Notre monde numérique change, avec des cybercriminels plus tenaces, sophistiqués et déterminés. À mesure que les risques augmentent et que les menaces s’aggravent, la confiance est plus importante que jamais. Les clients doivent pouvoir faire confiance aux plateformes technologiques dans lesquelles ils investissent pour développer et diriger leurs organisations. De part notre position de plus grand fournisseur de services cloud, chez Microsoft, nous instaurons un climat de confiance en offrant à nos clients des fonctionnalités de sécurisation dès le départ et en leur permettant de gagner en productivité avec la sécurité des plateformes cloud qui est intégrée, incorporée et prête à l’emploi.

L’approche de sécurité de Microsoft Azure se concentre sur la défense en profondeur, en fournissant des couches de protection dans toutes les phases de conception, de développement et de déploiement de nos plateformes et technologies. Nous insistons également sur la transparence. En effet, nous veillons à ce que les clients sachent que nous travaillons en continu pour tirer les leçons qui s’imposent et pour améliorer nos offres afin d’atténuer les cybermenaces d’aujourd’hui et de préparer celles de demain.

Dans ce billet de blog, nous mettons en évidence les engagements de sécurité étendus passés, présents et futurs, ainsi que les opportunités d’apprentissage et de croissance continues qui s’offrent à nous. Cet article est le premier d’une série en 4 parties sur la sécurité intégrée d’Azure destinée à partager les enseignements que nous avons tirés des vulnérabilités cloud récentes, et à démontrer comment nous appliquons ces apprentissages pour garantir la sécurité de nos technologies et processus pour les clients. Le partage transparent de nos apprentissages et de nos changements fait partie de notre engagement qui est de renforcer la confiance avec nos clients, et nous espérons que cela encouragera d’autres fournisseurs de cloud à nous suivre.

Nos engagements passés, présents et futurs en matière de sécurité 

Depuis des décennies et pour longtemps encore, Microsoft se concentre profondément sur la sécurité des clients et l’amélioration de la sécurité de nos plateformes. Cet engagement est évident dans notre longue histoire de bonnes pratiques en matière de sécurité, des logiciels et environnements locaux d’hier aux environnements essentiellement cloud d’aujourd’hui. En 2004, nous avons lancé le cadre SDL (Security Development Lifecycle), qui explique comment intégrer dès le départ la sécurité dans les applications et services et dont l’influence a eu une large portée. L’approche SDL est actuellement utilisée comme base de la sécurité intégrée au sein d’initiatives clés, notamment les normes internationales de sécurité des applications (ISO/IEC 27034-1) et la mise en conformité au décret présidentiel sur la cybersécurité¹.

Comme les opérateurs et les responsables de la sécurité le savent, la sécurité a un rôle à jouer en continu. Une vigilance constante est vitale. C’est pourquoi Microsoft investit actuellement beaucoup dans la recherche en sécurité interne ainsi que dans un programme complet de primes aux bogues. En interne, Microsoft dispose de plus de 8 500 experts en sécurité qui se concentrent continuellement sur la découverte des vulnérabilités, la compréhension des tendances en matière d’attaque et la résolution des modèles de problèmes de sécurité. Nos recherches en matière de sécurité et les informations sur les menaces de classe mondiale aident à protéger tant les clients, que Microsoft, les logiciels open source et nos partenaires du secteur.

Nous investissons également dans l’un des programmes de primes aux bogues les plus proactifs du secteur. Rien qu’en 2021, Microsoft a attribué 13,7 millions de dollars en primes aux bogues dans une large gamme de technologies. Une nouvelle tendance l’année dernière a été une hausse des vulnérabilités signalées en externe impactant plusieurs fournisseurs de cloud, y compris Azure. Bien que les vulnérabilités ne soient pas rares dans le secteur, en tant que fournisseur de cloud de premier plan et fournisseur de sécurité numéro un, Microsoft présente davantage d’intérêt pour les chercheurs et les concurrents dans le domaine de la sécurité. C’est pourquoi notre programme public de primes a été le premier à inclure des services cloud (dès 2014) et en 2021, nous avons élargi le programme de façon à inclure des récompenses plus élevées pour les rapports de bogues interlocataires. Comme prévu, cela a clairement attiré encore plus l’intérêt des chercheurs de sécurité externes dans Azure, ce qui a abouti à l’octroi de plusieurs primes aux bogues interlocataires. Quelles que soient les raisons, ces résultats ont permis de sécuriser davantage les services Azure spécifiques et nos clients.

