La maladie des licences logicielles qui infecte la cybersécurité de notre pays
COMMENTAIRE
Ce mois-ci, le président de Microsoft, Brad Smith, a été confronté au Comité de la sécurité intérieure de la Chambre des représentants des États-Unis, dans le cadre d’uneaudition sur les problèmes de cybersécuritéqui ont tourmenté le gouvernement en conséquence directe des failles de sécurité de l’entreprise. Toutefois, ces problèmes ne se résument pas uniquement à des produits non sécurisés. Ce sont les symptômes d’une maladie plus vaste : une défaillance de la politique de marché et de concurrence qui a permis à Microsoft de dominer pratiquement tout le marché technologique du secteur public. Et l’incapacité du gouvernement américain à diagnostiquer correctement la cause la plus profonde nous met tous en danger.
Microsoft, de son propre aveuestpoint zéro pour les groupes de hackers parrainés par l’État, et des failles dans les logiciels de l’entreprise ont été responsables d’une grande partie des cyberattaques affectant le gouvernement américain ces dernières années. Les organismes de surveillance de la cybersécurité de notre pays, la Cybersecurity and Infrastructure Security Agency (CISA) du Department of Homeland Security et le Cyber Safety Review Board (CSRB), ont consacré des ressources considérables à l’évaluation de ces incidents et à la tentative d’évaluer et de résoudre les vulnérabilités de Microsoft.
Il y a un problème fondamental avec ce processus. Le gouvernement confond les symptômes persistants des piratages, des failles et des vulnérabilités avec une maladie sous-jacente : le manque de concurrence en matière de cybersécurité. Microsoft a systématiquement exploité les faiblesses des processus d’approvisionnement pour étouffer la concurrence et enfermer les clients gouvernementaux dans sa technologie non sécurisée. Cette confusion laisse finalement de côté les outils dont dispose le gouvernement pour renforcer la concurrence, alors que ces outils constituent le meilleur remède à la cyberinsécurité.
Le problème de la part de marché de Microsoft
Microsoft détient un85% de part de marchéde la collaboration gouvernementale et des technologies de communication et reçoit désormais au moinsun quart de ses contratssans aucune concurrence significative. Il a atteint cette position grâce à une série demesures délibérées et anticoncurrentiellesle gouvernement a largement négligé. Les responsables des marchés publics et les responsables de la sécurité de l’information (RSSI) empruntent la voie de la moindre résistance. Ce n’est pas leur faute ; c’est une conséquence difficile de leur travail. Mais Microsoft exploite cela en le faisantcher et difficile faire fonctionner son logiciel sur le cloud d’un concurrent, y comprisfacturer une prime cinq fois supérieurejuste pour utiliser Word sur le cloud d’Amazon au lieu de son propre service cloud Azure. Offres groupées Microsoftdes dizaines d’applications annexesavec ses applications de productivité Office dans ses licences (notamment Access, Delve, Viva et autres), qui étouffe la concurrence en reliant les services de base largement utilisés à des services moins populaires et en les proposant gratuitement.
Le résultat? Une monoculture logicielle avec une surface d’attaque simple pour les adversaires des Etats-Unis avec presque un seul point de défaillance : Microsoft. Il s’agit d’une menace majeure pour la sécurité nationale. Le préjudice potentiel est réel et coûteux.Le gouvernement américain a dépensé plus de 11,1 milliards de dollars sur la cybersécurité en 2023, en essayant en grande partie de compenser et de répondre aux incidents Microsoft qui l’ont rendu vulnérable aux intrusions.
Certains législateurs sont prêts à agir.Le sénateur Ron Wyden a récemment rédigé un projet de loi