Nouvelles Du Monde

Assurer notre avenir : mise à jour de l’avancement de la Microsoft Secure Future Initiative (SFI) pour septembre 2024

Par : Charlie Bell, vice-président exécutif de la sécurité chez Microsoft.

En novembre 2023, nous présentons le Initiative pour un avenir sûr (SFI) pour faire progresser la protection de la cybersécurité pour Microsoft, nos clients et l’industrie. En mai 2024, nous avons élargi l’initiative pour nous concentrer sur six piliers clés de la sécurité, en intégrant les commentaires du secteur et nos propres idées. Depuis lors, l’initiative a commencéNous avons consacré l’équivalent de 34 000 ingénieurs à temps plein au SFI, ce qui en fait le plus grand effort d’ingénierie en cybersécurité de l’histoire. Et maintenant, nous partageons les mises à jour et les étapes clés du premier rapport d’avancement du SFI.

Lire le rapport d’avancement complet du SFI

La sécurité avant tout

Chez Microsoft, nous reconnaissons notre responsabilité unique de préserver l’avenir de nos clients et de notre communauté. Par conséquent, chaque individu chez Microsoft joue un rôle essentiel dans «Donnez la priorité à la sécurité avant tout« Nous avons réalisé des progrès significatifs dans la promotion d’une culture de la sécurité avant tout. Parmi les principales mises à jour, on peut citer :

  • Pour améliorer la gouvernance, nous annonçons la création de un nouveau Conseil de gouvernance de La cybersécurité et la Nomination de directeurs adjoints de la sécurité des systèmes d’information (DSI) pour les fonctions clés de sécurité et toutes les divisions d’ingénierie. Dirigés par notre CISO Igor Tsyganskiy, les CISO adjoints forment le Conseil de gouvernance de la cybersécurité et sont responsables du risque cybernétique global, de la défense et de la conformité de l’entreprise.
  • La sécurité est désormais une priorité essentielle pour tous les employés de Microsoft et sera incluse dans leurs évaluations de performance. Cela permettra à tous les employés et responsables de s’impliquer et de se responsabiliser en matière de sécurité, et de codifier les contributions d’un employé à SFI et de célébrer son impact.
  • Nous avons lancé le Académie de formation en sécuritéune expérience d’apprentissage personnalisée de formation spécifique à la sécurité pour tous les employés du monde entier. L’académie garantit que, quel que soit leur rôle, les employés sont équipés pour donner la priorité à la sécurité dans leur travail quotidien et identifier le rôle direct qu’ils jouent dans la protection de Microsoft.
  • Pour garantir la responsabilité et la transparence aux plus hauts niveaux, les progrès du SFI sont examinés chaque semaine par l’équipe de direction de Microsoft et des mises à jour trimestrielles sont fournies au conseil d’administration de Microsoft. En outre, l’équipe de direction de Microsoft la performance en matière de sécurité est désormais directement liée à la rémunération.

Découvrez plus de détails sur les mises à jour de la culture et de la gouvernance dans le rapport complet

Points saillants du pilier : une approche globale de la cybersécurité

Nous avons également réalisé des progrès dans nos six piliers clés, chacun représentant un domaine critique de la cybersécurité. Ces piliers guident notre travail continu pour relever la barre en matière de sécurité chez Microsoft et nous aident à répondre aux exigences changeantes du paysage de la sécurité. Voici les dernières mises à jour dans ces domaines :

