Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Les craintes de piratage du Pentagone alimentées par le monopole de Microsoft sur l'informatique militaire
Le département américain de la Défense abandonne discrètement l'un de ses programmes de cybersécurité les plus anciens protégeant son vaste réseau informatique mondial et le remplace par des outils prêts à l'emploi de Microsoft, malgré l'opposition interne et les critiques d'experts qui disent que cela rendra la nation plus vulnérable aux pirates étrangers, aux cyberguerriers ennemis et aux espions en ligne, a appris Newsweek.
Lors d'une série de réunions avec le directeur de l'information du DOD, John Sherman, l'automne dernier, alors que la demande de budget du ministère pour l'exercice 2024 était en cours de finalisation, une nette majorité de hauts responsables informatiques des services militaires se sont opposés à cette décision, a déclaré un ancien haut responsable de la défense directement impliqué. Newsweek. Ils étaient préoccupés par la dépendance croissante du département à l'égard d'un seul fournisseur de logiciels : "J'étais complètement contre. Beaucoup d'entre nous l'étaient, pour la même raison : nous avions l'impression de nous enfoncer davantage dans cette monoculture monopolistique (Microsoft)."
Les risques potentiels ont été dévoilés en mars, lorsqu'il a été révélé que des pirates informatiques soupçonnés d'appartenir au renseignement militaire russe exploitaient furtivement une vulnérabilité dans Outlook, le programme de messagerie de Microsoft, depuis près d'un an. L'incident, qui n'a été signalé que par la presse spécialisée dans la cybersécurité, illustre ce que les experts disent des dangers de se fier exclusivement à Microsoft IT.
La décision du DOD d'aller de l'avant avec le passage aux outils de sécurité Microsoft, sur la base d'une évaluation de la National Security Agency, a jeté un nouvel éclairage sur des questions de longue date concernant la sécurité des logiciels produits par le géant de la technologie basé à Redmond, Washington. , et l'impact de sa domination sur les marchés technologiques gouvernementaux. Cela pourrait également aller à l'encontre de la nouvelle stratégie de cybersécurité de la Maison Blanche, qui appelle les éditeurs de logiciels à proposer des produits sécurisés en premier lieu plutôt que de vendre des mesures de sécurité supplémentaires en plus.
La NSA a refusé de fournir à Newsweek une copie de l'évaluation ou de commenter. L'ancien responsable a déclaré que l'évaluation était un facteur décisif derrière la décision car tout le monde comprenait qu'elle aurait pu être informée par des renseignements secrets non divulgués. "Vous n'avez pas vraiment le droit de discuter de cela", a déclaré l'ancien responsable, s'exprimant sous le couvert de l'anonymat car il n'était pas autorisé à parler aux médias.
Le réseau informatique du ministère de la Défense, l'un des plus vastes au monde, était déjà l'emblème de ce que les cyber-experts appellent la monoculture de Microsoft, un environnement informatique dans lequel tout le monde utilise le même logiciel, ce qui signifie qu'ils sont tous potentiellement vulnérables aux mêmes cyberattaques.
Depuis 2017, le DOD utilise exclusivement le système d'exploitation Microsoft Windows sur ses plus de quatre millions d'ordinateurs de bureau et utilise de plus en plus les services de cloud computing Azure de Microsoft. Et la plupart de ses 2,1 millions de militaires en service actif et de réserve et 750 000 employés civils utilisent des programmes Microsoft tels qu'Outlook ou Office pour le courrier électronique, le calendrier, le traitement de texte et d'autres tâches administratives.
Désormais, le département utilisera également Microsoft Defender, un ensemble d'outils de cybersécurité fournis avec les licences logicielles haut de gamme de l'entreprise, a confirmé à Newsweek le directeur informatique adjoint David McKeown, l'un des principaux responsables de la cybersécurité du ministère de la Défense. "Microsoft Defender fournira au DOD une solution de cybersécurité intégrée qui promet de satisfaire la plupart, sinon la totalité, des capacités dont nous avons besoin" pour sécuriser les réseaux militaires, a-t-il déclaré par e-mail. Il a contesté la suggestion selon laquelle l'utilisation des outils de sécurité Microsoft pour protéger les logiciels Microsoft rendrait le DOD plus vulnérable, affirmant que les outils conçus à partir de zéro pour s'intégrer aux logiciels qu'ils protégeaient seraient plus sécurisés.
