2024-06-14 04:17:16
Le président de Microsoft a déclaré jeudi au Congrès que son entreprise avait accepté la responsabilité des failles de sécurité majeures qui ont permis à des pirates informatiques liés à la Chine de pénétrer dans les réseaux informatiques du gouvernement fédéral, mais a défendu la présence de son entreprise en Chine.
Brad Smith a adopté un ton humble lors de son témoignage devant le comité de la sécurité intérieure de la Chambre des représentants et a promis que l’entreprise technologique géante corrigerait les failles de sécurité de ses produits, qui sont largement utilisés dans les agences fédérales.
Les législateurs républicains se sont toutefois concentrés sur les activités de Microsoft en Chine, se demandant comment l’entreprise pourrait renforcer sa cybersécurité tout en opérant dans un pays où le gouvernement exige l’accès aux données des entreprises et d’autres organisations.
Smith a déclaré que Microsoft gère des centres de données et des services cloud en Chine principalement pour des sociétés américaines et non chinoises, ce qui, selon lui, contribue à protéger leurs secrets commerciaux. Smith a également déclaré que les activités de Microsoft en Chine ne représentaient qu’environ 1,4 à 1,5 % du chiffre d’affaires de l’entreprise.
Le représentant Carlos Gimenez, R-Fla., a ensuite demandé : « Est-ce que ça vaut vraiment le coup ?
Smith a déclaré que son entreprise ne se conformait pas à une loi chinoise de 2017 sur le renseignement national obligeant les entreprises à transmettre les informations demandées par le gouvernement et que son entreprise avait refusé certaines demandes de Pékin, sans toutefois fournir de détails.
Gimenez a demandé comment Microsoft pouvait réussir à défier la loi : « Avez-vous une dérogation du gouvernement chinois disant que vous n’êtes pas obligé de vous conformer à cette loi ?
Smith a déclaré qu’il y avait des pays qui appliquaient toutes les lois qu’ils promulguaient et d’autres qui ne le faisaient pas, et que la Chine faisait partie de cette dernière catégorie.
Il a ajouté : « Je vais vous dire qu’il y a des jours où des questions sont posées à Microsoft et elles arrivent sur mon bureau et je dis : « Non, [the company] je ne ferai pas certaines choses.
Les législateurs ont organisé l’audience après qu’un rapport gouvernemental cinglant publié en avril ait révélé qu’« une cascade d’erreurs » commises par Microsoft avait permis à des pirates informatiques chinois soutenus par l’État de s’introduire dans les comptes de messagerie utilisés par des employés du gouvernement et de hauts fonctionnaires. Les pirates ont réussi à pénétrer dans le réseau du Département d’État et à pirater le courrier électronique de la secrétaire au Commerce, Gina Raimondo.
Le rapport du Cyber Safety Review Board, créé en 2022 par le ministère de la Sécurité intérieure, a conclu que la violation était « évitable » et a blâmé une « série de décisions opérationnelles et stratégiques de Microsoft qui, collectivement, ont pointé vers une culture d’entreprise qui a dépriorisé les investissements en matière de sécurité d’entreprise et » une gestion rigoureuse des risques.
Smith a déclaré que Microsoft acceptait pleinement les conclusions du rapport et mettait en œuvre ses recommandations. L’entreprise a déployé environ 34 000 ingénieurs pour se concentrer sur la sécurité, qu’il a qualifié de « plus grand projet d’ingénierie de cybersécurité de l’histoire de la technologie numérique ».
Lorsqu’on lui a demandé à plusieurs reprises si Microsoft avait perdu de vue l’importance de la sécurité, Smith a répondu que ce n’était pas le cas. Mais il a ajouté qu’une grande partie du personnel était devenue trop dépendante d’une grande équipe d’experts en sécurité pour lutter contre d’éventuelles cybermenaces, au lieu de considérer cela comme une responsabilité collective.
Smith a déclaré qu’« il est devenu possible de penser qu’ils pouvaient compter uniquement sur ces personnes pour accomplir un travail que nous devions tous faire ensemble ».
Les législateurs ont récemment reçu un briefing classifié sur les failles de sécurité liées aux échecs de Microsoft, ont déclaré à NBC News des sources ayant une connaissance directe du dossier.
Mercredi, un responsable de la plus haute agence de cybersécurité du gouvernement fédéral a répondu à une lettre du sénateur Rick Scott, R-Fla., lui disant que la CISA « a fait d’énormes progrès » dans le renforcement de la cyberdéfense américaine. Scott a interrogé l’Agence de cybersécurité et de sécurité des infrastructures sur les piratages en cours par des acteurs étatiques russes contre Microsoft et d’autres entreprises qui ont des contrats avec le gouvernement fédéral.
« La CISA continuera d’agir de toute urgence pour défendre les réseaux fédéraux et les infrastructures critiques contre nos adversaires », a écrit Charles Abernathy, directeur des affaires législatives de la CISA. « Ce travail nécessitera des investissements – dans la technologie, dans les personnes et dans les partenariats. »
Lors de l’audience de jeudi, les démocrates ont déclaré que la forte dépendance du gouvernement à l’égard de Microsoft rendait les agences fédérales plus vulnérables aux cyberattaques et à l’espionnage. Le sénateur Ron Wyden, D-Ore., a proposé une législation visant à rendre les contrats de technologie de l’information plus compétitifs et à obliger les entreprises technologiques à garantir que leurs logiciels peuvent fonctionner avec les produits d’autres sociétés.
“Il est temps de briser l’emprise des grandes entreprises technologiques comme Microsoft sur les logiciels gouvernementaux, d’établir des normes élevées en matière de cybersécurité et de récolter les nombreux avantages d’un marché concurrentiel”, a déclaré Wyden lors de la présentation du projet de loi.
Le sénateur John Cornyn, du Texas, a déclaré plus tôt à NBC News que Microsoft avait « une puissante incitation économique » pour résoudre ses problèmes de sécurité. «Il a une réputation à défendre», a-t-il déclaré.
#dirigeant #Microsoft #sengage #combler #les #failles #sécurité #qui #permettent #aux #pirates #informatiques #liés #Chine #daccéder #aux #emails #fédéraux #mais #défend #présence #Chine
1718337830