Enfin, nous croyons fermement que la sécurité est un travail d’équipe. Comme nous l’avons montré, nous accordons la priorité à la collaboration dans nos contributions à l’écosystème de sécurité, par exemple avec notre participation au NIST Secure Software Development Framework (SSDF)², et à l’amélioration de la posture de sécurité des logiciels open source par le biais de notre investissement de 5 millions de dollars dans le projet OpenSSF Alpha-Omega³.

Notre engagement en matière de sécurité est indéfectible, comme le montrent les décennies de leadership de l’approche SDL pour la découverte des vulnérabilités, les programmes de primes aux bogues, les contributions de collaboration. Il se poursuivra à l’avenir avec notre engagement d’investir plus de 20 billions de dollars sur cinq années⁴dans la cybersécurité. Bien qu’intégrer la sécurité dès le départ ne soit pas une nouveauté chez Microsoft, le paysage de la sécurité change continuellement et évolue, et avec lui, nos apprentissages.

Chez Microsoft, une partie essentielle de notre culture est basée sur un état d’esprit de développement. Les résultats des chercheurs en sécurité internes et externes ont un rôle majeur dans notre capacité à sécuriser davantage l’ensemble de nos plateformes et produits. Pour chaque signalement d’une vulnérabilité dans Azure, nous effectuons une analyse approfondie de la cause racine et des révisions post-incidents, que la vulnérabilité soit découverte en interne ou en externe. Ces révisions nous aident à refléter et à appliquer les leçons apprises, et ceci à tous les niveaux de l’organisation. Elles sont primordiales pour nous assurer que nous faisons constamment évoluer la sécurité chez Microsoft.

En fonction des insights que nous avons obtenus à partir des rapports de vulnérabilité Azure récents, nous nous améliorons dans trois dimensions clés. Ces développements améliorent notre processus de réponse, enrichissent nos recherches internes en matière de sécurité et améliorent continuellement la façon dont nous sécurisons les services multilocataires.

1. Réponse intégrée

Plusieurs enseignements tirés de l’année passée ont porté notre attention sur les domaines à améliorer, comme l’accélération des temps de réponse. Nous gérons cela tout au long de nos processus de réponse intégrée et avec l’unification des mécanismes de réponse internes et externes. Nous avons commencé par augmenter la fréquence et l’étendue de nos révisions LiveSite de sécurité au niveau de la direction et aux niveaux inférieur. Nous améliorons également constamment l’intégration de notre gestion des incidents de sécurité externe et de nos systèmes de communication et de gestion des incidents internes. Ces changements réduisent le temps moyen d’engagement et de correction des vulnérabilités signalées, en affinant davantage notre réponse rapide. 

2. Repérage de variantes cloud

En réponse aux tendances en matière de sécurité du cloud, nous avons développé notre programme de repérage de variantes afin d’inclure une fonction globale et dédiée pour le repérage de variantes cloud. Le repérage de variantes identifie des vulnérabilités supplémentaires et similaires dans le service concerné, ainsi que des vulnérabilités similaires dans d’autres services, pour garantir que la découverte et la correction sont plus minutieuses. Cela conduit également à une compréhension plus approfondie des modèles de vulnérabilité et par la suite à des atténuations et des correctifs holistiques. Voici quelques faits marquants issus de nos efforts de repérage des variantes cloud :

• DansAzure Automation, nous avons identifié des variantes et résolu plus de deux douzaines de problèmes uniques.
• Dans Azure Data Factory/Synapse, nous avons identifié des améliorations significatives de la conception qui renforcent davantage le service et gèrent les variantes. Nous avons également travaillé avec notre fournisseur et d’autres fournisseurs de cloud pour garantir que les risques ont été traités plus largement.
• Dans Azure Open Management Infrastructure, nous avons identifié plusieurs variantes, nos chercheurs ont publié la vulnérabilité CVE-2022-29149 et nous avons mené la création de fonctionnalités de mise à niveau automatique des extensions pour réduire le temps de correction pour les clients. Notre fonctionnalité de mise à niveau automatique des extensions bénéficie déjà aux clients Azure Log Analytics, Azure Diagnostics et Azure Desired State Configuration.

En outre, la fonctionnalité de repérage de variantes cloud identifie et résout de manière proactive les problèmes potentiels au sein de nos services. Cela inclut de nombreuses classes connues et nouvelles de vulnérabilités, et dans les prochains mois, nous partagerons plus d’informations sur nos recherches afin d’en faire profiter nos clients et la communauté au sens large.

