Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Microsoft fait de la sécurité une « priorité centrale » et l’intègre dans l’évaluation de ses employés

Le 06 août à 15h39

L'évaluation des performances des employés de Microsoft sera désormais liée à leurs efforts en matière de sécurité, révèle un mémo consulté par The Verge.

« Chez Microsoft, la sécurité sera une priorité essentielle pour tous les employés », y écrit Kathleen Hogan, responsable des ressources humaines de l'entreprise. « Lorsqu'il s'agit de faire un choix, la réponse est claire et simple : la sécurité avant tout ».

La prise en compte de la sécurité comme « priorité centrale » de Microsoft, au même titre que la diversité et l'inclusion, « sera un élément clé pour les managers dans la détermination de l'impact et la recommandation des récompenses », promotions, primes et augmentations de salaire au mérite, explique Microsoft dans une FAQ interne sur sa nouvelle politique.

Les employés de Microsoft devront dès lors démontrer qu'ils ont apporté des changements significatifs en matière de sécurité, résume The Verge. Ils devront ainsi intégrer la sécurité dès le début des processus de conception de leurs projets, et s'assurer que les produits sont sécurisés « par défaut » pour les clients.

Ce mémo s'inscrit dans le cadre de l'initiative « Secure Future » (SFI) de Microsoft, introduite à l'automne dernier, précise GeekWire. Microsoft avait ainsi déclaré, en mai, qu'elle baserait une partie de la rémunération de ses cadres supérieurs sur les progrès réalisés en matière de sécurité.

Dans un autre mémo interne, le PDG de Microsoft, Satya Nadella, avait lui-même déjà appelé les employés à faire de la sécurité leur priorité absolue, et à ne pas hésiter à faire des choix difficiles dans l'intérêt d'une plus grande sécurité.

« Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire : faites de la sécurité », avait-il insisté : « Dans certains cas, cela signifie qu'il faudra donner la priorité à la sécurité plutôt qu'à d'autres choses, comme le lancement de nouvelles fonctionnalités ou la fourniture d'une assistance continue pour les systèmes existants. »

Ce que l'entreprise qualifie d' « état d'esprit axé sur la sécurité » fait lui-même suite à une série de violations très médiatisées ayant suscité l'inquiétude des autorités, et fait resurgir la question lancinante de la dépendance généralisée des grands comptes à l'égard des technologies Microsoft.

Le 06 août à 15h39

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Ah, ils vont donc arrêter de sortir des produits sur Azure disant dans le doc que ça marche si tu mets tous les droits et tout en public ?
votre avatar
Ils vont arrêter de sortir des produits (sur Azure) ?
votre avatar
J'ai eu le cas très récemment d'une API qu'on utilise pour l'accès conditionnel. Microsoft a décidé de changer le scope de l'API et d'inclure + de services dedans.

Résultats : Obligé de retirer des restrictions d'accès sur des services interdits car les utilisateurs ne pouvaient plus accéder à des espaces complétement légitimes qui étaient auparavant séparés.
votre avatar
Ils vont retirer Internet Explorer de Windows et Windows Server ?
votre avatar
Ils vont retirer tous leurs produits ? :non:
votre avatar
L’histoire se répète. :fumer:

En 2004, Bill Gates avait écrit un memo resté assez célèbre où il exhortait chaque employé à faire de la sécurité une priorité absolue… car Windows XP était devenu une véritable passoire qui apparemment pouvait se faire trouer en moins de 20min juste après une fresh install et juste en étant simplement connecté au réseau sans rien faire d’autre.

Les 2 conséquences directes et visibles ont été ensuite un Windows XP SP2 sorti quelques mois plus tard, et 3 ans de retard pour le projet Longhorn, alias Windows Vista (car il a fallu revoir une grosse partie du code et blinder tout ça).
.
votre avatar
Ce que tu indiques dans ton commentaire, c'est qu'il y a déjà eu des résultats concrets suite à une telle communication en interne : je trouve que c'est plutôt une bonne nouvelle. 😊
votre avatar
Le résultat concret, ça a été Vista. Quelle réussite !
votre avatar
Oui
votre avatar
Autant Vista a été un peu un cauchemar sur plein d'aspects (on se souviendra qu'on avait fait pas mal de reproches similaires à XP à son lancement), autant on ne peut pas nier qu'il a apporté 2 choses : il était plus sécurisé qu'XP (ce qui n'est franchement pas un compliment), et surtout le support natif du 64 bit. Oui, il existait une version 64 bit d'XP, mais de mémoire elle était pas franchement terrible.

