« Trustworthy Computing » V2 : Microsoft annonce « Secure Future Initiative »

Publié le par Poster un commentaire

Vous souvenez vous de l’initiative il y a un plus de 20 ans de Microsoft : « Trustworthy Computing ». Initiative ô combien visionnaire à l’époque visant à penser en matière de sécurité depuis la conception des produits. A cette époque Microsoft était, et nous sommes bien placés pour en parler, pas mal chahuté sur le theme : « vos produits sont des passoires en matière de sécurité ». C’était une époque pas si lointaine, ou les partisans d’Apple clamaient haut et fort que les virus ne pouvaient pas exister sous Mac et que les seuls serveurs « sérieux » sur la question de la sécurité était les serveurs Linux… L’initiative « Trustworthy Computing » avait aussi été lancée parce que Bill Gates avait reconnu que les problèmes de sécurité ralentissaient les ventes de PC. Une autre époque donc. Aujourd’hui les PC se vendent moins bien mais surtout parce que le marché est saturé et que les PC ne vieillissent pas si mal finalement (et c’est plutôt une bonne nouvelle).

Microsoft à dévoilé publiquement la semaine dernière une sorte de Version 2 avec « , s’appelle « Secure Future Initiative ». Visant à réorganiser la manière dont Microsoft conçoit, construit, teste et entretient ses services et ses logiciels. Le même objectif que « Trustworthy Computing » mais à l’ère du Cloud. Si le piratage chinois de « Storm-0558 » où des acteurs malveillants ont infiltré un certain nombre de comptes de messagerie Outlook d’entreprises et d’administrations, a sans doute rendu une réponse nécéssaire, Storm-0558 est loin d’être le seul incident de cybersécurité majeur qui ait touché Microsoft et ses clients au cours des derniers mois. Le phishing, les ransomwares, les logiciels malveillants en tant que service et d’autres problèmes de sécurité ne cessent d’apparaître. Et demain c’est peut-être aussi l’IA générative qui sera mise à contribution également (il commence à y avoir des exemples) pour créer des menaces encore plus sofistiquées…

Sans surprise, l’IA Générative joue un rôle important dans la solution de sécurité proposée par Microsoft. Vous le savez, nous vous en parlions sur le blog au mois de mars, Microsoft travaille sur un outil d’assistant IA appelé Security Copilot qui est censé aider les administrateurs à voir plus rapidement et plus facilement ce qui se passe du point de vue de la sécurité dans leurs organisations. Microsoft a récemment élargi son programme de tests privés et payants pour Security Copilot avant sa disponibilité générale prévue en 2024. Espérons que ce dernier connaisse une véritable « disponibilité générale » digne de ce nom à cette époque (ce qui n’était pas vraiment le cas de M365 Copilot)

Microsoft annonce un certains nombres d’objectifs ambitieux pour la nouvelle initiative « Secure Future Initiative » :

  • Réduire de 50 % le temps nécessaire à l’élimination des vulnérabilités dans l’informatique dématérialisée afin d’accélérer considérablement la réponse aux vulnérabilités et les mises à jour de sécurité qui en découlent. en encourageant « un reporting plus transparent et plus cohérent ». Référence directe à ce qui c’est sans doute passé cet été autour de Storm-0558.
  • Intégrer davantage de paramètres de sécurité par défaut dans les produits, tels que l’authentification multifactorielle obligatoire (MFA) et d’autres paramètres de sécurité activés par défaut au cours de l’année prochaine.
  • Passer à un nouveau système des passkeys pour les particuliers et les entreprises, qui s’appuie aussi sur le module de sécurité renforcé Azure (HSM) et sur une infrastructure informatique confidentielle dans laquelle les clés ne sont pas seulement cryptées au repos et en transit, mais aussi pendant les processus de calcul. Nous y revenons dans une session dédiée lors du prochain Briefing Calipia. Nous avons déjà aussi dit tout le bien que nous en pensions dans Windows 11 sur le blog.
  • Élargir la modélisation automatisée des menaces contre son code pour tenter de prévenir et de contrer les attaques futures.

A suivre donc au delà des effets d’annonces, de ce qui est avant tout, à mon avis, une piqure de rappel de l’initiative « Trustworthy Computing »… 20 ans après.

Tag(s) associé(s) :

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.