3. Architecture multilocataire sécurisée

En nous basant sur les enseignements tirés de l’ensemble de nos sources de renseignement de sécurité, nous continuons à faire évoluer nos exigences en matière d’architecture multilocataire sécurisée, ainsi que l’automatisation que nous utilisons chez Microsoft pour fournir une détection et une correction précoces des risques de sécurité potentiels. En analysant Azure et d’autres incidents de sécurité cloud au cours des deux dernières années, nos chercheurs en sécurité internes et externes ont trouvé des moyens uniques de franchir certains obstacles à l’isolement. Microsoft investit massivement dans des mesures de sécurité proactives pour éviter cela et ces nouvelles conclusions ont permis de déterminer les causes les plus courantes et de nous assurer que nous nous étions engagés à les traiter dans Azure via un petit nombre de modifications hautement exploitées.

Nous mettons également les bouchées doubles dans le cadre de notre approche de la défense en profondeur en exigeant et en appliquant des normes encore plus strictes pour l’isolation du calcul, du réseau et des informations d’identification sur tous les services Azure, en particulier lors de la consommation de composants tiers ou open source. Nous continuons de collaborer avec la communauté des logiciels open source, comme PostgreSQL, ainsi que d’autres fournisseurs de cloud, sur les fonctionnalités hautement souhaitables dans les environnements cloud multilocataires. 

Ce travail a déjà abouti à des dizaines de résultats et de correctifs distincts, la majorité (86 %) étant attribués à nos améliorations spécifiques dans l’isolation du calcul, du réseau ou des informations d’identification. Parmi nos améliorations en matière d’automatisation, nous étendons les tests internes de sécurité des applications dynamiques (DAST) afin d’inclure davantage de vérifications pour la validation de l’isolation du calcul et du réseau, et nous ajoutons également de nouvelles fonctionnalités de vérification de l’isolation des informations d’identification du runtime. En parallèle, nos experts en sécurité continuent d’examiner minutieusement nos services cloud, de les valider conformément à nos standards et d’inventer de nouveaux contrôles automatisés innovants destinés à nos clients et à Microsoft.

À partir du modèle de responsabilité partagée de la sécurité du cloud, nous recommandons à nos clients d’utiliser les benchmark de sécurité cloud Microsoft pour améliorer leur posture de sécurité cloud. Nous développons actuellement un ensemble de nouvelles recommandations axées sur les meilleures pratiques de sécurité multilocataire, qui seront publiées dans notre prochaine mise en production.

En bref, bien que Microsoft soit engagé depuis longtemps et de façon continue dans l’optimisation de la sécurité, nous grandissons continuellement et faisons évoluer nos apprentissages à mesure que le paysage de la sécurité évolue et change. Dans cet esprit d’apprentissage continu, Microsoft traite des problèmes récents en matière de sécurité du cloud Azure en améliorant les standards en lien avec l’architecture multilocataire sécurisée, en développant notre capacité de repérage de variantes cloud ainsi que des mécanismes de réponse intégrés. Nos améliorations, ainsi que l’échelle de nos efforts en matière de sécurité, démontrent encore davantage notre leadership et nos décennies d’engagement à améliorer continuellement nos programmes de sécurité et à élever le niveau de la sécurité à l’échelle du secteur. Nous poursuivons notre engagement à intégrer la sécurité à chaque phase de conception, de développement et d’exploitation afin que nos clients et le monde puissent s’appuyer sur notre cloud en toute confiance.

• Suivez le blog du Centre de réponse aux problèmes de sécurité pour connaître les dernières conclusions de nos recherches sur la sécurité.
• Découvrez la façon dont Microsoft Azure peut vous aider à renforcer votre posture de sécurité.
• Pour en savoir plus sur nos réponses aux mises à jour de sécurité du cloud, lisez nos blogs Anatomy of a Cloud-Service Security Update et Anatomy of a Security Update.

 

---

Sources :

¹WhiteHouse.gov, Executive Order on Improving the Nation's Cybersecurity, 12 mai 2021.

²National Institute of Standards and Technology, Secure Software Development Framework (SSDF) Project Overview, mise à jour du 3 février 2022.

³Open Source Security Foundation, OpenSSF annonce le projet Alpha-Omega pour améliorer la sécurité de la chaîne d’approvisionnement logicielle pour 10 000 projets open source, OpenSSF.org, 1er février 2022.

⁴GeekWire.com, Microsoft va quadrupler les investissements en cybersécurité en dépensant 20 billions de dollars sur cinq ans, Todd Bishop, 25 août 2021.