L'évaluation des performances des employés de Microsoft sera désormais liée à leurs efforts en matière de sécurité, révèle un mémo consulté par The Verge.
« Chez Microsoft, la sécurité sera une priorité essentielle pour tous les employés », y écrit Kathleen Hogan, responsable des ressources humaines de l'entreprise. « Lorsqu'il s'agit de faire un choix, la réponse est claire et simple : la sécurité avant tout ».
La prise en compte de la sécurité comme « priorité centrale » de Microsoft, au même titre que la diversité et l'inclusion, « sera un élément clé pour les managers dans la détermination de l'impact et la recommandation des récompenses », promotions, primes et augmentations de salaire au mérite, explique Microsoft dans une FAQ interne sur sa nouvelle politique.
Les employés de Microsoft devront dès lors démontrer qu'ils ont apporté des changements significatifs en matière de sécurité, résume The Verge. Ils devront ainsi intégrer la sécurité dès le début des processus de conception de leurs projets, et s'assurer que les produits sont sécurisés « par défaut » pour les clients.
Ce mémo s'inscrit dans le cadre de l'initiative « Secure Future » (SFI) de Microsoft, introduite à l'automne dernier, précise GeekWire. Microsoft avait ainsi déclaré, en mai, qu'elle baserait une partie de la rémunération de ses cadres supérieurs sur les progrès réalisés en matière de sécurité.
Dans un autre mémo interne, le PDG de Microsoft, Satya Nadella, avait lui-même déjà appelé les employés à faire de la sécurité leur priorité absolue, et à ne pas hésiter à faire des choix difficiles dans l'intérêt d'une plus grande sécurité.
« Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire : faites de la sécurité », avait-il insisté : « Dans certains cas, cela signifie qu'il faudra donner la priorité à la sécurité plutôt qu'à d'autres choses, comme le lancement de nouvelles fonctionnalités ou la fourniture d'une assistance continue pour les systèmes existants. »
Ce que l'entreprise qualifie d' « état d'esprit axé sur la sécurité » fait lui-même suite à une série de violations très médiatisées ayant suscité l'inquiétude des autorités, et fait resurgir la question lancinante de la dépendance généralisée des grands comptes à l'égard des technologies Microsoft.
Commentaires (31)
#1
#1.1
#1.2
Résultats : Obligé de retirer des restrictions d'accès sur des services interdits car les utilisateurs ne pouvaient plus accéder à des espaces complétement légitimes qui étaient auparavant séparés.
#2
#2.1
#3
En 2004, Bill Gates avait écrit un memo resté assez célèbre où il exhortait chaque employé à faire de la sécurité une priorité absolue… car Windows XP était devenu une véritable passoire qui apparemment pouvait se faire trouer en moins de 20min juste après une fresh install et juste en étant simplement connecté au réseau sans rien faire d’autre.
Les 2 conséquences directes et visibles ont été ensuite un Windows XP SP2 sorti quelques mois plus tard, et 3 ans de retard pour le projet Longhorn, alias Windows Vista (car il a fallu revoir une grosse partie du code et blinder tout ça).
.
Historique des modifications :
Posté le 06/08/2024 à 16h50
L’histoire se répète.
En 2004, Bill Gates avait écrit un memo resté assez célèbre où il exhortait chaque employé à faire de la sécurité une priorité… car Windows XP était devenu une véritable passoire qui apparemment pouvait se faire trouer en moins de 20min juste après une fresh install et juste en étant simplement connecté au réseau sans rien faire d’autre.
Les 2 conséquences directes et visibles ont été ensuite un Windows XP SP2 sorti quelques mois plus tard, et 3 ans de retard pour le projet Longhorn, alias Windows Vista (car il a fallu revoir une grosse partie du code et blinder tout çà).
Posté le 06/08/2024 à 16h51
L’histoire se répète.
En 2004, Bill Gates avait écrit un memo resté assez célèbre où il exhortait chaque employé à faire de la sécurité une priorité absolue… car Windows XP était devenu une véritable passoire qui apparemment pouvait se faire trouer en moins de 20min juste après une fresh install et juste en étant simplement connecté au réseau sans rien faire d’autre.
Les 2 conséquences directes et visibles ont été ensuite un Windows XP SP2 sorti quelques mois plus tard, et 3 ans de retard pour le projet Longhorn, alias Windows Vista (car il a fallu revoir une grosse partie du code et blinder tout çà).
#3.1
#3.2
#3.3
#3.6
Perso j'ai fait tourner Vista 64 bit en daily dès que je me suis acheté un PC avec un processeur 64 bit (Phenom X4), et j'ai jamais eu vraiment de soucis (à part pour certains pilotes de vieux périphériques). C'était clairement pas la même histoire quand j'avais essayé de le faire tourner peu de temps après sa sortie sur mon PC monté en 2004 avec un Athlon XP.
