Microsoft semble prendre très au sérieux la menace grandissante des cyberattaques. Alors que la firme de Redmond met en avant sa nouvelle initiative “Secure Future”, elle annonce un investissement conséquent de 4 millions de dollars pour encourager les chercheurs en sécurité à identifier les failles de ses systèmes cloud et d’IA. Ce programme de primes aux bugs, déjà existant, voit ainsi ses récompenses considérablement augmentées, traduisant une certaine urgence face aux défis de cybersécurité actuels.
“Embrace the red”: quand Nadella appelle à la transparence
L’origine de cette décision remonte aux réunions hebdomadaires de l’initiative “Secure Future” dirigées par Satya Nadella lui-même. Le PDG de Microsoft aurait exhorté ses équipes à “se tourner vers le rouge”, c’est-à-dire à mettre en lumière les problèmes et les vulnérabilités plutôt que de présenter des rapports élogieux. Cet appel à la transparence aurait permis de libérer la parole et de mettre en évidence la nécessité d’investir davantage dans la recherche de failles.
Avec ces 4 millions de dollars supplémentaires, Microsoft affirme proposer le programme de primes aux bugs “le plus important du secteur”. L’entreprise se targue également d’offrir les récompenses potentielles les plus élevées de tous les événements de piratage informatique. Cependant, certains observateurs s’interrogent sur la suffisance de cet investissement. Face à des cyberattaques de plus en plus sophistiquées, ne faudrait-il pas aller encore plus loin ? Charlie Bell, vice-président exécutif en charge de la sécurité chez Microsoft, répond à cette question en soulignant l’importance de l’incitation et de la motivation des chercheurs.
L’IA au cœur des préoccupations
L’accent mis sur l’IA dans ce programme de primes aux bugs témoigne de l’importance croissante de cette technologie et des risques qu’elle comporte. Microsoft met à disposition son “AI Red Team”, composée d’experts internes, pour former les chercheurs en sécurité externes à identifier les vulnérabilités liées à l’IA. L’objectif est clair : renforcer la sécurité des systèmes d’intelligence artificielle face aux menaces émergentes.
Cette initiative intervient après une série d’incidents de sécurité qui ont entaché la réputation de Microsoft. En 2023, le groupe de pirates chinois Storm-0558 a réussi à compromettre les boîtes aux lettres Microsoft Exchange Online de nombreuses organisations, y compris des institutions gouvernementales américaines. Plus récemment, c’est l’acteur étatique russe Nobelium qui a accédé aux systèmes internes de Microsoft, y compris à certains référentiels de code source.
Un rapport accablant et une culture de sécurité “inadéquate”
Suite à ces incidents, un rapport du Cyber Safety Review Board (CSRB) a pointé du doigt la culture de sécurité “inadéquate” de Microsoft. Le rapport a notamment critiqué “une cascade d’erreurs évitables” ayant permis ces intrusions. Face à ces critiques, Microsoft a été sommé de faire de la sécurité sa priorité absolue.
L’initiative “Secure Future” lancée par Microsoft vise à répondre à ces défis. Elle comprend notamment un programme de primes aux bugs renforcé, la nomination de responsables de la sécurité dans chaque groupe de produits, et la simplification des pratiques de sécurité. Microsoft affirme que l’équivalent de 34 000 ingénieurs à temps plein travaillent sur cette initiative, la qualifiant de “plus grand projet d’ingénierie de cybersécurité de l’histoire”.
Tensions entre sécurité et intérêts commerciaux
Malgré ces efforts, Microsoft continue d’être critiqué pour sa gestion de la sécurité. Un récent rapport de ProPublica accuse l’entreprise d’avoir profité de ses produits de sécurité alors même que les vulnérabilités de ses propres programmes contribuent aux problèmes de cybersécurité. Microsoft se défend en affirmant que sa “seule motivation” est de “fournir les meilleurs outils de cybersécurité” pour répondre aux menaces en constante évolution.
Nouveaux produits et fonctionnalités de sécurité
Lors de sa conférence Ignite, Microsoft a annoncé plusieurs nouveautés en matière de sécurité, notamment une fonctionnalité de prévention des pertes de données pour Microsoft 365 Copilot et la disponibilité générale de Microsoft Security Exposure Management. Cette technologie utilise une approche graphique pour aider les défenseurs à comprendre les chemins d’attaque potentiels.
Microsoft se positionne à la fois comme développeur de technologies et fournisseur de produits de sécurité. Cette double perspective lui confère une vision unique du paysage de la sécurité, lui permettant d’observer les comportements des attaquants et de développer des solutions adaptées. L’entreprise met en avant ses efforts pour intégrer des fonctionnalités de sécurité dans ses produits et investir massivement dans la recherche et le développement.