Microsoft explique comment il gère les mises à jour de sécurité pour les services cloud

Comme tout logiciel d’accès à Internet, les services cloud sont également la cible de cyberattaques. Nous avons vu des exemples récents de vulnérabilités FabricScape et AutoWarp présentes dans le cloud Microsoft Azure. La société a maintenant partagé quelques détails sur la façon dont elle gère les processus de sécurité et de mise à jour en ce qui concerne les services cloud.

Dans un article de blog du vice-président d’entreprise du Microsoft Security Response Center (MSRC) Anchal Gupta intitulé « L’anatomie d’une mise à jour de sécurité des services cloud », l’exécutif a parlé du travail du département en matière de cybersécurité.

Lorsqu’il s’agit d’identifier les vulnérabilités dans le cloud, Microsoft affirme disposer de 8 500 experts en sécurité pour protéger Azure 24 heures sur 24. L’entreprise dispose également d’un Centre des opérations de cyberdéfense (CDOC), qui regroupe l’expertise en sécurité de différents départements pour faire face à des menaces plus complexes. Il dispose d’équipes rouges et bleues qui examinent également régulièrement ses défenses et en cas de problème, les clients concernés sont immédiatement avertis et les experts Microsoft aident à sécuriser leurs périmètres respectifs.

Mais ce n’est pas seulement un processus interne, Microsoft collabore également avec des partenaires et des chercheurs indépendants en sécurité via son programme Bug Bounty. L’année dernière, l’entreprise a donné aux chercheurs 13 millions de dollars pour découvrir et signaler en privé divers bogues.

Passant à la correction des vulnérabilités, Microsoft a souligné que le principal avantage sur ce front est que les mises à jour de sécurité sont déployées aux clients dès qu’elles sont prêtes. Il n’y a pas de processus d’installation des correctifs du mardi et les clients n’ont généralement rien à faire pour déployer les correctifs. Il a expliqué son processus de réponse aux incidents de sécurité comme suit :

• Détection : les problèmes sont signalés par des experts en sécurité internes ou des partenaires externes, et nos équipes de sécurité 24h/24 et 7j/7 réagissent en conséquence et commencent une évaluation. ​
• Remédiation : Après avoir évalué le problème, nos équipes travaillent 24 heures sur 24 pour identifier et tester la remédiation. Cela inclut l’analyse des options et la recherche des causes profondes pour pouvoir résoudre des classes entières de problèmes plutôt que des vulnérabilités individuelles lorsque cela est possible. Nous testons également minutieusement les correctifs pour garantir la compatibilité et l’intégrité des données.
• Déploiement : une fois que l’atténuateur est prêt et testé, nous le déployons en temps réel sur nos services cloud. Ce n’est pas lié au calendrier de la mise à jour du mardi – ces mises à jour se produisent régulièrement selon les besoins.

Cependant, le travail ne s’arrête pas lorsque les correctifs sont déployés. Il existe également un examen post-incident pour discuter de la manière dont les processus peuvent être améliorés et obtenir les commentaires des clients.

Microsoft signale les vulnérabilités du cloud avec un code CVE uniquement lorsqu’une action de l’utilisateur est requise, conformément à la norme de l’industrie. L’entreprise recommande généralement de prendre les mesures nécessaires dès que possible. Il prétend renforcer la confiance des clients en informant immédiatement les personnes concernées et en leur offrant une transparence totale sur l’étendue du problème et les mesures nécessaires en réponse, le cas échéant. Ces informations sont fournies de manière confidentielle, afin que les utilisateurs d’Azure soient prêts à se déployer avant que la vulnérabilité ne devienne publique.

Alors que le géant de la technologie basé à Redmond travaille 24 heures sur 24 pour renforcer ses défenses basées sur le cloud, il a également recommandé aux utilisateurs de lire le guide Microsoft Security Best Practices .