#3.7
Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.
Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !
"Quand le mieux est l'ennemi du bien"
ou dans une version "simplifiée" comme me le répétait assez régulièrement un de mes anciens collocs:
"P'tain touche z'y pas tant que ça marche à peu près correctement"
.
Historique des modifications :
Posté le 07/08/2024 à 18h03
Pour Vista, les développeurs étaient devenus tellement parano, que pour la moindre modification d'un paramètre d'un programme du Control Panel par exemple, on se prenait SYSTEMATIQUEMENT une fenêtre pop-up de confirmation (User Control...). ça en devenant saoulant à mort...
Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.
"Quand le mieux est l'ennemi du bien"
Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !
.
Posté le 07/08/2024 à 18h04
Pour Vista, les développeurs étaient devenus tellement parano, que pour la moindre modification d'un paramètre d'un programme du Control Panel par exemple, on se prenait SYSTEMATIQUEMENT une fenêtre pop-up de confirmation (User Control...). ça en devenant saoulant à mort...
Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.
"Quand le mieux est l'ennemi du bien"
Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !
.
Posté le 07/08/2024 à 18h05
Pour Vista, les développeurs étaient devenus tellement parano, que pour la moindre modification d'un paramètre d'un programme du Control Panel par exemple, on se prenait SYSTEMATIQUEMENT une fenêtre pop-up de confirmation (User Control...). ça en devenait saoulant à mort...
Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.
Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !
"Quand le mieux est l'ennemi du bien" ou dans une version "simplifiée" comme me le répétait assez régulièrement un de mes anciens collocs:
"P'tain touche z'y pas tant que ça marche à peu près correctement"
.
Posté le 07/08/2024 à 18h11
Pour Vista, les développeurs étaient devenus tellement parano, que pour la moindre modification d'un paramètre d'un programme du Control Panel par exemple, on se prenait SYSTEMATIQUEMENT une fenêtre pop-up de confirmation (User Control...). ça en devenait saoulant à mort...
Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.
Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !
"Quand le mieux est l'ennemi du bien" ou dans une version "simplifiée" comme me le répétait assez régulièrement un de mes anciens collocs:
"P'tain touche z'y pas tant que ça marche à peu près correctement"
.
Posté le 07/08/2024 à 18h12
Pour Vista, les développeurs étaient devenus tellement parano, que pour la moindre modification d'un paramètre d'un programme du Control Panel par exemple, on se prenait SYSTEMATIQUEMENT une fenêtre pop-up de confirmation (User Control...). ça en devenait saoulant à mort...
Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.
Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !
"Quand le mieux est l'ennemi du bien" ou dans une version "simplifiée" comme me le répétait assez régulièrement un de mes anciens collocs:
"P'tain touche z'y pas tant que ça marche à peu près correctement"
.
Posté le 07/08/2024 à 18h13
Pour Vista, les développeurs étaient devenus tellement parano, que pour la moindre modification d'un paramètre d'un programme du Control Panel par exemple, on se prenait SYSTEMATIQUEMENT une fenêtre pop-up de confirmation (User Control...). ça en devenait saoulant à mort...
Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.
Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !
"Quand le mieux est l'ennemi du bien" ou dans une version "simplifiée" comme me le répétait assez régulièrement un de mes anciens collocs:
"P'tain touche z'y pas tant que ça marche à peu près correctement"
.
Posté le 07/08/2024 à 18h13
Pour Vista, les développeurs étaient devenus tellement parano, que pour la moindre modification d'un paramètre d'un programme du Control Panel par exemple, on se prenait SYSTEMATIQUEMENT une fenêtre pop-up de confirmation (User Control...). ça en devenait saoulant à mort...
Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.
Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !
"Quand le mieux est l'ennemi du bien" ou dans une version "simplifiée" comme me le répétait assez régulièrement un de mes anciens collocs:
"P'tain touche z'y pas tant que ça marche à peu près correctement"
.
#3.4
" Est-ce que Microsoft a vraiment appris de ses (grosses) erreurs du passé et pourquoi donc en repasser une couche de temps en temps ?"
Ha oui la plupart des employés de l'époque, en 2004, sont maintenant soit tous partis ou soit en retraite...
D'où le rappel pour une nouvelle couche...
Historique des modifications :
Posté le 06/08/2024 à 19h53
Et je pourrais répondre :
" Est-ce que Microsoft a vraiment appris de ses (grosses) erreurs du passé et pourquoi donc pourquoi en repasser une couche de temps en temps ?"
