Experts fédéraux en cybersécurité : le cloud de Microsoft, un risque majeur

Introduction

Les experts fédéraux en cybersécurité ont exprimé des doutes sérieux sur la sécurité du cloud de Microsoft, qualifiant même le système de « tas de déchets ». Malgré ces inquiétudes, le programme de gestion des risques et d'autorisation fédéral (FedRAMP) a approuvé le produit, permettant ainsi à Microsoft d'étendre son empire commercial auprès du gouvernement américain.

Contexte Technique

Le cloud de Microsoft, appelé Government Community Cloud High (GCC High), est conçu pour protéger les informations sensibles du gouvernement. Cependant, les experts ont constaté que Microsoft n'avait pas fourni de documentation de sécurité détaillée, ce qui a entraîné un manque de confiance dans la posture de sécurité globale du système. Les réviseurs ont également noté que Microsoft n'avait pas pu expliquer de manière satisfaisante comment il protégeait les informations sensibles dans le cloud.

Le processus d'examen de FedRAMP, qui comprend une évaluation par des experts externes, est censé garantir que les fournisseurs de services comme Microsoft peuvent être confiés avec les secrets du gouvernement. Cependant, l'enquête de ProPublica a révélé des défaillances à chaque étape de ce processus, ainsi qu'une déférence remarquable envers Microsoft, malgré le fait que ses produits et pratiques étaient au cœur de deux des cyberattaques les plus dommageables jamais perpétrées contre le gouvernement.

Analyse et Implications

L'approbation de GCC High par FedRAMP a des implications importantes pour la sécurité du gouvernement américain. Les experts estiment que cette décision pourrait exposer le gouvernement à des risques de cybersécurité supplémentaires, notamment en raison de la vulnérabilité des produits Microsoft à des attaques de hackers. Cette approbation pourrait également avoir des conséquences sur la confiance du public dans la capacité du gouvernement à protéger les informations sensibles.

Perspective

Il est essentiel de surveiller les limites de l'approbation de GCC High et les prochaines étapes de FedRAMP pour garantir la sécurité du gouvernement américain. Les experts recommandent une réévaluation de la posture de sécurité de Microsoft et une mise à jour des processus d'examen de FedRAMP pour éviter de telles défaillances à l'avenir. La transparence et la responsabilité sont cruciales pour maintenir la confiance du public dans la cybersécurité du gouvernement.