Microsoft logo on building

Mise à jour de Microsoft SFI: cinq des 28 objectifs de sécurité presque terminés

Lucas Morel

Executive «Supersatifiée» avec des travaux jusqu’à présent sur le projet pour réviser la culture de sécurité des entreprises et la conception des applications.

Microsoft affirme que cinq des 28 objectifs ont fixé pour la révision de la façon dont il conçoit, construit, teste et exploite des produits et services pour améliorer la sécurité, bien qu’il y ait encore des années à passer sous ce qu’il appelle la Secure Future Initiative (SFI).

De plus, Microsoft dit qu’il y a eu des «progrès significatifs» sur 11 des objectifs restants – ce qui signifie qu’ils sont faits au moins 66% – et la société progresse sur le reste.

La dernière comptabilité intervient dans le troisième rapport d’aujourd’hui sur les progrès réalisés en vertu du SFI. Il a été annoncé en novembre 2023, après que Microsoft ait subi des hacks majeurs et, après des années de plaintes concernant les vulnérabilités Windows et Office.

Entre autres choses, il note que pour l’instant:

  • Plus de 99% des employés ont terminé les fondements de sécurité et des cours de code de confiance, augmentant la sensibilisation aux meilleures pratiques de cybersécurité;
  • La Microsoft Security Academy a fourni un apprentissage sur mesure à plus de 50 000 employés pour améliorer leurs compétences en sécurité, et le centre interne de l’entreprise pour le contenu de sécurité a contribué à une réduction de 25% des incidents. Les premières données des réponses terminées indiquent que les employés qui ont terminé la formation étaient 50% moins sensibles au phishing et 20% plus susceptibles de signaler les tentatives de phishing;
  • Depuis septembre, la société a ajouté plus de 200 détections de tactiques, techniques et procédures (TTP) à travers l’infrastructure Microsoft, améliorant sa capacité à détecter les activités des acteurs de la menace. Les détections applicables seront également intégrées à Microsoft Defender.

« Je suis trop satisfait des changements de culture, je suis trop satisfait des améliorations de l’ingénierie que nous devons faire », a déclaré Bret Arsenault, vice-président d’entreprise de Microsoft et conseiller en chef de la sécurité, dans une interview.

Il estime que Microsoft a maintenant les mécanismes en place pour renforcer les capacités plus rapidement que par le passé à mesure que le paysage de la menace évolue, même si les changements ont un impact commercial.

Rapport d’avancement novembre 2024

Certaines des réalisations que ces dernières notes de rapport d’étape comprennent:

  • Microsoft a rempli le député CISO pour les applications commerciales Post (qui comprend Windows, Microsoft 365 et Office);
  • Les 14 CISO adjoints ont terminé un inventaire complet des risques de leur plate-forme et de leur fonction, alignant les risques sur les domaines actuels de l’intelligence et des produits de la menace;
  • Récemment, la société a lancé une boîte à outils sécurisée par conception UX pour les développeurs de Microsoft, pour améliorer l’expérience utilisateur (UX) et l’intégration de sécurité dans tous les produits. Il existe également une version orientée client. La boîte à outils a été déployée à 22 000 employés, intégrant les meilleures pratiques de sécurité dans le développement de produits et garantir que les interfaces des produits sont conçues pour être intuitifs, non intrusives et aider à protéger les données des clients;
  • Azure a lancé une fonctionnalité de prévention de la fraude incorporant l’authentification multi-facteurs (MFA) pour se connecter au portail Azure pour empêcher les abus de partis non autorisés. Cela ajoute à l’implémentation d’octobre 2024 de l’authentification multifactor obligatoire pour le portail Microsoft Azure, Microsoft Entra Admin Center et Microsoft Intune Admin Center;
  • L’application de la MFA pour tous les utilisateurs du centre d’administration de Microsoft 365 est en cours de déploiement. De plus, il existe un nouveau rôle d’administrateur d’IA pour l’administration efficace des services de copilote Microsoft 365 et d’IA d’entreprise sans les autorisations approfondies requises pour le rôle d’administration globale;
  • 90% des jetons d’identité de l’ID Microsoft ENTRA pour les applications Microsoft sont validés à l’aide d’un SDK d’identité standard, qui fournit une implémentation cohérente et durcie, améliorant la sécurité;
  • Le MFA résistant au phishing protège désormais 100% des comptes du système de production de Microsoft et 82% des comptes de productivité des employés. De plus, plus de 19 millions de ressources dans Microsoft Azure adhèrent désormais à la norme des secrets Safe Secrets de Microsoft.
  • Le 26 mars, Microsoft a lancé une nouvelle expérience de connexion pour plus d’un milliard d’utilisateurs. À la fin de ce mois, la plupart des utilisateurs de compte Microsoft verront la connexion et l’inscription à la mise à jour des flux d’expérience utilisateur pour les applications Web et mobiles. Cette nouvelle expérience utilisateur est optimisée pour une expérience sans mot de passe et la première passée. Microsoft met également à jour la logique de connexion du compte pour faire de PassKey le choix de connexion par défaut chaque fois que possible.
  • Plus de 97% des actifs de l’infrastructure de production de Microsoft ont été inventoriés et sont suivis. De plus, 99% des appareils réseau, et plus de 95% des nœuds / machines, ont une collection de journaux de sécurité centrale avec une politique de rétention de deux ans appliquée.

L’Initiative Future Microsoft Secure Future (SFI) est, a déclaré la société, un effort pluriannuel pour «révolutionner la façon dont nous concevons, construisons, testons et exploitons nos produits et services, pour atteindre les normes de sécurité les plus élevées». Certains objectifs prendront plusieurs années. D’autres, comme travailler sur la cryptographie post-quantum et le coucher de soleil ordonné des techniques cryptographiques à mesure qu’ils vieillissent, prendront beaucoup plus de temps.

La société appelle SFI «le plus grand projet d’ingénierie de cybersécurité de l’histoire». Les objectifs sont alignés sur les principes de sécurité de Secure by Design, Secure par défaut et les opérations sécurisées.

Lorsqu’on lui a demandé quels CISO dans les organisations sortira de SFI, Arsenault a déclaré: «Les améliorations que nous avons apportées ici (signifient) une marée montante soulève tous les bateaux. Il n’y a rien que vous ayez à faire.»

Les CISO peuvent également apprendre à améliorer leur culture et leur gouvernance grâce à des pratiques partagées décrites dans ce nouveau rapport, a-t-il ajouté, comme le passage du MFA en deux étapes au MFA résistant au phishing.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission