Assistance technique Microsoft Security
Assistance Microsoft pour les administrations publiques

Un rapport du gouvernement américain recommande une refonte de la sécurité du cloud Microsoft.

Un rapport du gouvernement américain préconise une refonte de la sécurité du cloud Microsoft après une violation majeure par des pirates informatiques soutenus par l'État chinois.
Mike Jones
Écrit par :
Mike Jones
Publié le 20, 2024
Un rapport du gouvernement américain recommande une refonte de la sécurité du cloud Microsoft

Le CSRB critique Microsoft et appelle à une réforme de la sécurité dans le cloud

Un récent rapport du gouvernement américain a mis en lumière d'importantes préoccupations en matière de sécurité concernant la gestion de la sécurité du cloud par Microsoft, à la suite d'une violation majeure commise par des pirates informatiques chinois soutenus par l'État.

Le rapport, publié par le Cyber Safety Review Board (CSRB) américain, met en évidence une série de défaillances opérationnelles et de décisions stratégiques prises par Microsoft qui ont permis à ces pirates informatiques d'infiltrer les comptes de messagerie électronique de hauts responsables américains. Le rapport critique non seulement Microsoft, mais appelle également à des réformes plus larges dans le domaine de la sécurité du cloud.

Un rapport du gouvernement américain recommande une refonte de la sécurité du cloud Microsoft

La violation et ses implications

Homme d'affaires se couvrant le visage avec les mains devant son ordinateur portable, l'air stressé.
Les dirigeants sont préoccupés par les failles de cybersécurité.

La faille de sécurité, signalée pour la première fois en juillet 2023, impliquait un groupe de pirates informatiques connu sous le nom de Storm-0588, qui serait lié au gouvernement chinois. Ce groupe a réussi à compromettre le compte professionnel d'un ingénieur de Microsoft, ce qui lui a ensuite permis d'accéder à des systèmes sensibles du gouvernement américain.

Le rapport décrit cet incident comme « évitable » et souligne une série d'erreurs dans les protocoles de sécurité de Microsoft.

Les pirates ont accédé aux courriels de 22 organisations et de plus de 500 personnes, dont des personnalités de premier plan telles que l'ambassadeur des États-Unis en Chine. En outre, environ 60 000 courriels ont été téléchargés depuis le département d'État américain.

Cette violation souligne le rôle essentiel que joue Microsoft dans l'écosystème technologique mondial et le niveau de confiance que les clients accordent à l'entreprise pour protéger leurs données et leurs opérations.

Conclusions du Comité américain d'examen de la cybersécurité

Le rapport du CSRB critiquait sans ambiguïté les pratiques de Microsoft en matière de sécurité dans le cloud. Il soulignait plusieurs domaines dans lesquels Microsoft présentait des lacunes :

  • Contrôles de sécurité d'identité inadéquats : Le rapport a souligné que Microsoft ne disposait pas des contrôles de sécurité d'identité qui sont la norme chez les autres fournisseurs de services cloud.
  • Pratiques cryptographiques obsolètes : les pirates ont exploité une clé cryptographique datant de 2016 pour obtenir un accès non autorisé, ce qui souligne l'obsolescence des pratiques de rotation des clés.
  • Défaillance des contrôles organisationnels et de la gouvernance : le rapport critique Microsoft pour ne pas avoir donné la priorité à la sécurité, suggérant la nécessité d'un changement culturel au sein de l'organisation.

Le CSRB a recommandé à la direction de Microsoft d'élaborer et de mettre en œuvre un plan visant à réformer en profondeur ses produits et services en mettant l'accent sur la sécurité.

Il a également suggéré que les fournisseurs de services cloud cessent de facturer aux clients les journaux de sécurité, qui sont essentiels pour détecter et prévenir les intrusions.

Principales conclusions du rapport du CSRB

Conclusion Description
Faible sécurité de l'identité Microsoft ne disposait pas de contrôles de sécurité d'identité communs.
Cryptographie obsolète Les pirates ont utilisé une ancienne clé cryptographique datant de 2016.
Mauvaise gouvernance en matière de sécurité Microsoft doit mettre davantage l'accent sur la sécurité.

Réponse et initiatives de Microsoft

En réponse aux conclusions du CSRB, Microsoft a lancé l'initiative « Secure Future Initiative » visant à remédier à ses lacunes en matière de sécurité. La société s'est engagée à mettre en œuvre les recommandations du comité et a déjà rendu certains journaux de sécurité disponibles dans le cadre de son offre standard de services cloud.