Dans une déclaration à Newsweek, Microsoft a déclaré qu'il était le mieux placé pour défendre ses propres produits en raison de l'énorme quantité de données qu'il peut tirer de ses milliards d'utilisateurs dans le monde entier.
"Nos équipes traitent et partagent jusqu'à 65 billions de cybersignaux par jour afin d'améliorer la base de sécurité des entités gouvernementales et commerciales. Nous ... continuerons d'investir dans des produits de sécurité intégrés et autonomes pour aider nos clients gouvernementaux à lutter contre une environnement de menace complexe."
Mais la décision du DOD va trop loin pour certains anciens responsables de la défense de carrière, même ceux qui ont dirigé les déploiements antérieurs de produits Microsoft au sein du DOD. Trois d'entre eux ont déclaré à Newsweek qu'une dépendance excessive à l'égard du géant de la technologie risquait de rendre les réseaux informatiques de l'armée américaine plus vulnérables, au moment même où l'Amérique s'éloigne de la guerre contre le terrorisme pour affronter des adversaires pairs tels que la Russie et la Chine avec les capacités techniques nécessaires pour tirer parti de ces vulnérabilités.
Et bien qu'il y ait un débat continu parmi les cyber-experts sur la meilleure façon de quantifier la sécurité des logiciels, selon certaines mesures, les produits Microsoft semblent plus vulnérables aux pirates, bien que la société conteste vigoureusement cette analyse.
La Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain tient un décompte de tous les codes vulnérables trouvés militarisés par des pirates ou des cybercriminels. Sur 919 vulnérabilités exploitées et répertoriées jusqu'en avril 2023, 258 d'entre elles, soit un peu plus de 28 %, se trouvaient dans des produits Microsoft. Ces 258 sont plus que le nombre total de vulnérabilités exploitées dans les produits des cinq fournisseurs suivants combinés : Cisco, Adobe, Apple, Google et Oracle.
En ce qui concerne les 15 vulnérabilités les plus couramment exploitées dans le monde en 2021, neuf se trouvaient dans les produits Microsoft, selon les données compilées par CISA et ses partenaires internationaux.
Dans d'autres contextes, l'entreprise et ses défenseurs ont fait valoir qu'ils étaient victimes de leur propre succès : plus de vulnérabilités sont trouvées dans leurs produits parce que davantage de chercheurs en sécurité les recherchent, disent-ils, en raison de leur position dominante sur tant de marchés. Et lorsque des vulnérabilités sont découvertes et divulguées de manière responsable, elles sont plus susceptibles d'être exploitées par des pirates en raison de l'omniprésence des produits Microsoft. Tout comme Willie Sutton a volé des banques parce que c'était là que se trouvait l'argent, selon l'argument, les pirates attaquent les produits Microsoft parce qu'ils sont utilisés par la plupart des grandes entreprises et des gouvernements.
Les défenseurs de Microsoft soutiennent également que compter les vulnérabilités par fournisseur est une mesure très grossière, et que Microsoft en souffre en raison du nombre élevé de produits qu'il propose. Si vous regardez les vulnérabilités par produit, disent-ils, une image différente se dégage, dans laquelle les produits les plus vulnérables ne sont pas ceux de Microsoft, bien que beaucoup restent en tête de liste.
Même en mettant de côté la question des vulnérabilités, de nombreux experts en cybersécurité estiment qu'une dépendance excessive à l'égard d'un seul fournisseur est mauvaise pour la sécurité. C'est pourquoi trois anciens hauts fonctionnaires du ministère de la Défense qui ont dirigé les déploiements de Microsoft au DOD ont déclaré qu'ils remettaient en question la décision d'abandonner le programme Endpoint Security Solutions (ESS), qui depuis 2007 a acheté et personnalisé des outils de cybersécurité commerciaux de différents fournisseurs, et de le remplacer par Outils Microsoft Defender.
