L’addiction aux produits Microsoft est porteuse de cyber-risques graves
Par Bertrand Lemaire | Le | Gouvernance
L’InterCERT, communauté de CERT en France, a dénoncé la dangerosité de l’addiction des entreprises envers les solutions Microsoft.
Il est rare qu’une association professionnelle prenne partie contre un fournisseur précis, sauf, parfois, des clubs d’utilisateurs pour dénoncer une politique tarifaire trop onéreuse. Pourtant, c’est ce qu’InterCERT, communauté de CERT/CSIRT en France, a fait en dénonçant une « addiction » des entreprises envers les produits Microsoft, attitude qui serait en elle-même porteuse de risques graves pour la cybersécurité. Cette prise de position a notamment été relayée sur le blog de l’association. Les préoccupations d’InterCERT ne se limitent « pas seulement à la question de la sécurité informatique et des coûts, mais elle soulève également des interrogations quant à la souveraineté numérique. »
En se rendant dépendantes d’une offre intégrée (et simple d’usage il est vrai), les entreprises ont mis tous leurs œufs dans le même panier : annuaire, messagerie, bureautique, collaboration, bases de données… Une faille de sécurité a donc immédiatement des répercutions à la fois en profondeur sur chaque entreprise et, vue la position quasi-monopolistique de l’éditeur, sur un très grand nombre d’entreprises. Et chacun sait que des failles sont régulièrement découvertes sur ses produits. En particulier, InterCERT pointe le risque de compromission de l’Active Directory qui devient la porte d’entrée à tout le système d’information. « Faute d’alternative, les entreprises et administrations développent un point névralgique, prêtant le flan aux cyber-attaquants » dénonce l’association. A cela s’ajoute la bascule imposée dans son propre cloud public par Microsoft.
Le risque n’est pas théorique. Frédéric Le Bastard, président d’InterCERT, a ainsi raconté : « mi-2023 aux États-Unis, des douzaines de structures privées et publiques ont été piratées par la Chine, du fait de lacunes de sécurité dans des produits de Microsoft. Et dans un premier temps, seuls les clients disposant d’un contrat premium (60 % plus cher) en ont été informés par l’éditeur ! Ce qui fit dire à Ron Wyden, sénateur membre du Comité de renseignement des États-Unis que, fournir des produits non sécurisés puis faire payer aux clients des fonctions premium contre le piratage, revient à vendre un véhicule, puis à faire payer en supplément les ceintures de sécurité et les airbags ! » L’association réclame donc davantage d’actions anti-trust de la part des autorités mais, surtout, davantage de prudence de la part des entreprises en haussant au maximum le niveau le sécurité et en veillant à bien maîtriser la sauvegarde des données.
Le CSIRT BFC est le centième membre d’InterCERT
« Le centre régional de cybersécurité CSIRT de Bourgogne-Franche-Comté est le premier des centres régionaux de cybersécurité à faire son entrée dans l’association InterCERT France » a indiqué cette émanation régionale de l’ANSSI initiée par la Région Bourgogne-Franche-Comté. Les CSIRT régionaux (celui de Bourgogne-Franche-Comté est le premier à avoir été officialisé il y a deux ans) sont destinés à aider les collectivités locales et PME/ETI.
InterCERT France a, de son côté, indiqué que cette adhésion lui faisait franchir le seuil symbolique des cent membres. Pour l’association des CERT/CSIRT, cela « renforcera la capacité collective à détecter, prévenir et répondre aux cybermenaces émergentes tout en favorisant un partage accru d’expertise et de ressources. De plus, cela permet à l’association d'étendre son influence et son impact dans la promotion d’une culture de sécurité opérationnelle numérique robuste au niveau national. »