Le département de la Sécurité intérieure des États-Unis a annoncé le 11 août le lancement d’un examen de sécurité sur l’usage du cloud au sein de l’administration américaine. Le piratage, révélé en juillet, des mails de diplomates et de la secrétaire au Commerce Gina Raimondo, hébergé par Microsoft, sera au centre de l’enquête.
De simples recommandations, mais qui pourrait nuire à l’image de Microsoft
Le Cyber Safety Review Board sera chargé de se pencher sur le ciblage malveillant des environnements de cloud computing, « L’examen se concentrera sur les approches que le gouvernement, l’industrie et les fournisseurs de services cloud (CSP) devraient utiliser pour renforcer la gestion de l’identité et l’authentification dans le cloud », explique un communiqué.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le Secrétaire à la Sécurité intérieure Alejandro Mayorkas a déclaré que cette démarche s’impose face à l’omniprésence du cloud, « Les organisations de toutes sortes dépendent de plus en plus du cloud computing pour fournir des services au peuple américain, ce qui rend impératif que nous comprenions les vulnérabilités de cette technologie ».
L’affaire Microsoft Exchange Online est directement citée comme l’élément déclencheur de ces travaux. Selon les révélations de l’entreprise de juillet, des pirates soupçonnés d’être proche de Pékin ont pu accéder à des informations sensibles de l’administration Biden sur le service de messagerie cloud du géant.
Ce piratage s’est produit juste avant plusieurs voyages particulièrement importants du secrétaire d’État Antony Blinken et de la secrétaire au Commerce Gina Raimondo à Pékin. L’affaire a fait grand bruit outre-Atlantique bien que les autorités aient affirmé qu’aucun réseau classifié n’avait été affecté.
Fin juillet, un sénateur démocrate, Ron Wyden, avait demandé, dans une lettre ouverte, à sévir contre Microsoft. Il a demandé au procureur général, à la Federal Trade Commission et à la Cybersecurity and Indrastructure Security Agency, une enquête sur la responsabilité de l’entreprise et ses éventuelles négligences. Il s’est félicité de l’initiative du département de la Sécurité intérieure.
L’examen du Cyber Safety Review Board sera le troisième depuis sa création en 2021 par le président démocrate. Il a déjà travaillé sur les vulnérabilités Log4j et vient tout juste de rendre un rapport sur le groupe de pirate Lapsus$. Il n’a pas de pouvoir juridique ni réglementaire, simplement de recommandation. Pour Alejandro Mayorkas cela aidera « toutes les organisations à mieux sécuriser leurs données et à renforcer leur cyber-résilience ».