"Cela me fait très peur que nous intégrions verticalement les terminaux, les logiciels, le cloud et maintenant la pile de sécurité avec un seul fournisseur. Pour moi, c'est un niveau de risque inacceptable", a déclaré un deuxième ancien senior du DOD. Responsable informatique ayant participé à de nombreux déploiements de produits Microsoft.
"Cela pourrait créer un point de défaillance unique", a déclaré un troisième ancien responsable de la défense qui a participé aux premières discussions qui ont conduit à la décision l'année dernière. "Si une seule entreprise fournit non seulement le logiciel que vous utilisez, mais aussi l'infrastructure cloud sur laquelle vous l'exécutez et maintenant aussi la pile de sécurité, cela pourrait être un problème" si les pirates informatiques enfreignent ce fournisseur unique.
Ce n'est pas seulement le ministère de la Défense. Dans l'ensemble du gouvernement fédéral, 85 % des employés utilisent les logiciels d'entreprise Microsoft pour des tâches telles que le courrier électronique et le traitement de texte. Et d'anciens responsables affirment que la société cherche également à dupliquer le passage du ministère de la Défense aux produits de sécurité Microsoft dans les agences fédérales civiles.
En s'appuyant sur les outils de sécurité Microsoft pour protéger les logiciels Microsoft, le DOD "met tous les œufs de la nation dans le même panier, et un panier très défectueux", a déclaré Andrew Grotto, ancien responsable de carrière à la Maison Blanche, à Newsweek. Maintenant membre de l'Université de Stanford et directeur de programme à son Cyber Policy Center, Grotto a précédemment occupé le poste de directeur principal de la politique de cybersécurité au sein du personnel du Conseil de sécurité nationale de la Maison Blanche des présidents Obama et Trump. Grotto est actuellement consultant pour des entreprises technologiques, dont certaines sont en concurrence directe avec Microsoft.
La décision du DOD a suscité des inquiétudes bien au-delà du cercle des critiques établis de Microsoft.
John Zangardi, un ancien responsable informatique de longue date du gouvernement qui occupait le poste de directeur de l'information par intérim du DOD en 2017 lorsque le département a imposé le déploiement de Windows sur tous ses ordinateurs de bureau et autres terminaux, a refusé de commenter directement la décision de l'ESS. Mais il a déclaré à Newsweek qu'au cours de son mandat, il avait mis l'accent sur "la suppression des points de défaillance uniques" et "l'importance de la diversité et de la redondance des outils de sécurité" - avoir plus d'un ensemble d'outils, même si cela signifiait une duplication.
"Les infrastructures numériques d'aujourd'hui sont incroyablement complexes, un peu comme un avion commercial ou militaire moderne", a déclaré Zangardi, un ancien pilote de la marine américaine qui est maintenant PDG de Redhorse Corp, un cabinet de conseil en science des données. "Ces avions sont construits avec plusieurs systèmes de secours. Si une partie d'un système tombe en panne, l'ensemble de l'avion peut toujours fonctionner en toute sécurité avec les systèmes de secours. La redondance est une garantie supplémentaire de sécurité et permet aux systèmes complexes d'être plus fiables que la somme de leurs parties. . De la même manière, la diversité des outils de sécurité peut fournir une sauvegarde et une redondance pour l'infrastructure numérique."
Lorsqu'on lui a demandé si le changement avait créé un point de défaillance unique, McKeown, directeur informatique adjoint du ministère de la Défense, a déclaré qu'il pensait qu'un système intégré était une source de sécurité, pas de faiblesse.
"Lorsque le DOD achète un avion, il n'achète pas une boîte de pièces que nos mécaniciens doivent assembler, il achète l'avion intégré", a-t-il déclaré. "Nous devons commencer à considérer nos réseaux comme des systèmes d'armes en investissant dans des solutions intégrées plutôt que dans des composants individuels que notre personnel informatique et cybernétique essaie de faire fonctionner ensemble."