  1. Protéger les identités et les secrets : Nous avons terminé les mises à jour de Microsoft Entra ID et Microsoft Account (MSA) afin que nos clouds publics et gouvernementaux américains génèrent, stockent et font tourner automatiquement les clés de signature de jetons d’accès à l’aide du service Azure Managed Hardware Security Module (HSM). Nous avons continué à créer une dynamique pour une adoption généralisée de nos SDK d’identité standard, qui fournissent une validation cohérente des jetons de sécurité. Cette validation standardisée couvre désormais plus de 73 % des jetons émis par Microsoft Entra ID aux applications appartenant à Microsoft. Nous avons étendu l’enregistrement des jetons de sécurité standardisés dans nos SDK d’identité standard pour prendre en charge la recherche et la détection des menaces, et les avons activés sur plusieurs services critiques avant leur adoption généralisée. Nous avons terminé l’application de l’utilisation d’informations d’identification résistantes au phishing dans nos environnements de production et mis en œuvre la vérification des utilisateurs par vidéo pour 95 % des utilisateurs Microsoft internes dans nos environnements de productivité afin d’éliminer le partage de mots de passe pendant la configuration et la récupération.
  2. Protéger les locataires et isoler les systèmes de production : Nous avons effectué une itération complète de la gestion du cycle de vie des applications pour tous nos locataires de production et de productivité, en supprimant 730 000 applications inutilisées. Nous avons supprimé 5,75 millions de locataires inactifs, réduisant ainsi considérablement la surface d’attaque potentielle. Nous avons mis en œuvre un nouveau système pour rationaliser la création de locataires de test et d’expérimentation avec des valeurs par défaut sécurisées et une gestion stricte du cycle de vie. Au cours des trois derniers mois, nous avons déployé plus de 15 000 nouveaux appareils verrouillés prêts pour la production.
  3. Protection des réseaux : Plus de 99 % des actifs physiques du réseau de production sont enregistrés dans un système d’inventaire central, qui enrichit l’inventaire des actifs avec le suivi de la propriété et la conformité du micrologiciel. Les réseaux virtuels avec connectivité back-end sont isolés du réseau d’entreprise Microsoft et font l’objet d’examens de sécurité complets pour réduire les mouvements latéraux. Pour aider les clients à sécuriser leurs propres déploiements, nous avons étendu les fonctionnalités de la plateforme, telles que les règles de gestion, pour faciliter l’isolement du réseau des ressources de plateforme en tant que service (PaaS) telles qu’Azure Storage, SQL, Cosmos DB et Key Vault.
  4. Protection des systèmes d’ingénierie : 85 % de nos pipelines de build de production pour le cloud commercial utilisent désormais des modèles de pipeline gérés de manière centralisée, ce qui rend les déploiements plus cohérents, efficaces et fiables. Nous avons réduit la durée de vie des jetons d’accès personnels à sept jours, désactivé l’accès Secure Shell (SSH) pour tous les référentiels d’ingénierie Microsoft internes et considérablement réduit le nombre de rôles élevés ayant accès aux systèmes d’ingénierie. Nous avons également mis en œuvre des contrôles de preuve de présence pour les goulots d’étranglement critiques dans notre flux de code de développement logiciel.
  5. Surveillance et détection des menaces : Nous avons réalisé des progrès significatifs dans l’application de l’ensemble des infrastructures et services de production Microsoft pour adopter des bibliothèques standard pour les journaux d’audit de sécurité, afin de garantir que les données de télémétrie pertinentes sont émises et que les journaux sont conservés pendant au moins deux ans. Par exemple, nous avons mis en place une gestion centralisée et une période de conservation de deux ans pour les journaux d’audit de sécurité de l’infrastructure d’identité, couvrant tous les événements d’audit de sécurité tout au long du cycle de vie des clés de signature actuelles. De même, plus de 99 % des périphériques réseau sont désormais dotés d’une collecte et d’une conservation centralisées des journaux de sécurité.
  6. Accélérez la réponse et la correction : Nous avons mis à jour les processus de Microsoft pour améliorer le temps d’atténuation des vulnérabilités critiques du cloud. Nous avons commencé à publier les vulnérabilités critiques du cloud sous forme de CVE (Common Vulnerabilities and Exposures), même si aucune action du client n’est requise, afin d’améliorer la transparence. Nous avons créé le Customer Security Management Office (CSMO) pour améliorer la communication publique et l’engagement des clients sur les incidents de sécurité.

Pour en savoir plus sur les six piliers, consultez le rapport complet

Réaffirmant notre engagement en matière de sécurité

En matière de sécurité, le progrès constant est plus important que la « perfection », et cela se reflète dans l’ampleur des ressources mobilisées pour atteindre nos objectifs SFI. Le travail collectif que nous effectuons pour accroître continuellement la protection, éliminer les actifs hérités ou non conformes et identifier les systèmes restants afin de les surveiller de manière concluante mesure notre succès. Pour l’avenir, nous restons déterminés à nous améliorer en permanence. SFI continuera d’évoluer, de s’adapter aux nouvelles cybermenaces et d’affiner nos pratiques de sécurité. Notre engagement en faveur de la transparence et de la collaboration avec le secteur reste inébranlable. Début 2024, Microsoft est devenu l’un des principaux partisans de l’engagement Secure by Design de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), ce qui renforce notre engagement à intégrer la sécurité dans tous les aspects de nos produits et services. En outre, nous continuons d’intégrer les recommandations du Cybersecurity Review Board (CSRB) pour renforcer notre approche en matière de cybersécurité et améliorer la résilience.

Le travail que nous avons accompli jusqu’à présent n’est qu’un début. Nous savons que les cybermenaces continueront d’évoluer et que nous devons évoluer avec elles. En favorisant cette culture d’apprentissage et d’amélioration continue, nous construisons un avenir où la sécurité n’est pas seulement une fonctionnalité, mais un fondement.

Apprendre encore plus

Pour plus d’informations sur les solutions de sécurité Microsoft et la Initiative « Secure Future » de Microsoftvisitez notre site web. Ajouter aux favoris le blog sur la sécuritépour rester au courant de notre couverture experte des questions de sécurité. Suivez-nous également sur LinkedIn (Sécurité Microsoft) et X (@MSFTSecurity) pour les dernières nouvelles et mises à jour en matière de cybersécurité.


#Assurer #notre #avenir #mise #jour #lavancement #Microsoft #Secure #Future #Initiative #SFI #pour #septembre

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

RECENT POSTS
ADVERTISEMENT
Tags
Afrique Allemagne Asie Bundesliga Chine Crime Culture dernières nouvelles Des sports Divertissement Divertissement entreprise Football France funny fyp Guerre International Israël journal quotidien la criminalité MLB monde musique Médias NFL NOUS nouvelles politique Pomme Russie Santé santé Science Sciences et technologies Société sport Sports technologie texte pour parler Ukraine vidéo Économie États Unis économie