Le vice-président et président de Microsoft, Brad Smith, a témoigné devant la commission de la sécurité intérieure de la Chambre des représentants, soulignant l'engagement de l'entreprise à améliorer sa posture en matière de cybersécurité.

Deux logos : à gauche, le logo du Cyber Safety Review Board représentant une tête d'aigle dans un bouclier. À droite, le logo Microsoft avec son carré quadricolore et le nom de la société.
Un rapport du gouvernement américain recommande une refonte de la sécurité du cloud Microsoft.

Microsoft s'est engagé à mettre en œuvre les 16 recommandations du CSRB qui s'appliquent à l'entreprise, notamment des mesures spécifiques visant à protéger les identités et les secrets, à renforcer la sécurité des réseaux et à améliorer les capacités de détection et de réponse aux menaces. Cette initiative met l'accent sur trois principes fondamentaux en matière de sécurité : sécurité dès la conception, sécurité par défaut et sécurité des opérations.

Ces principes guident le développement et le déploiement des produits et services Microsoft, garantissant que la sécurité est intégrée dès le départ et continuellement améliorée pour faire face à l'évolution des menaces.

Réponse de Microsoft aux recommandations du CSRB

Initiative Détails
Plan pour un avenir sûr Vise à corriger les problèmes de sécurité, notamment en améliorant les journaux et la protection de l'identité.
16 actions clés Renforcement de la sécurité du réseau et amélioration de la détection des menaces.
Principes fondamentaux de sécurité « Sécurisé dès la conception », « sécurisé par défaut » et « opérations sécurisées ».
Illustration numérique représentant un bouclier et des piles de pièces de monnaie en équilibre sur une balançoire, brillant d'une lumière bleue sur un fond sombre.
Équilibre entre cybersécurité et rentabilité.

Outre ces mesures techniques, Microsoft se concentre également sur des changements culturels et organisationnels afin de renforcer son approche axée sur la sécurité. Cela inclut notamment le fait de lier les objectifs de sécurité à la rémunération des dirigeants, ce qui garantit la responsabilité et aligne les objectifs de l'entreprise sur ses engagements en matière de sécurité.

Microsoft a également invité l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) à son siège social pour une présentation technique détaillée sur la mise en œuvre des recommandations du CSRB, démontrant ainsi sa transparence et sa volonté de collaborer avec les agences gouvernementales afin de renforcer les mesures de sécurité.

Défis et critiques

Malgré les efforts de Microsoft, l'entreprise doit relever des défis importants pour rétablir la confiance et garantir une sécurité robuste :

Profit ou sécurité ?

Une enquête menée par ProPublica a révélé que Microsoft avait auparavant privilégié le profit au détriment de la sécurité, ignorant prétendument les avertissements concernant des failles critiques afin de remporter des contrats gouvernementaux. Cela a suscité un certain scepticisme quant à l'engagement de l'entreprise en matière de sécurité.

Vulnérabilités persistantes

Le rapport du CSRB et les enquêtes qui ont suivi ont mis en évidence les vulnérabilités persistantes des services cloud de Microsoft, qui nécessitent des améliorations continues et une vigilance constante.

Implications à l'échelle de l'industrie

Le rapport du CSRB a des implications plus larges pour le secteur du cloud computing, appelant à une réévaluation des pratiques de sécurité chez tous les fournisseurs de services cloud, et pas seulement chez Microsoft. Le rapport recommande que l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) mène les efforts visant à définir et à adopter des normes minimales pour la journalisation des audits dans les services cloud.

Cela garantirait aux clients l'accès aux journaux de sécurité essentiels sans frais supplémentaires, leur permettant ainsi de détecter et de réagir plus efficacement aux incidents de sécurité.

Cette recommandation souligne la nécessité de transparence et de responsabilité dans le secteur du cloud computing. En mettant en place des pratiques de sécurité normalisées, les fournisseurs de services cloud peuvent renforcer la confiance des clients et réduire le risque de violations.

Le rapport souligne également l'importance de la collaboration entre les organismes gouvernementaux et les entreprises privées pour élaborer et appliquer ces normes, afin de garantir une approche unifiée de la cybersécurité dans l'ensemble du secteur.