Il n'a pas directement abordé les questions détaillées sur les évaluations techniques qui ont comparé ESS à Microsoft Defender, ou sur la question de savoir si les produits nouvellement achetés sont correctement certifiés pour fonctionner sur les réseaux DOD.
Microsoft affirme être un grand partisan de la diversité en matière de sécurité, en utilisant, par exemple, plusieurs sources de renseignements sur les menaces, y compris celles sous licence de ses concurrents, et en développant des partenariats avec plus de 15 000 sociétés de sécurité.
La décision du DOD de mettre à niveau ses licences Microsoft pour inclure les outils de sécurité Defender coûtera 543 millions de dollars sur deux ans, a déclaré John Weiler, PDG de l'IT Acquisition Advisory Council, une organisation à but non lucratif qui travaille à améliorer la façon dont le gouvernement fédéral achète des biens informatiques. Et services. Le DOD lui-même n'a pas fourni de chiffre, mais le chiffre de Weiler a été confirmé par d'autres sources au courant de la transaction.
On ne sait pas combien d'argent le gouvernement espère économiser en supprimant ESS, et potentiellement d'autres programmes de cybersécurité du DOD qui dupliquent les outils Microsoft Defender, a déclaré Weiler, mais a ajouté : "Ils viennent d'éliminer tout un marché pour la concurrence et l'innovation dans le DOD." Il a noté qu'une douzaine de fournisseurs de cybersécurité étaient en concurrence pour fournir des outils à ESS et aux autres programmes de cybersécurité susceptibles d'être supprimés. "Ces entreprises n'innoveront plus pour répondre aux besoins du DOD car il n'y a pas de revenus pour soutenir cela. Et nous savons tous que les monopoles n'innovent pas, ils mettent toute leur énergie et leur argent pour maintenir leur monopole."
Weiler était un témoin expert dans la procédure antitrust Microsoft du ministère de la Justice il y a près d'un quart de siècle, qui a révélé que la société avait violé les lois antitrust en regroupant son navigateur Web, Internet Explorer, avec son système d'exploitation Windows, pour geler les navigateurs concurrents tels que Netscape. Weiler a déclaré que le regroupement actuel d'outils de sécurité de Microsoft avec des logiciels d'entreprise était "le même livre de jeu" que la société avait utilisé dans les années 1990.
La déclaration de Microsoft n'aborde pas les accusations selon lesquelles ses pratiques avec les logiciels de sécurité pourraient être considérées comme anticoncurrentielles.
La décision du département de la Défense met en évidence d'autres questions difficiles pour Microsoft concernant les 20 milliards de dollars d'activité de sécurité annuelle que l'entreprise a construits au cours des cinq dernières années.
L'entreprise de plus de 2 billions de dollars, la deuxième entreprise mondiale la plus appréciée derrière Apple, tire près de 10% de ses revenus annuels de plus de 200 milliards de dollars de la vente de produits et de services de sécurité, et ce flux de revenus connaît une croissance à deux chiffres même si d'autres domaines des activités de l'entreprise croissent lentement, voire pas du tout.
Les critiques affirment qu'ils gagnent cet argent en vendant aux clients qui ont déjà acheté des outils de sécurité supplémentaires pour les logiciels d'entreprise Microsoft, dont ils n'ont besoin que parce que le logiciel d'entreprise est si peu sécurisé.
"C'est comme une compagnie des eaux qui, lorsque ses clients se plaignent : "Cette eau que vous nous vendez est contaminée", ils répondent : "Eh bien, nous avons des filtres et d'autres équipements que nous pouvons vous vendre et qui élimineront la plupart des de cela », a déclaré John Pescatore, directeur des tendances de sécurité émergentes au prestigieux SANS Institute, un organisme de formation en cybersécurité. "Pourquoi ne vendent-ils pas de l'eau propre en premier lieu ? Pourquoi leur logiciel n'est-il pas sécurisé en premier lieu ?"
