Recevez chaque jour toute l'actualité du numérique

x

Zero Trust, fin du mot de passe… Microsoft livre sa vision de la cybersécurité

Entretien Pour Vasu Jakkal, Corporate Vice President for Security, Compliance and Identity au sein de Microsoft, "la cybersécurité doit être pour tout le monde". Car personne n'est épargné par l'explosion du nombre d'attaques informatiques, des particuliers aux très grandes entreprises. C'est cette vision que l'entreprise américaine tente d'infuser dans chacune de ses solutions.
Twitter Facebook Linkedin Flipboard Email
×

Zero Trust, fin du mot de passe… Microsoft livre sa vision de la cybersécurité
Zero Trust, fin du mot de passe… Microsoft livre sa vision de la cybersécurité © Microsoft

Les cyberattaques n'ont jamais été aussi nombreuses et dommageables. Les chiffres sont vertigineux. Dans le monde, "579 cyberattaques se produisent chaque seconde" pour un total de "50 millions de cyberattaques" par jour, révèle Vasu Jakkal, Corporate Vice President for Security, Compliance and Identity au sein de Microsoft, dans un entretien accordé à L'Usine Digitale.

Particulièrement marquante, l'affaire SolarWinds, qui est "la cyberattaque la plus sophistiquée que j'ai jamais vu", confie l'experte en sécurité informatique, qui a intégré Microsoft il y a près d'un an après avoir travaillé au sein de FireEye. L'attaque a été révélée en décembre 2020 par SolarWinds lui-même, un éditeur de solutions de gestion et de surveillance informatique.

Des hackers ont compromis sa suite logicielle Orion, utilisée par de très nombreux acteurs privés et publics, de la NSA à Cisco, Nestlé ou encore le Crédit Suisse, sans oublier Microsoft lui-même. SolarWinds revendique 425 entreprises du classement Fortune 500 (les 500 plus grosses entreprises américaines) parmi ses clients.

Un paysage complexe dans lequel personne n'est épargné 
"Le paysage actuel des cybermenaces montre que tout le monde peut être victime, du consommateur à la multinationale", ajoute Vasu Jakkal, citant Colonial Pipeline, touchée par un ransomware en mai 2021. A cause de cet incident, l'oléoduc a cessé de fonctionner pendant six jours, ce qui a provoqué une pénurie d'essence et donc une hausse des prix aux Etats-Unis. Le prix moyen de l'essence à la pompe a grimpé au-dessus de 3 dollars le gallon (3,79 litres) pour la première fois depuis 2014, d'après l'Association américaine des automobilistes (AAA).

D'où la vision de Microsoft : "la cybersécurité doit être pour tout le monde ! ". Oublier un maillon de la chaîne, c'est ouvrir une potentielle brèche pour les criminels. Dans cette logique, l'entreprise américaine a annoncé lors de sa conférence Ignite début novembre 2021 le lancement d'une nouvelle solution de sécurité pour les PME comptant jusqu'à 300 salariés. "J'ai eu l'opportunité d'échanger avec ces entreprises et 60% d'entre elles ne se sentent pas capables aujourd'hui de faire face à une cyberattaque", raconte l'experte. Baptisée "Microsoft Defender for Business", cette solution est la petite sœur de "Microsoft Defender for Endpoint" et permet de détecter l’ensemble des points de terminaison et appareils réseau afin de lutter contre les attaques. 

Les organisations à but non lucratif doivent également être protégées car elles sont "la seconde cible privilégiée" des hackers, d'après Vasu Jakkal. Microsoft a ainsi récemment annoncé le déploiement complet de son offre cloud dédiée aux associations qui leur permet notamment de lutter plus efficacement contre les incidents de sécurité.

Du côté des particuliers, le géant de Redmond mise sur une approche "passwordless" chère à Vasu Jakkal. "Les mots de passe sont une cible de choix pour les attaques, explique-t-elle, et pourtant ils constituent la couche de sécurité la plus importante dans notre vie numérique". Microsoft a ainsi annoncé en septembre 2021 la possibilité de s'authentifier sans mot de passe pour accéder à son compte Microsoft 365 personnel. L’utilisation de Windows Hello, de Microsoft Authenticator, d'une clé de sécurité ou encore d'un code de vérification envoyé par SMS ou par email permet de se connecter aux applications et services.

Une architecture "Zero Trust" au cœur des solutions
Plus généralement, Microsoft infuse le modèle du "Zero Trust" dans chacune de ses solutions. "C'est la clé", d'après la vice-présidente, en particulier depuis la massification du télétravail provoqué par la pandémie de Covid-19. L'idée est la suivante : "partir du principe qu'il y aura une cyberattaque quoi qu'il arrive", qu'il ne faut jamais avoir confiance et qu'il faut "toujours vérifier". De plus, tous les utilisateurs doivent pouvoir accéder aux ressources et aux services avec les mêmes conditions de sécurité peu importe leur terminal et leur localisation.

"Ce principe repose sur trois piliers", détaille Vasu Jakkal. Le premier est de "vérifier l'utilisateur constamment" avant d'accorder l'autorisation en fonction de plusieurs données (identité, intégrité de l'appareil, service…). Le deuxième est de limiter l'accès des utilisateurs en fonction d'un principe de "juste-à-temps et juste suffisant" (Just-in-Time/Just Enough Administration). Le troisième consiste à présupposer une violation de données et à analyser chaque activité en temps réel.

une stratégie d'acquisitions de briques technologiques
Mais l'innovation peut également "venir de l'extérieur", note la dirigeante. Raison pour laquelle Microsoft multiplie les acquisitions de start-up dans le domaine de la cybersécurité. "Nous devons être au top de l'innovation avec l'objectif de renforcer notre protection de bout en bout", poursuit-elle. L'entreprise a ainsi avalé la pépite israélienne CyberX, spécialisée dans les solutions de sécurité de l'IoT, ainsi que ReFirm Labs, qui a développé un outil d'analyse du firmware des objets connectés. RiskIQ et CloudKnox ont été rachetées en juillet 2021. La première est spécialisée dans la détection de phishing et la seconde dans l'Identity and Access Management. 

L'innovation passe également par le fait de posséder un vivier important de personnes ayant des compétences en sécurité informatique, ajoute Vasu Jakkal. "Actuellement, aux Etats-Unis, il y a 464 200 postes vacants dans ce domaine, ce qui représente 6% de tous les postes vacants dans le pays", détaille-t-elle. Pour répondre à cette pénurie, Microsoft a récemment lancé "une campagne nationale" afin d'oeuvrer au recrutement de 250 000 personnes d'ici 2025. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.