Perso j'ai fait tourner Vista 64 bit en daily dès que je me suis acheté un PC avec un processeur 64 bit (Phenom X4), et j'ai jamais eu vraiment de soucis (à part pour certains pilotes de vieux périphériques). C'était clairement pas la même histoire quand j'avais essayé de le faire tourner peu de temps après sa sortie sur mon PC monté en 2004 avec un Athlon XP.
votre avatar
Pour Vista, les développeurs étaient devenus tellement parano, que pour la moindre modification d'un paramètre d'un programme du Control Panel par exemple, on se prenait SYSTEMATIQUEMENT une fenêtre pop-up de confirmation (User Control...). ça en devenait saoulant à mort...

Conséquence logique: les utilisateurs soit baissaient le curseur de "sécurité" pour ne plus avoir à cliquer "Oui" à chaque petit changement, soit cliquaient "Oui" systématiquement sans même plus lire le message.

Windows 7 (excellent d'ailleurs) a bien corrigé le tir ensuite... et heureusement !

"Quand le mieux est l'ennemi du bien"

ou dans une version "simplifiée" comme me le répétait assez régulièrement un de mes anciens collocs:

"P'tain touche z'y pas tant que ça marche à peu près correctement"
.
votre avatar
Et je pourrais répondre :

" Est-ce que Microsoft a vraiment appris de ses (grosses) erreurs du passé et pourquoi donc en repasser une couche de temps en temps ?"

Ha oui la plupart des employés de l'époque, en 2004, sont maintenant soit tous partis ou soit en retraite...

D'où le rappel pour une nouvelle couche...:D
votre avatar
Pour moi, ça dépasse ma remarque : je trouvais plutôt encourageant que de telles déclarations ne soient pas laissée lettres mortes (comme nous avons si souvent l'habitude avec nos politiciens).
Le fait que ça ai ou pas été suivi sur le long terme est un autre défi, certes important, mais différent. 😉
votre avatar
Sérieusement je trouve ça bien d'intégrer cette notion dès le recrutement, systématiquement. Je sais pas si c'est une pratique courante chez les big techs, perso j'ai pas souvent vu ça.
Reste à savoir s'ils vont tenir dans la longueur, ou oublier tout ça dans 6 mois.
votre avatar
« Chez Microsoft, la sécurité sera une priorité essentielle pour tous les employés »
Bien sur, c'était de la faute des employés.

Et pas du tout celle du top-management qui a décidé qu'il faut davantage de publicités, de fonctionnalités (IA...), de centralisation du compte/password, de collecte de données... tout ca en injectant de force des updates/upgrades dans les produits utilisés par leurs clients.

Non, bien sur c'était de la faute des employés.
.
votre avatar
Pourquoi tu parles de rejeter la faute sur les employés (surtout que les top-managers sont des employés aussi) ?
votre avatar
« Si vous êtes confronté à un compromis entre la sécurité et une autre priorité, votre réponse est claire : faites de la sécurité »
Les employés qui sont concrètement confrontés à ce dilemme sont tout en bas de la hiérarchie (= les ingé/devs). Et eux il n'ont pas leur mot à dire sur la stratégie globale de la société et les choix qui en découlent... des choix qui sont justement la cause du dilemme "sécurité/autre priorité".

Ce genre d'annonce interne sur la sécurité c'est avant tout de la communication publique. Un moyen de rassurer les clients... et surtout un moyen de dire aux autorités que ce n'est pas la peine de venir réguler leur business. :ouioui:
votre avatar
En même temps, là, la consigne est claire et peut permettre à certains "tout en bas" de dire "non" à leur hiérarchie directe, justement sur ce principe.
votre avatar
Surtout que la note à priori parle de conditionner les primes de tous le monde à l'application de la sécurité. Les évaluations sont annuelles et devraient permettre d'être moteur de changement. Dans une boite où j'ai travaillé, faire des objectifs de sécurité a pu faire avancer les choses.
votre avatar
Comme je disais, la cause du dilemme "sécurité/autre priorité" vient de choix stratégiques.