En privé, les dirigeants de Microsoft déclarent être entrés sur le marché de la sécurité en réponse à la demande des clients. Selon eux, il existait déjà un marché florissant pour les outils de sécurité d'autres entreprises afin de protéger les produits Microsoft contre les pirates. Pourquoi l'entreprise ne devrait-elle pas apporter son expertise logicielle et toutes les données qu'elle obtient sur les attaques des milliards d'ordinateurs sur lesquels ses logiciels sont installés, à ce marché ?
Mais les critiques disent que la plus grande prépondérance des vulnérabilités chez Microsoft n'est pas un accident. C'est le résultat de décisions de conception prises au fil des décennies, a déclaré Ryan Kalember, vice-président exécutif de la société de cybersécurité Proofpoint, qui est en concurrence avec Microsoft sur le marché des outils de sécurité.
Avant tout, a déclaré Kalember à Newsweek, Microsoft s'est concentré sur la rétrocompatibilité, un principe de conception qui signifie que les versions mises à jour du logiciel doivent toujours fonctionner avec tous les programmes avec lesquels les versions précédentes non mises à jour fonctionnaient. Le concept est très populaire auprès des consommateurs et des utilisateurs professionnels, mais a un prix élevé pour la sécurité.
"Ils finissent par créer de plus en plus de risques parce qu'ils ne font que construire des couches au-dessus des couches", a déclaré Kalember, en conservant le code des fonctionnalités qui étaient boguées et non sécurisées il y a une génération.
Une vulnérabilité dans Outlook révélée le mois dernier illustre le problème, a déclaré Kalember. Un pirate informatique pourrait, simplement en envoyant un e-mail spécialement conçu, obtenir une copie de la signature numérique de l'utilisateur cible qu'il pourrait ensuite utiliser pour se faire passer pour cet utilisateur sur son réseau d'entreprise. Lisez leur e-mail. Voler les données auxquelles ils avaient accès. Pire encore, il s'agissait d'une attaque dite "zéro-clic". La cible n'a pas eu besoin de cliquer sur un lien ou une pièce jointe, ni même d'ouvrir l'e-mail.
La vulnérabilité d'Outlook réside dans un mécanisme de vérification d'identité vieux de 30 ans appelé NTLM. Il est obsolète depuis 25 ans, mais il reste intégré au code Microsoft car le supprimer annulerait la compatibilité descendante.
"Tout d'un coup, vous êtes de retour en 2002", a déclaré Kalember, "C'est fou comme le placage est mince."
Les défenseurs de la société affirment que les clients de Microsoft comptent sur la rétrocompatibilité, car ils ne peuvent pas tous se permettre de passer aux derniers produits.
Dans sa déclaration à Newsweek, la société a déclaré : "La sécurité est tissée dans le tissu numérique de nos applications et services, et ce depuis le premier jour".
Lorsque Microsoft a révélé et corrigé la vulnérabilité NTLM le 14 mars, des pirates soupçonnés d'appartenir à l'agence de renseignement militaire russe GRU l'exploitaient depuis près d'un an. Mais cela n'a guère attiré l'attention en dehors de la presse spécialisée sur le cyber : juste une autre vulnérabilité annoncée, comme c'est désormais traditionnel, le Patch Tuesday, le deuxième mardi de chaque mois, lorsque Microsoft et d'autres fournisseurs publient des mises à jour de sécurité et des améliorations de leurs logiciels.
Dans cette même mise à jour de mars, Microsoft a inclus des correctifs pour 80 vulnérabilités logicielles différentes, dont neuf classées "critiques" et 60 "importantes".
Et il est probable qu'une proportion importante de clients Microsoft, en particulier au sein du gouvernement, n'aient pas encore appliqué ces correctifs, selon Roger Cressey, un cadre vétéran de la cybersécurité qui a travaillé sur certains des premiers efforts de cybersécurité du gouvernement fédéral il y a plus de deux décennies, et a continué à consulter et à travailler dans l'espace fédéral depuis.