La voie à suivre

Pour Microsoft, la voie à suivre consiste non seulement à répondre aux préoccupations immédiates en matière de sécurité, mais aussi à promouvoir une culture de la sécurité qui imprègne tous les aspects de ses activités. Cela comprend :

  • Renforcer la culture de la sécurité : Microsoft doit donner la priorité à la sécurité à tous les niveaux, de la conception des produits aux pratiques opérationnelles.
  • Mise en œuvre des meilleures pratiques : l'entreprise doit adopter les meilleures normes de sécurité, telles que l'authentification multifactorielle et les modèles d'accès à privilège minimal, pour l'ensemble de ses services.

Renforcement de la transparence et de la responsabilité : en liant les objectifs de sécurité à la rémunération des dirigeants, Microsoft vise à garantir la responsabilité et la transparence dans ses initiatives en matière de sécurité.

Le choix numéro un

Il est clair que le paysage du cloud computing évolue rapidement. Dans ce contexte, US Cloud se distingue nettement des autres fournisseurs. Nous adaptons nos solutions aux besoins spécifiques de votre entreprise tout en garantissant la conformité aux exigences réglementaires les plus strictes.

Avec une tarification transparente, l'élimination des frais cachés et des équipes d'assistance dédiées disponibles 24 heures sur 24, US Cloud s'engage sans faille à satisfaire ses clients. Pour les organisations à la recherche d'un fournisseur de services cloud qui comprend véritablement leurs défis uniques et donne la priorité à leurs besoins en matière de sécurité, US Cloud représente non seulement une alternative, mais aussi un choix supérieur sur le marché des services cloud.

Alors que vous évoluez dans le monde complexe du cloud computing et de la cybersécurité, un partenariat avec US Cloud vous offre la tranquillité d'esprit et les solutions sur mesure nécessaires pour prospérer dans le paysage numérique actuel.

Mike Jones
Mike Jones
Mike Jones est une autorité reconnue dans le domaine des solutions d'entreprise Microsoft. Il a été désigné par Gartner comme l'un des meilleurs experts mondiaux en matière de contrats Microsoft Enterprise Agreements (EA) et Unified (anciennement Premier) Support. La vaste expérience de Mike dans les secteurs privé, public et des partenaires lui permet d'identifier et de répondre avec expertise aux besoins spécifiques des environnements Microsoft des entreprises du classement Fortune 500. Sa connaissance inégalée des offres Microsoft fait de lui un atout inestimable pour toute organisation cherchant à optimiser son environnement technologique.

Articles connexes

Vous souhaitez en savoir plus ? Les articles ci-dessous sont liés au contenu que vous venez de lire.
GCC High Readiness pour Microsoft Copilot : un guide pour un lancement sécurisé

GCC High Readiness pour Microsoft Copilot : un guide pour un lancement sécurisé

Publié le 16, 2025
Microsoft Copilot est désormais disponible pour GCC High. Découvrez comment le lancer en toute sécurité, préparer vos données et bénéficier d'une assistance Microsoft conforme à moindre coût.
Mise à jour de Microsoft Teams pour connecter les utilisateurs non Microsoft : comment les équipes informatiques peuvent garantir la sécurité de la collaboration

Mise à jour de Microsoft Teams pour connecter les utilisateurs non Microsoft : comment les équipes informatiques peuvent garantir la sécurité de la collaboration

Publié le 25, 2025
À partir de novembre 2025, les membres de Microsoft Teams pourront discuter ou appeler toute personne disposant d'une adresse e-mail. Voici pourquoi cela améliore la productivité et renforce la sécurité.
Obtenez un devis auprès de US Cloud pour que Microsoft réduise ses tarifs d'assistance Unified.

Ne négociez pas à l'aveuglette avec Microsoft

Dans 91 % des cas, les entreprises qui soumettent une estimation du cloud américain à Microsoft bénéficient immédiatement de remises et de concessions plus rapides.

Même si vous ne changez jamais, une estimation US Cloud vous donne :

  • Les prix réels du marché remettent en question la position « à prendre ou à laisser » de Microsoft
  • Objectifs d'économies concrets: nos clients économisent 30 à 50 % par rapport à Unified.
  • Négocier les munitions – prouver que vous disposez d'une alternative légitime
  • Renseignements sans risque – aucune obligation, aucune pression

 

« US Cloud nous a permis de réduire notre facture Microsoft de 1,2 million de dollars. »
— Fortune 500, directeur informatique