Augmenter la sécurité d'un poste de travail personnel implique de laisser le contrôle aux utilisateurs, en particulier sur les fonctionnalités, services et configuration du PC.

Ce qui est à 180° de la stratégie de Ms depuis plusieurs années, à savoir transformer un PC avec un comportement prédictif en PC dont le comportement change constamment au grés des envies de l'éditeur.

Je pense que personne n'est capable de dire s'il a réellement l'utilité de chaque service actif et de chaque tâche planifiée dans Windows. De même, personne n'est capable de dire ce que la prochaine m-a-j va installer, activer ou ré-activer sur son PC.
votre avatar
C'est donc ça là, la leçon qu'ils ont tiré de l'étude d'impact de Crowdstike ?

Ha, il faut communiquer sur l'importance que nous accordons à la sécurité pour redorer notre blason !
votre avatar
Rien à voir avec Crowdstrike.
votre avatar
Boarf j'attends encore la prise de conscience de pilotes en espace noyau à l'heure d'eBPF…
"Keuwa ?! Ce serait une mauvaise idée ?! Diantre onsavépa !"
votre avatar
SFI va plus loin que "simplement" Windows; on parle de Microsoft dans son ensemble.
votre avatar
Ça va quand même faire 10 ans qu'ils ont viré la grande majorité des pilotes du kernel space. Ceux qui y sont toujours, il y a de bonnes raisons, et ils doivent passer par la validation WHQL. Clairement cette validation n'est pas parfaite vu ce qu'il s'est passé avec Crowdstrike, mais c'est bien mieux que l'époque où on avait au moins un BSOD par semaine.

Et concernant eBPF, c'est une techno du kernel Linux, mais MS fait partie des supporters du projet : https://www.linuxfoundation.org/press/press-release/facebook-google-isovalent-microsoft-and-netflix-launch-ebpf-foundation-as-part-of-the-linux-foundation
Donc je pense qu'ils sont au courant.
Microsoft est en train de travailler pour avoir la même chose dans le kernel Windows : github.com GitHub
votre avatar
J'ai rien dit :)
votre avatar
LOL. Recall était très axé sur la sécurité effectivement, avec on le rappelle du opt-in pour enregistrer tout ce que fait l’utilisateur, sans chiffrement (juste des DRM sur les films et séries concernés mais avec les mots de passe et numéro de carte de crédit en clair), tout ça dans une base SQLite non protégée. Tout cela ressemble à une opération de communication pour faire un minimum de damage control suite à ce grand fiasco.
votre avatar
Ce mémo s'inscrit dans le cadre de l'initiative « Secure Future » (SFI) de Microsoft, introduite à l'automne dernier, précise GeekWire. Microsoft avait ainsi déclaré, en mai, qu'elle baserait une partie de la rémunération de ses cadres supérieurs sur les progrès réalisés en matière de sécurité.
https://en.wikipedia.org/wiki/2024_CrowdStrike_incident
On 19 July 2024
Comme quoi, aligner des mots clés de manière péremptoire ne suffit pas à rendre une phrase vraie :]
votre avatar
Le problème ne vient pas tant de la technique, mais des aspects commerciaux.
Dans le piratage "chinois" de certaines administrations américaines, tous les éléments techniques étaient disponibles, il fallait juste payer un abonnement pour avoir accès aux logs de sécurité.
L'arbitrage était faire du commerce avant la sécurité, et laisser le client sans autre alternative, aveugle aux attaques.

Dans un tel cas, rappeler l'arbitrage en faveur de la sécurité est 100% bénéfique pour tous, sauf les pirates.
votre avatar
J'ai un dilemme : allumer mon poste de travail fait courir un risque, alors que l'éteindre est plus sécuritaire. Dommage que je ne travaille pas chez Microsoft, j'aurais trouvé une excuse pour ne rien faire, car entre la sécurité et une autre option, il faut choisir la sécurité :top:
votre avatar
Tu aurais surtout perdu du temps à dessiner les cellules d'un tableur sur papier...

Microsoft fait de la sécurité une « priorité centrale » et l’intègre dans l’évaluation de ses employés

Fermer