L'ordinateur personnel et Internet ne seraient pas ce qu'ils sont aujourd'hui sans Microsoft. Depuis près de 50 ans, Microsoft fait progresser l'informatique, tout en offrant tous les outils nécessaires aux utilisateurs et aux entreprises qui utilisent ses produits. Des étudiants aux joueurs, en passant par les PME, les multinationales, les organismes à but non lucratif et les agences gouvernementales, les clients de Microsoft font confiance aux produits et aux services de la société pour répondre à leurs besoins en matière de productivité, de communication, de collaboration, de divertissement et de transformation de l'entreprise.
En permettant tous ces changements, Microsoft est devenue la deuxième entreprise la plus cotée du monde. Malheureusement, ce succès a également désigné Microsoft et ses produits comme une cible de choix pour les cyberattaques.
Comme nous l'avons signalé récemment dans notre rapport annuel sur les tendances en matière de phishing, les acteurs malveillants peuvent se faire passer pour des centaines d'organisations différentes, mais choisissent principalement des entités auxquelles nous faisons confiance et dont nous avons besoin pour atteindre nos objectifs. En raison de ses produits et de la confiance que l'entreprise a gagnée auprès de chacun de nous, Microsoft est la marque qui fait l'objet du plus grand nombre d'usurpations au monde.
Bien que Microsoft soit une cible de choix, il s'agit aussi d'une ligne de défense contre les attaques, proposant non seulement des applications logicielles et des systèmes d'exploitation, mais également des outils de cybersécurité. 30 % du chiffre d'affaires de Microsoft 365 peut d'ailleurs être attribué au domaine de la cybersécurité.
Le problème réside dans le fait que, lorsqu'ils sont utilisés seuls, les outils Microsoft ne sont pas particulièrement efficaces pour lutter contre les menaces.
À quel niveau s'inscrit donc Microsoft dans notre processus de réflexion sur la cybersécurité ? De nombreux professionnels de la sécurité avec lesquels je parle me posent des questions difficiles, du type « Est-ce que Microsoft ne serait pas le cheval de Troie qui permet aux cybercriminels d'infiltrer et d'attaquer nos réseaux ? À moins qu'il s'agisse tout bonnement de Troie, c'est-à-dire un environnement apparemment bien gardé et pourtant conquis avec succès ? ». Ou encore « Qui peut demander des comptes à Microsoft concernant les failles de sécurité alors que l'entreprise est profondément mêlée à nos budgets ? ».
Il ne fait aucun doute que les environnements Microsoft sont fréquemment attaqués et que les conséquences de ces attaques peuvent se révéler graves. En juillet de cette année, des pirates chinois ont réussi à accéder aux systèmes de courrier électronique (basés sur Microsoft) d'agences gouvernementales américaines, dont potentiellement celui du bureau de l'ambassadeur des États-Unis en Chine. Il s'agissait là d'une violation inimaginable de la confiance accordée à l'entreprise. En outre, ce n'était pas la première fois qu'une telle situation survenait.
Au mois d'août, Microsoft a déployé des mises à jour logicielles permettant de répondre à plus de 70 failles de sécurité du système d'exploitation Windows et de produits connexes, notamment plusieurs vulnérabilités zero-day en cours d'exploitation par les acteurs malveillants. Quiconque a déjà rédigé du code sait que les logiciels sont vulnérables, car ils sont développés par des humains. Ce volume élevé de mises à jour déployées dans le cadre du « Patch Tuesday » (le mardi des correctifs) soulève cette question : peut-on faire plus pour protéger Windows et les autres produits Microsoft, compte tenu de l'échelle gigantesque de leur adoption et des vulnérabilités inhérentes que cette dernière entraîne ?
Il serait également légitime de se poser celle-ci : l'ajout de nouveaux produits Microsoft pourra-t-il jamais répondre aux vulnérabilités des produits de l'entreprise ? Si les cybercriminels réussissent à attaquer les produits Microsoft, pourquoi devrions-nous présumer en toute confiance que les correctifs et les mises à jour de la même entreprise parviendront à prévenir de futures violations ?
La plupart des entreprises considèrent qu'elles se reposent trop fortement sur les logiciels Microsoft dans leurs tâches quotidiennes pour abandonner ces derniers. Nous n'allons pas arrêter d'utiliser Microsoft Word, Excel, PowerPoint, Exchange ou SharePoint, par exemple, uniquement parce que nous trouvons que les produits de sécurité Microsoft sont insuffisants.
Il reste que bon nombre d'entre nous ont besoin de meilleurs moyens de protéger nos outils et nos environnements Microsoft contre les attaques, car ces dernières ne cesseront pas de sitôt.
La première étape du renforcement de cette protection consiste à arrêter de dépendre principalement (ou exclusivement) des produits Microsoft pour assurer notre sécurité. Microsoft a publié un modèle de responsabilité partagée illustrant les domaines de responsabilité entre Microsoft et ses clients en fonction du type de déploiement de votre pile. En tant que professionnels de la sécurité, nous savons qu'une approche par couches est essentielle à l'élimination des failles dans la protection. Toutefois, les défis en matière de sécurité posés par Microsoft suggèrent que l'approche par couches devrait impliquer non seulement plusieurs outils, mais également plusieurs fournisseurs. La clé, bien entendu, consiste à trouver la bonne combinaison de fournisseurs sans rajouter à la complexité de gestion.
Lors de l'étape d'évaluation des fournisseurs, nous devons trouver des entreprises auxquelles nous pouvons demander des comptes. C'est-à-dire des entreprises capables d'influencer la roadmap d'un produit ou de trouver une alternative si le coût du changement n'est pas trop élevé, ni l'ajout de la solution de remplacement un doublon. Microsoft est une entreprise gigantesque qui fournit plusieurs produits essentiels. Lorsqu'un outil ou un correctif de sécurité ne parvient pas à arrêter une attaque, il s'avère difficile de demander des comptes Microsoft. Nous ne pouvons pas menacer l'entreprise de changer de fournisseur et d'arrêter d'utiliser Excel le temps que cette dernière règle le problème. Toutefois, nous pouvons transmettre la responsabilité à un autre fournisseur.
Les fournisseurs appropriés seront probablement des spécialistes de la cybersécurité, c'est-à-dire des entreprises dédiées à la résolution de vos problèmes de sécurité, avec lesquelles vous aurez plus de facilité à interagir à haut niveau et auxquelles vous pouvez demander des comptes. Ce mode d'opération vous permet ainsi de travailler avec leurs techniciens pour trouver des solutions aux menaces évolutives, de réclamer l'attention de leurs dirigeants le cas échéant et de remplacer leurs produits si toutes les solutions échouent, sans également perdre vos outils essentiels d'amélioration de la productivité.
Tant que des millions d'entreprises et de particuliers se reposeront sur les applications et les systèmes d'exploitation Microsoft, ces produits continueront à constituer des cibles de choix pour les cyberattaques. Afin de mieux se défendre contre ces dernières, les entreprises doivent cesser de dépendre de Microsoft et travailler avec des entreprises de sécurité dédiées pour résoudre le dilemme Microsoft : pouvons-nous bénéficier des produits essentiels de la société sans nous placer en situation de vulnérabilité ?
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Microsoft et Microsoft 365 sont des marques commerciales du groupe d'entreprises Microsoft.
Oren J. Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Pourquoi les outils Microsoft constituent une cible de choix pour les cyberattaques.
Pourquoi la dépendance à la superposition d'outils Microsoft seuls s'avère insuffisante.
Comment renforcer votre protection en travaillant avec des fournisseurs de sécurité auxquels vous pouvez demander des comptes.