Microsoft limite les dégâts avec sa nouvelle «initiative pour un avenir sûr».

À la suite des récentes cyberattaques qui ont compromis les données de millions d’utilisateurs et révélé des vulnérabilités dans ses services en nuage, Microsoft a annoncé une nouvelle initiative visant à améliorer ses pratiques en matière de sécurité et de protection de la vie privée. Cette initiative, baptisée «Secure Future», vise à s’attaquer aux causes profondes des violations, à améliorer la résilience de ses systèmes et à restaurer la confiance de ses clients et partenaires.

Según una publicación de blog del presidente de Microsoft, Brad Smith, la iniciativa Secure Future se centrará en cuatro áreas clave: fortalecer la seguridad de sus productos y servicios, invertir en investigación e innovación, colaborar con la industria y las partes interesadas del gobierno, y educar y empoderar a los usuarios. Smith dijo que Microsoft está comprometido a «asumir la responsabilidad de nuestro papel en el ecosistema digital» y «hacer todo lo posible para prevenir, detectar y responder a los ciberataques».

Voici quelques-unes des mesures spécifiques que Microsoft prévoit de prendre dans le cadre de l’initiative «Secure Future» :

– Réalisez un examen complet de vos politiques et procédures de sécurité et mettez en œuvre les meilleures pratiques dans l’ensemble de votre organisation.

– Augmenter ses dépenses en matière de cybersécurité de 20 % au cours des cinq prochaines années et embaucher plus de 1 000 experts en sécurité.

– Développer de nouvelles technologies et de nouveaux outils pour améliorer la protection et le cryptage des données ainsi que la détection et l’atténuation des menaces.

– Établir des partenariats avec d’autres entreprises technologiques, des agences gouvernementales, les forces de l’ordre et des groupes de la société civile afin de partager des informations et de coordonner les réponses aux cyberincidents.

– Lancement d’une nouvelle plateforme en ligne pour fournir aux utilisateurs des ressources et des conseils sur la manière de protéger leurs appareils, leurs comptes et leurs données.

– Offrir des évaluations de sécurité et des formations gratuites à ses clients et partenaires, en particulier aux petites et moyennes entreprises.

M. Smith a reconnu que l’initiative «Secure Future» n’est pas une «solution rapide» ou une «solution miracle», mais plutôt un «engagement à long terme» qui nécessite une «amélioration continue». Il a également admis que Microsoft n’avait pas respecté ses propres normes et attentes en matière de prévention et de traitement des cyberattaques, et s’est excusé pour les désagréments et les préjudices causés à ses utilisateurs. Il a déclaré que Microsoft était déterminée à «apprendre de ses erreurs» et à «faire mieux» à l’avenir.

L’initiative Secure Future devrait être lancée au début de l’année 2024, avec des mises à jour et des rapports réguliers sur ses progrès et son impact. M. Smith a déclaré que Microsoft espérait que l’initiative permettrait non seulement d’améliorer son propre niveau de sécurité, mais aussi de contribuer à «un monde numérique plus sûr pour tous».

La stratégie annoncée jeudi par Microsoft comporte de nombreux aspects, mais l’un des plus concrets et des plus pertinents est la manière dont l’entreprise améliorera ses pratiques en matière d’ingénierie et de développement de logiciels. Dans un courriel adressé aux employés, Charlie Bell, vice-président exécutif de Microsoft chargé de la sécurité, et ses collègues Scott Guthrie et Rajesh Jha, ont présenté un plan visant à renforcer la sécurité des systèmes de gestion des identités dans les produits Microsoft, à améliorer la qualité et la sécurité du code logiciel et à réduire le temps et les efforts nécessaires pour répondre aux vulnérabilités et les corriger, en particulier celles qui affectent les services en nuage.

Cette annonce intervient à un moment où Microsoft a été critiqué pour des incidents au cours desquels des failles dans ses produits ont permis à des attaquants (à la fois des cybercriminels à la recherche de profit et des pirates parrainés par des États) de compromettre les systèmes de Microsoft et ceux de ses clients. La situation évolue également à mesure que les régulateurs et les organismes chargés de l’application de la loi cherchent de nouveaux moyens de dissuader et de prévenir les attaques préjudiciables.

Par exemple, lundi, la Securities and Exchange Commission (SEC) des États-Unis a porté plainte contre SolarWinds et son directeur de la sécurité de l’information pour n’avoir pas divulgué et traité des «risques et vulnérabilités en matière de cybersécurité» qui, selon la SEC, étaient connus.

Microsoft a déclaré jeudi que son initiative Secure Future est une réponse aux menaces croissantes des attaquants. «Au cours des derniers mois, nous sommes arrivés à la conclusion, au sein de Microsoft, que la vitesse, l’ampleur et la sophistication croissantes des cyberattaques exigeaient une nouvelle réponse», a écrit Brad Smith, vice-président et président de Microsoft.