Ha oui la plupart des employés de l'époque, en 2004, sont maintenant soit tous partis ou soit en retraite...
D'où le rappel pour une nouvelle couche...
#3.5
Le fait que ça ai ou pas été suivi sur le long terme est un autre défi, certes important, mais différent. 😉
#4
Reste à savoir s'ils vont tenir dans la longueur, ou oublier tout ça dans 6 mois.
#5
Bien sur, c'était de la faute des employés.
Et pas du tout celle du top-management qui a décidé qu'il faut davantage de publicités, de fonctionnalités (IA...), de centralisation du compte/password, de collecte de données... tout ca en injectant de force des updates/upgrades dans les produits utilisés par leurs clients.
Non, bien sur c'était de la faute des employés.
.
Historique des modifications :
Posté le 06/08/2024 à 18h05
Bien sur, c'est de la faute de employés.
Et pas du tout celle du top-management qui décide qu'il faut davantage de publicités, de fonctionnalités (IA...), de centralisation du compte/password, de collecte de données... tout ca en injectant de force des updates/upgrades dans les produits utilisés par leurs clients.
Non, bien sur c'est de la faute de employés.
Posté le 06/08/2024 à 18h05
Bien sur, c'est de la faute des employés.
Et pas du tout celle du top-management qui décide qu'il faut davantage de publicités, de fonctionnalités (IA...), de centralisation du compte/password, de collecte de données... tout ca en injectant de force des updates/upgrades dans les produits utilisés par leurs clients.
Non, bien sur c'est de la faute de employés.
.
Posté le 06/08/2024 à 18h05
Bien sur, c'était de la faute des employés.
Et pas du tout celle du top-management qui a décidé qu'il faut davantage de publicités, de fonctionnalités (IA...), de centralisation du compte/password, de collecte de données... tout ca en injectant de force des updates/upgrades dans les produits utilisés par leurs clients.
Non, bien sur c'était de la faute des employés.
.
#5.1
#5.3
Les employés qui sont concrètement confrontés à ce dilemme sont tout en bas de la hiérarchie (= les ingé/devs). Et eux il n'ont pas leur mot à dire sur la stratégie globale de la société et les choix qui en découlent... des choix qui sont justement la cause du dilemme "sécurité/autre priorité".
Ce genre d'annonce interne sur la sécurité c'est avant tout de la communication publique. Un moyen de rassurer les clients... et surtout un moyen de dire aux autorités que ce n'est pas la peine de venir réguler leur business.
#5.4
#5.2
#5.5
Augmenter la sécurité d'un poste de travail personnel implique de laisser le contrôle aux utilisateurs, en particulier sur les fonctionnalités, services et configuration du PC.
Ce qui est à 180° de la stratégie de Ms depuis plusieurs années, à savoir transformer un PC avec un comportement prédictif en PC dont le comportement change constamment au grés des envies de l'éditeur.
Je pense que personne n'est capable de dire s'il a réellement l'utilité de chaque service actif et de chaque tâche planifiée dans Windows. De même, personne n'est capable de dire ce que la prochaine m-a-j va installer, activer ou ré-activer sur son PC.
#6
Ha, il faut communiquer sur l'importance que nous accordons à la sécurité pour redorer notre blason !
#6.1
#6.2
"Keuwa ?! Ce serait une mauvaise idée ?! Diantre onsavépa !"
#6.3
#6.4
Et concernant eBPF, c'est une techno du kernel Linux, mais MS fait partie des supporters du projet : https://www.linuxfoundation.org/press/press-release/facebook-google-isovalent-microsoft-and-netflix-launch-ebpf-foundation-as-part-of-the-linux-foundation
Donc je pense qu'ils sont au courant.
Microsoft est en train de travailler pour avoir la même chose dans le kernel Windows : https://github.com/Microsoft/ebpf-for-windows/
#6.5
Historique des modifications :
Posté le 07/08/2024 à 19h11
Le driver de Crowdstrike était bien certifié WHQL, c'est marqué dans leur post mortem sur l'incident
#7
#7.1
https://en.wikipedia.org/wiki/2024_CrowdStrike_incident
Comme quoi, aligner des mots clés de manière péremptoire ne suffit pas à rendre une phrase vraie :]
#8
Dans le piratage "chinois" de certaines administrations américaines, tous les éléments techniques étaient disponibles, il fallait juste payer un abonnement pour avoir accès aux logs de sécurité.
L'arbitrage était faire du commerce avant la sécurité, et laisser le client sans autre alternative, aveugle aux attaques.
Dans un tel cas, rappeler l'arbitrage en faveur de la sécurité est 100% bénéfique pour tous, sauf les pirates.
#9
#9.1