ils jouent dans la sécurisation de Microsoft », ajoute l'entreprise.

Pour surveiller les progrès réalisés dans le cadre de la SFI, la direction examine chaque semaine un rapport. Le conseil d'administration en reçoit un chaque trimestre.

Les actions entreprises sur les « six piliers »

Microsoft vante avec ce rapport son « approche globale de la cybersécurité ». Satya Nadella, CEO de l’éditeur, avait indiqué au printemps que faire de la sécurité une priorité se traduirait notamment par certains renoncements. « Si vous devez choisir entre la sécurité et une nouvelle fonction, choisissez la sécurité », avait ainsi indiqué le dirigeant. La firme avait également identifié six piliers sur lesquels concentrer ses actions.

Sur la protection des identités et des secrets, une partie du travail a consisté à mettre à jour Entra ID (anciennement Azure Active Directory) et Microsoft Account (MSA) sur les clouds publics et gouvernementaux. Leur génération, leur stockage et leur rotation sont désormais gérés automatiquement par Azure Managed Hardware Security Module (HSM, protection matérielle).

Microsoft met aussi en avant une validation plus cohérente des jetons de sécurité (via ses SDK d’identité standards). La recherche et la détection de menaces ont été incluses dans le processus, avec activation de ces fonctions dans plusieurs services critiques. La vérification des utilisateurs par vidéo a été mise en place pour 95 % des utilisateurs internes.

Vient ensuite la protection des « tenants » et l’isolation des systèmes de production. Les tenants (terme anglais) désignent les locataires, qui peuvent être des personnes physiques ou morales, chacune ayant son propre nuage privé au sein d’une infrastructure publique (comme un appartement au sein d’un immeuble). Suite à une révision du cycle de vie des applications impliquées, 730 000 inutilisées ont été supprimées. Microsoft dit avoir également éliminé 5,75 millions de tenants inactifs, avec une nette réduction de la surface d’attaque à la clé. Les créations de tenants pour les tests et expérimentations ont été rationalisées, avec des valeurs sécurisées et une gestion plus stricte de la durée de vie.

Centralisation, inventaire et rationalisation

Sur les réseaux, Microsoft dit avoir enregistré plus de 99 % de ses actifs physiques dans un inventaire central. Il permet notamment le suivi de la propriété et la conformité des microprogrammes (firmwares). Les réseaux virtuels ayant une connectivité dorsale (internet) ont été isolés du réseau d’entreprise et sont soumis à des examens complets réguliers. Certaines de ces actions ont été répercutées dans les produits clients pour aider à sécuriser les déploiements.

Même effort de centralisation sur les pipelines de production pour le cloud commercial, 85 % étant désormais gérés de manière centralisée. Microsoft évoque des « déploiements plus cohérents, plus efficaces et plus fiables ». En outre, la durée de vie des jetons d’accès personnels a été réduite à 7 jours, l’accès à SSH a été coupé pour les dépôts internes d’ingénierie et le nombre de rôles élevés ayant accès à ces systèmes a été nettement réduit. Des contrôles de preuve de présence ont été installés sur les points critiques des flux de code, dans le cadre du développement des logiciels.

Rationalisation également pour tout ce qui touche à la surveillance et la détection des menaces, notamment tout ce qui touche aux journaux d’audits de sécurité. Une garantie, selon Microsoft, pour des données télémétriques pertinentes. « Par exemple, nous avons mis en place une gestion centralisée et une période de conservation de deux ans pour les journaux d'audit de sécurité de l'infrastructure d'identité », ajoute l’entreprise.

Enfin, des efforts ont été faits pour améliorer le temps de réponse et de remédiation, répartis en deux axes. D’une part, des processus actualisés pour réduire le délai d’atténuation quand des failles critiques sont découvertes dans le cloud. D’autre part, une plus grande transparence dans la communication. Les vulnérabilités critiques font maintenant l’objet de bulletins CVE, même quand aucune action client n’est requise. En outre, un « Bureau de gestion de la sécurité des clients » a été créé pour mieux communiquer avec la clientèle, surtout pendant les incidents de sécurité.

Entre actions concrètes et exercice de communication

Le rapport de Microsoft est intéressant à plus d’un titre. Il offre bien sûr une visibilité sur les actions concrètement entreprises par une structure énorme sur la sécurité. Mais il s’agit, à un même degré d’importance, d’un exercice de communication.

Le rapport est assez détaillé pour être un véritable travail de transparence. Il livre également des remarques intéressantes, notamment sur la formation du personnel. Microsoft plonge par exemple dans la perception classique d’une sécurité vue comme antagoniste à la productivité. La formation continue est donc présentée comme la solution, qui ne donne pas des résultats immédiats, mais permet de créer de nouveaux réflexes et donc, à terme, de rattraper la productivité « perdue ».

Microsoft présente en outre ce rapport comme le premier, ajoutant que ce surplus de sécurité n’en est qu’à ses débuts. À la fin du document, on peut d’ailleurs observer un tableau listant les recommandations qui lui avaient été faites par le CSRB (Cyber Safety Review Board), lui-même faisant partie de la CISA (Cybersecurity & Infrastructure Security Agency). Après les incidents de sécurité de l’année dernière, le Board avait en effet émis des critiques virulentes, concluant que seule une « cascade de défaillances » avait pu permettre à l’attaque de Storm-0558 de réussir.