Selon George Kurtz, le PDG de CrowdStrike, les offres de sécurité de Microsoft sont un “canot de sauvetage qui prend l’eau“. Ce spécialiste américain reconnu des outils de réponse numérique aux cyberattaques attribue la majorité de certaines d’entre elles aux logiciels de l’éditeur, dont Active Directory (AD). Attention, Le chiffre d’affaires de l’activité sécurité de Microsoft a dépassé les 15 milliards de dollars.
« Si obtenir un canot de sauvetage gratuit qui fuit est quelque chose que les gens veulent offrir à leur client, ou que le client veut avoir. Peut-être qu’il fuit. Peut-être qu’il ne fuit pas. Mais si vous voulez le meilleur résultat en matière de sécurité, il existe d’autres solutions », a déclaré George Kurtz, le PDG de l’éditeur californien CrowdStrike, dans une interview accordée début octobre à The Channel Company (CRN), lors de sa conférence XChange Best of Breed aux Etats-Unis.
George Kurtz critique depuis longtemps la sécurité des logiciels de Microsoft
Ce n’est pas la première fois que George Kurtz critique la sécurité d’Active Directory (AD) et d’autres logiciels de Microsoft. On pourrait se dire que cet éditeur de logiciels anti-virus, EDR et XDR ne fait que critiquer l’un de ses concurrents les plus imposants dans la cybersécurité. Mais son avis d’expert compte dans cette communauté. En outre, son entreprise créée en 2011 réalise déjà presque 1,5 milliard de dollars en vendant des outils de réponse numérique aux cyberattaques.
Et s’il reconnaît les efforts de Microsoft pour développer de bons logiciels, le PDG de CrowdStrike estime au final que « l’environnement Microsoft est le seul que je connaisse où vous pouvez prendre un mot de passe et le réutiliser. Pas vrai ? Et c’est un énorme problème d’architecture. C’était déjà le cas en 1999. Vous pouvez le faire encore aujourd’hui. Et c’est encore pire maintenant parce qu’il y a un fatras de synchronisation. C’est un vrai désordre ».
Active Directory (AD), l’une des principales failles de sécurité sur les plateformes de Microsoft
George Kurtz enfonce le clou sur Active Directory (AD), que tous les experts en cybersécurité considèrent comme l’une des principales failles de sécurité sur les plateformes de Microsoft : « L’ensemble du secteur s’est concentré sur l’élimination des logiciels malveillants, mais aujourd’hui, dans l’environnement actuel, 71 % des problèmes ne sont pas liés aux logiciels malveillants. 80 % des violations sur lesquelles nous enquêtons ou que nous traitons sont liées à l’identité. Quel est le système numéro 1 dans ce domaine ? C’est Active Directory. L’identifiant le plus volé est un identifiant Microsoft qui sera utilisé soit en interne, soit dans le cloud ».
Le chiffre d’affaires de l’activité sécurité de Microsoft a dépassé les 15 milliards de dollars
Interrogés sur ses déclarations, plusieurs intégrateurs français certifiés par Microsoft sur ses solutions de cybersécurité ont refusé de répondre à nos questions. Et pour cause, peuvent-ils se permettre de ne pas être d’accord avec le nouveau géant américain de la cybersécurité. Le chiffre d’affaires de l’activité sécurité de Microsoft a dépassé les 15 milliards de dollars au cours des 12 derniers mois, comme l’a révélé en janvier 2022 Satya Nadella, son PDG. Il s’agit d’une hausse de 45 % par rapport à l’année précédente. Et ce chiffre n’a fait qu’augmenter depuis avec les investissements et les acquisitions réalisées par son groupe cette année.
Et son portfolio est très large. Les services de sécurité de Microsoft intègrent plus de 50 catégories dans les domaines de la sécurité, de la conformité, de l’identité, de la gestion des périphériques et de la confidentialité. En 2022, Microsoft a aussi lancé des capacités pour aider les clients à découvrir, gérer et gouverner les autorisations des utilisateurs et des charges de travail sur Amazon Web Services, Google Cloud Platform et Microsoft Azure.