Calipia : le blog

Encore une fois, Microsoft se retrouve dans la tourmente après la divulgation d’une faille de sécurité exploitée dans SharePoint, son outil de collaboration et de gestion documentaire largement utilisé. L’alerte, signalée par Palo Alto Networks, souligne une vulnérabilité d’autant plus critique que SharePoint est profondément intégré aux autres services de Microsoft tels qu’Office, Teams ou Outlook. Le compromis d’un maillon, et c’est toute la chaîne de valeur logicielle des entreprises clientes qui vacille.

Des incidents en série : l’accumulation commence à peser

Ce n’est pas la première fois — et c’est là tout le problème. Microsoft semble enchaîner les brèches critiques comme d’autres alignent les releases. En 2023, une intrusion menée par des acteurs russes a compromis des services gouvernementaux sensibles. En 2022, c’est un groupe lié à la Chine qui avait réussi à accéder aux emails de hauts responsables américains, révélant une chaîne de défaillances internes pointée du doigt par une enquête fédérale : erreurs évitables, absence de revues de sécurité fondamentales, et négligences organisationnelles.

En réponse à ces épisodes, Microsoft a tenté de démontrer sa volonté de changement, notamment en ajustant la rémunération de ses dirigeants : un tiers du bonus des 14 cadres les mieux rémunérés est désormais lié à des objectifs de cybersécurité. Satya Nadella lui-même a vu son incentive cash réduit de moitié en 2024, le faisant passer à 5,2 millions de dollars (soit un “effort symbolique” pour un PDG dont la rémunération totale atteint tout de même 79 millions). Un geste fort sur le papier, mais suffisant ?

Une culture technique encore trop tolérante ?

Depuis 2021, Charlie Bell – ex-AWS – a été recruté pour restructurer la gouvernance cybersécurité. Or, dès 2022, des rapports internes faisaient état de frictions avec ses équipes, peu enclines à adopter des pratiques plus rigoureuses. Trois ans plus tard, les résultats peinent à convaincre. On observe une forme d’inertie organisationnelle : face à une menace qui évolue à un rythme quasi quotidien, Microsoft continue de fonctionner sur des modèles de sécurité et de remédiation trop lents, trop cloisonnés, et peu centrés sur la prévention systémique.

Le constat est préoccupant : malgré des investissements massifs, l’écosystème Microsoft continue de présenter des surfaces d’attaque attractives et exploitables. Le problème n’est pas tant qu’il y ait des vulnérabilités – toutes les plateformes en ont – mais qu’elles soient détectées par les attaquants avant les équipes internes, et que leurs conséquences soient aussi lourdes.

Le revers de la domination

Microsoft est victime de son propre hégémonisme. Plus de 90 % des entreprises du Fortune 500 utilisent ses services. Cela en fait une cible naturelle, presque exclusive, pour tout acteur malveillant à la recherche d’impact global. À cet égard, aucune solution de sécurité ne peut prétendre à l’infaillibilité. Mais cela ne saurait justifier un tel rythme de compromissions sérieuses.

D’un point de vue architectural, la promiscuité fonctionnelle entre les briques Microsoft (SharePoint, Exchange, Azure AD, etc.) accroît considérablement le risque systémique. Une vulnérabilité sur une application transverse comme SharePoint peut rapidement se propager dans un tenant complet, et contaminer les communications (Outlook), les documents (OneDrive), et les identités (Azure AD).

Vers une refonte structurelle ?

Il devient impératif que Microsoft repense sa gouvernance sécurité, non pas comme une fonction de support ou de conformité, mais comme une discipline intégrée à tous les niveaux d’ingénierie produit. Cela implique un changement de culture profond : tests de sécurité automatisés, audits de code en amont, responsabilisation des équipes de développement, et surtout… refus de la complexité technique inutile.

Les professionnels du SI ne peuvent plus se contenter de patchs mensuels ou d’avertissements de dernière minute. La confiance des DSI dans l’écosystème Microsoft est largement fondée sur la promesse d’un environnement maîtrisé. À chaque brèche médiatisée, cette promesse s’effrite forcément un peu plus. Toutefois, pour relativiser aussi les choses, les autres acteurs ne sont par forcément dans une posture différente…

En réduisant le bonus de son PDG, Microsoft a envoyé un message. Mais tant que les incidents continuent, ce geste ne suffira pas à rassurer les entreprises ni à restaurer la confiance dans son modèle de sécurité. Les DSI attendent des garanties techniques, pas des ajustements symboliques.