Défaillance du cloud : Microsoft pointe du doigt l’UE

Plusieurs milliards d’euros de dégâts, une paralysie totale et même une menace pour la vie humaine : tel a été le bilan de CrowdStrike, une défaillance due à une erreur de mise à jour du logiciel de sécurité Falcon qui a fait planter des millions de systèmes Windows dans le monde l’année dernière. L’incident a touché de très nombreuses entreprises, y compris des hôpitaux et des aéroports. Mais point d’autocritique chez Microsoft pour comprendre le lien entre ces dysfonctionnements et Windows… L’éditeur logiciel préfère faire porter en partie le chapeau à l’Union européenne – une stratégie pour le moins culottée.

Un porte-parole de l’entreprise l’affirme : tout serait dû à un accord passé avec la Commission européenne. Selon lui, c’est cette convention qui fait que Microsoft n’a pas mieux pu protéger son système d’exploitation. De quoi s’agit-il plus concrètement ? Petit retour en arrière : en 2009, la Commission européenne a lancé une procédure contre Microsoft en raison du couplage d’Internet Explorer et de Windows, contraire au droit de la concurrence. Le géant du logiciel avait alors accepté d’accorder le même accès à Windows aux fournisseurs tiers qu’à Microsoft. Et c’est justement cet accès au cœur de Windows (qu’on appelle le noyau ou « kernel », en anglais) qui a entraîné le plantage dû à CrowdStrike. Ce que Microsoft se garde bien de révéler, c’est qu’un libre accès au « kernel » n’était pas forcément nécessaire. Selon des experts, l’entreprise aurait tout aussi bien pu proposer une interface (API) vers Windows, comme le fait Apple pour MacOS.

Une volonté stratégique de noyer le poisson
Si Microsoft se présente en victime du droit européen, c’est parfait délibéré. C’est que le géant du logiciel risque une nouvelle action pour pratiques anticoncurrentielles, cette fois-ci en raison du couplage de Teams et de M365. Le 25 juin 2024, la Commission européenne a déclaré dans un constat préliminaire que Microsoft détenait une position dominante sur le marché des applications de productivité SaaS pour usage professionnel et que celle-ci entravait ainsi la concurrence. La meilleure défense, c’est l’attaque : telle semble être la devise de Microsoft, qui tire désormais à boulets rouges sur l’UE dans l’espoir d’influencer sa décision. L’éditeur en profite également pour détourner l’attention de certaines lacunes de sa part. C’est qu’en matière de protection et de sécurité des données, l’entreprise est très critiquée de toutes parts.

La défaillance du cloud est loin d’être un cas isolé
Quelques jours après CrowdStrike, les clients Azure ont à nouveau dû essuyer des dysfonctionnements du cloud, ce qui est assez révélateur. En cause cette fois-ci : une attaque en déni de service dont l’impact n’a été que renforcé par une erreur de configuration du dispositif de protection de Microsoft. Par la suite, le Cyber Safety Review Board (CSRB), la commission américaine chargée des incidents de cybersécurité, a fait état de manquements opérationnels et stratégiques graves de la part de l’entreprise. Dans son rapport au sujet de ce fiasco sécuritaire, l’organe a conclu que Microsoft aurait pu empêcher le vol d’une clé de signature principale d’Azure. Autre thème récurrent : les manquements de Microsoft en matière de protection des données. Le Contrôleur européen de la protection des données (CEPD) a en effet récemment constaté que la Commission européenne enfreignait le RGPD en utilisant Microsoft 365. Andreas E. Thyen, Président du conseil d’administration de LizenzDirekt et économiste diplômé, met en garde : « À mon sens, tout non-respect de la protection et de la sécurité des données des clients peut coûter cher et entraîner des dommages inimaginables en termes de réputation. »

La folie du cloud et la collecte frénétique de données continuent
Face à la critique, aux dysfonctionnements et aux défaillances, Microsoft reste de marbre. La firme poursuit son petit bonhomme de chemin pour entraîner sa clientèle encore plus loin dans la folie du cloud. C’est ainsi que le prestataire de solutions logicielles a remplacé son Action Pack, un produit installé sur site pourtant plébiscité, par des alternatives sur le nuage fin janvier. Ainsi, la clientèle se voit forcée de passer à un abonnement. Mais ce n’est pas tout. À l’ère de l’IA, Microsoft se gêne de moins en moins côté collecte de données et s’arroge un accès au bureau des utilisateurs. Ainsi, la nouvelle fonctionnalité de Windows 11 du nom de « Recall » fait régulièrement des captures d’écran sauvegardées par l’entreprise. On a pu entendre depuis que la fonction peut être désactivée, mais Microsoft l’a démenti, expliquant qu’il s’agissait d’un bug qui serait bientôt résolu. C’est là bien la preuve du peu d’intérêt que porte le géant du logiciel aux droits fondamentaux européens et du peu de scrupules qu’il a pour imposer ses désidératas. Est-ce vraiment le type de prestataire auquel nous voulons confier nos données ?

Quels enseignements tirer de cette défaillance du cloud ?
La défaillance du cloud due à CrowdStrike a surtout montré à quel point la dépendance numérique vis-à-vis d’un seul et même prestataire était dangereuse. Bon nombre d’entreprises et de collectivités repensent donc leur stratégie informatique. Plutôt que de continuer à nous laisser embourber dans une technologie qui nuit à notre résilience et notre autonomie, il est temps de reprendre davantage les rênes. Se procurer ses logiciels dans le cloud d’un seul et même prestataire comme Microsoft, c’est prendre des risques incalculables, d’autant plus à l’ère de l’intelligence artificielle. Pour atténuer les risques et gagner en indépendance, les entreprises ont la possibilité de miser sur une approche hybride raisonnée en combinant des licences installées sur site avec des services sur le nuage de différents prestataires. C’est là également une bonne solution pour réduire les risques en matière de protection et de sécurité des données.

Reconquérir sa marge de manœuvre grâce à des compétences informatiques en interne
S’ils souhaitent mettre au point la stratégie la mieux adaptée, les décideurs doivent dépasser le simple cadre informatique, mener une évaluation des risques et réfléchir à des solutions indépendantes d’un éditeur donné. D’où l’intérêt de recommencer à renforcer les compétences informatiques en interne et de faire appel à un conseil indépendant. La position d’Andreas E. Thyen est claire : « Le droit européen ne devrait jamais être un simple corollaire, mais une question de convictions. En renforçant les compétences clés en informatique, nous parviendrons peut-être à sensibiliser à nouveau à ce qu’est le concept de liberté. C’est vrai tous les jours et non pas seulement le jour de la fête nationale : il faut une volonté politique et sociétale plus forte que jamais. C’est la seule manière de reconquérir notre indépendance et d’avoir le courage de concevoir davantage de solutions par nos propres moyens. »