Introduction
Les experts fédéraux en cybersécurité ont qualifié le cloud de Microsoft de "pile de merde" en raison de son manque de documentation de sécurité détaillée. Malgré cela, le produit a été approuvé pour une utilisation par le gouvernement américain.
Contexte Technique
Le programme de gestion des risques et d'autorisation fédérale (FedRAMP) a évalué le cloud de Microsoft, appelé Government Community Cloud High (GCC High), et a constaté que le manque de documentation de sécurité détaillée laissait les évaluateurs sans confiance dans la posture de sécurité globale du système. Les évaluateurs ont demandé à Microsoft de fournir des diagrammes détaillés expliquant ses pratiques de chiffrement, mais la société n'a fourni que des informations partielles.
Analyse et Implications
L'approbation du produit malgré les inquiétudes de sécurité soulève des questions sur la capacité du gouvernement à protéger ses informations sensibles. Le produit est utilisé par des agences gouvernementales clés, notamment les départements de la Justice et de l'Énergie, ainsi que par le secteur de la défense. Les révélations de ProPublica mettent en lumière les limites du processus de FedRAMP et la déférence accordée à Microsoft, malgré les préoccupations de sécurité.
Perspective
Les résultats de l'enquête de ProPublica soulignent la nécessité d'un examen plus approfondi du processus de FedRAMP et de la relation entre le gouvernement et les fournisseurs de services cloud. Les agences gouvernementales doivent être conscientes des risques potentiels liés à l'utilisation de produits qui n'ont pas été pleinement évalués pour leur sécurité. Il est essentiel de renforcer les contrôles de sécurité et de garantir que les fournisseurs de services cloud soient transparents quant à leurs pratiques de sécurité.