Depuis 20 ans, Microsoft est en mesure de forcer ses clients gouvernementaux et commerciaux à absorber les coûts des mises à jour de sécurité constantes nécessaires pour protéger ses produits, a déclaré Cressey.
"Le logiciel est le seul secteur où le gouvernement et les consommateurs sont invités à absorber les coûts des produits de fournisseurs dangereux et défectueux en tant que coût de faire des affaires", a déclaré Cressey, désormais partenaire de Mountain Wave Ventures, une société de conseil en cybersécurité et en gestion des risques, où il consulte occasionnellement pour les concurrents de Microsoft.
Et le résultat est que de nombreux correctifs logiciels sont appliqués des semaines ou des mois après leur publication, ou parfois pas du tout. En avril 2021, le FBI a dû obtenir une ordonnance du tribunal pour lui permettre de supprimer à distance les logiciels malveillants présents sur les réseaux informatiques de plus de 60 000 clients Microsoft dans le monde, plus de six semaines après que l'entreprise a publié un correctif.
La société affirme qu'elle travaille avec la CISA, d'autres agences gouvernementales et ses partenaires du secteur privé pour faire connaître l'importance d'appliquer des mises à jour de sécurité qui corrigent les vulnérabilités activement exploitées par les pirates.
Les inquiétudes généralisées de la communauté de la cybersécurité concernant le rôle de Microsoft se reflètent dans la stratégie nationale de cybersécurité de l'administration Biden, publiée en mars. Le troisième pilier, l'un des cinq énoncés dans le document de haut niveau, vise à rejeter la responsabilité de la cybersécurité sur les éditeurs de logiciels, en particulier les plus dominants tels que Microsoft.
En lançant la stratégie, les responsables ont déclaré que les fabricants de logiciels devaient intégrer la sécurité dans la conception originale de leurs produits, plutôt que de laisser aux utilisateurs finaux, leurs clients, le soin d'acheter des logiciels supplémentaires pour essayer de les sécuriser.
La Maison Blanche a refusé de répondre aux questions de savoir si la décision du DOD tirait dans une direction différente.
"L'intérêt du troisième pilier [de la stratégie] est de passer à un endroit où la sécurité est intégrée au logiciel dès le départ, et non renforcée par la suite via des outils supplémentaires", a déclaré Grotto.
Les multiples rôles de Microsoft sur le marché informatique, a-t-il ajouté, signifient qu'il peut utiliser la sécurité comme ce que les responsables commerciaux appellent une « vente incitative », ce qui amène le client à dépenser plus pour des fonctionnalités supplémentaires.
Tous les fournisseurs essaient de vendre, a reconnu Grotto, mais Microsoft occupe une position unique en raison de sa domination massive du segment des logiciels d'entreprise - pensez à la messagerie électronique, au calendrier et au traitement de texte - au sein du gouvernement fédéral.
"Lorsque vous avez un fournisseur qui fournit 85 % des outils de productivité pour le gouvernement fédéral, il se trouve dans une position extraordinairement puissante", a déclaré Grotto, surtout si cela fait penser aux agences qu'il serait coûteux et difficile de changer de fournisseur.
Au cours d'un différend contractuel en 2021, le département américain de l'Agriculture (USDA) a expliqué en détail ce que cela signifierait pour le département de s'éloigner des produits Microsoft.
La justification de l'agence, citée dans une décision des auditeurs du gouvernement, indique que "96 % des systèmes de l'USDA exécutent des systèmes d'exploitation Windows". Et que l'USDA fournit des outils logiciels Microsoft à 7 500 bureaux extérieurs prenant en charge plus de 120 000 utilisateurs.
Même si le coût des licences Microsoft Office pour la main-d'œuvre de l'USDA était de 170 millions de dollars alors que le coût des licences pour le concurrent Google Workspace aurait été aussi bas que 58 millions de dollars, l'agence voulait rester avec Microsoft.
