Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

On Microsoft’s Lousy Cloud Security

1 minute de lecture

Mis à jour :

Lacunes sécuritaires et gouvernance défaillante chez Microsoft

Un rapport interne du gouvernement américain de fin 2024 a sévèrement critiqué la plateforme « Government Community Cloud High » (GCC High) de Microsoft, destinée à protéger des données nationales ultra-sensibles. Les experts en cybersécurité ont dénoncé une documentation technique insuffisante, empêchant toute évaluation fiable de la posture de sécurité du système et de la protection des données lors de leur transfert entre serveurs.

Malgré ces conclusions alarmantes, le programme fédéral FedRAMP a accordé une accréditation à la plateforme. Cette décision, jugée inhabituelle, s’accompagne d’un avertissement implicite aux agences gouvernementales, soulignant les risques persistants liés à l’opacité des mesures de protection de Microsoft.

Points clés :

  • Absence de transparence : Microsoft n’a pas été en mesure d’expliquer adéquatement ses protocoles de sécurisation des données.
  • Défaillance des processus d’audit : FedRAMP a validé le produit malgré l’incapacité des experts à confirmer sa conformité sécuritaire, privilégiant les intérêts commerciaux aux impératifs de sécurité nationale.
  • Risque systémique : L’usage de cette plateforme expose le gouvernement fédéral à des vulnérabilités potentielles non maîtrisées.

Vulnérabilités :

  • Aucune CVE spécifique n’est mentionnée, car le problème réside dans une faille systémique et méthodologique : l’impossibilité d’auditer et de vérifier la chaîne de protection des données (manque de documentation technique).

Recommandations :

  • Transparence accrue : Exiger de la part des fournisseurs cloud une documentation exhaustive sur l’architecture de sécurité et le transit des données.
  • Indépendance des accréditations : Renforcer la rigueur du processus FedRAMP pour empêcher que des pressions commerciales ne priment sur les exigences de sécurité technique.
  • Diligence raisonnable : Pour les agences gouvernementales, appliquer une stratégie de « buyer beware » (méfiance de l’acheteur) et mettre en place des contrôles de sécurité compensatoires indépendants lors de l’utilisation de services cloud dont la conformité est incertaine.

Source

Vous pourriez aimer