Le passage à d'autres produits prendrait au moins trois ans, a déclaré l'USDA, ajoutant : "Une entreprise de cette ampleur représenterait un effort de plusieurs millions de dollars au cours duquel il y aurait probablement un impact sur la main-d'œuvre informatique et la satisfaction des clients. à tous les niveaux."
La situation de l'USDA n'est remarquable qu'en ce qu'elle est devenue publique, a déclaré à Newsweek Michael Garland, un avocat des marchés publics spécialisé dans l'informatique. "La manifestation de l'USDA offre une rare fenêtre sur la réalité de l'enracinement et de l'enfermement de certains de ces géants du logiciel, dont Microsoft, dans l'ensemble du parc logiciel du gouvernement américain", a-t-il déclaré.
Avec sa nouvelle stratégie, l'administration Biden veut renverser le scénario sur la cybersécurité, a déclaré Eric Goldstein, directeur adjoint exécutif de la CISA pour la cybersécurité, à Newsweek, repoussant la responsabilité de la sécurité "en amont", vers les entreprises qui expédient des produits non sécurisés.
"Si nous continuons à blâmer uniquement les victimes, nous savons que ce n'est pas une recette pour des améliorations évolutives, car tant de victimes, les districts scolaires, les petits hôpitaux, les services d'eau locaux, ne pourront jamais se défendre seuls contre les menaces qu'ils auxquels nous sommes confrontés », a-t-il déclaré.
Mais en l'absence d'action du Congrès pour imposer des exigences de sécurité par voie réglementaire, les responsables prévoient de s'appuyer sur les forces du marché pour inciter Microsoft et d'autres fournisseurs de technologies à améliorer la sécurité. "Nous savons que la plupart des clients souhaitent installer, exécuter et s'appuyer sur des produits sûrs et sécurisés par conception et par défaut", a déclaré Goldstein. Mais les acheteurs ne savent pas quoi demander, dit-il.
Pour aider à éduquer le marché, CISA a produit un ensemble de principes de conception pour les produits sécurisés, et une exigence clé est de mettre fin à la pratique de la vente incitative de sécurité.
Faire payer un supplément pour les mesures de sécurité de base "n'est pas acceptable", a déclaré Goldstein, en utilisant l'exemple des ceintures de sécurité dans une voiture.
"Si l'un de nous louait une voiture, l'obtenait, et qu'il n'y avait pas de ceinture de sécurité parce qu'ils facturaient un supplément pour cela, nous n'accepterions pas cela ... Nous devons arriver au même modèle avec la technologie, où il y a une base (sécurité ) seuil que la technologie devrait atteindre », a-t-il déclaré.
Une prochaine échéance de la Maison Blanche pour que les agences fédérales disposent de nouvelles capacités de sécurité, telles que la capacité de conserver les journaux d'activité informatique qui peuvent aider à répondre à une cyberattaque, sera un cas de test important pour les grands fournisseurs gouvernementaux comme Microsoft, a déclaré Goldstein.
Historiquement, les agences ont dû payer jusqu'à 40 % de plus pour de telles fonctionnalités, mais Goldstein a déclaré qu'il était temps pour les fournisseurs d'intervenir et de faire ce qu'il fallait : en fournissant à leurs clients fédéraux des produits qui ne nécessitaient pas de modules complémentaires coûteux. être en sécurité.
Les dirigeants de Microsoft affirment que l'entreprise a le droit de facturer des frais supplémentaires pour des mesures de sécurité haut de gamme, que ce soit au ministère de la Défense ou à n'importe qui d'autre.
"Nous sommes une entreprise à but lucratif", a déclaré le vice-président de Microsoft, Brad Smith, à un comité du Congrès en 2021, lorsqu'on lui a demandé si la sécurité devait être traitée comme une vente incitative. "Tout ce que nous faisons est conçu pour générer un retour autre que notre travail philanthropique."
Shaun Waterman peut être contacté à [email protected]. Suivez-le sur Twitter @WatermanReports.