Rapport d’avancement de l’Initiative pour un avenir sûr de novembre 2025 | Centre de gestion de la confidentialité Microsoft

Dans notre troisième rapport d’avancement, nous partageons des mises à jour pour chaque domaine et pilier d’ingénierie, présentons la cartographie vers le Cadre de cybersécurité du NIST pour aider les clients à comprendre les progrès réalisés en utilisant un cadre reconnu dans l’industrie, et mettons en avant les nouvelles capacités de sécurité livrées aux clients. Nous partageons également les meilleures pratiques et les conseils de mise en œuvre, alignés sur les principes de la Confiance zéro, pour aider les clients à réduire leurs risques.

Nous continuons à promouvoir une culture qui place la sécurité au premier plan dans toute l’entreprise.

95 % des collaborateurs ont déjà suivi la dernière formation en sécurité assignée en juillet 2025 sur la protection contre les attaques alimentées par l’IA, qui reste l’un de nos cours les mieux notés.
Le sentiment des équipes d’ingénierie autour de la sécurité a augmenté de 9 points depuis février 2024.
Pour renforcer une culture de la sécurité d’abord au travail et à la maison, nous avons développé des ressources pour les collaborateurs et les avons mises à disposition des clients pour la première fois afin d’améliorer la sensibilisation à la sécurité.

Obtenez des conseils pratiques et lisez-en plus sur la manière dont la sécurité est intégrée dans notre façon de travailler, de diriger et de mesurer l’impact dans le rapport complet.

"Nous avons fait de la sécurité une priorité centrale pour chaque collaborateur chez Microsoft, pas seulement pour l’équipe de sécurité.”

Vasu Jakkal
CVP, Sécurité Microsoft

Nous continuons à faire évoluer notre modèle de gouvernance pour répondre à l’évolution du paysage des menaces et à la complexité réglementaire accrue.

Nous avons élargi le champ d’action du Conseil de gouvernance de la cybersécurité pour inclure 3 fonctions supplémentaires de CISO adjoint :
- Chaîne d’approvisionnement et tiers
- Fonctions commerciales, marketing et finance
- Conformité à la législation européenne sur la cybersécurité
Création du Programme européen de sécurité Microsoft pour approfondir les partenariats et mieux informer les gouvernements européens sur le paysage des menaces. Poursuite de l’engagement actif dans le groupe d’experts sur la loi européenne sur la résilience cybernétique.
Collaborez activement avec les partenaires du secteur pour mieux aligner les réglementations existantes et futures en matière de cybersécurité et renforcer la capacité de cybersécurité grâce à l’Initiative de promotion de la cybersécurité régionale dans le Sud global.

Obtenez des conseils exploitables et apprenez-en davantage sur la façon dont nous continuons à mettre à l’échelle notre modèle de gouvernance pour faire face à l’évolution du paysage des menaces et à l’augmentation de la complexité réglementaire dans le rapport complet.

"Nous croyons vraiment qu’un programme durable ne peut exister si votre culture n’est pas alignée, et vous ne pouvez certainement pas avoir un programme mesurable si votre gouvernance n’est pas alignée.”

Ann Johnson
CVP & CISO adjoint, Bureau de gestion de la sécurité client

Principes de sécurité

Sécurité dès la conception, Sécurité par défaut et Opérations sécurisées

Guidées par trois principes de sécurité – Sécurisé par conception, Sécurisé par défaut et Exploitation sécurisée – les équipes de Microsoft continuent d’innover pour protéger les clients et Microsoft.

Introduction de paramètres sécurisés par défaut obligatoires, extension de la confiance matérielle et mise à jour des référentiels de sécurité pour améliorer la sécurité du cloud.

En savoir plus sur Azure dans le rapport complet
L’authentification multifacteur est désormais obligatoire pour tous les utilisateurs Azure, réduisant le risque d’attaques liées aux mots de passe. De plus, Azure Bastion Développeur offre désormais une connectivité sécurisée par défaut aux machines virtuelles dans 35 régions.
La version 2 du Référentiel de sécurité cloud Microsoft (MCSB) fournit aux clients des conseils actualisés sur les bases de sécurité, pouvant être mis en œuvre avec Microsoft Defender for Cloud.
Azure Local a augmenté de 25 % le nombre de paramètres de sécurité par défaut (400 paramètres). Cela simplifie encore la capacité des clients à se conformer aux normes industrielles et protège mieux les nœuds Azure Local contre des menaces supplémentaires telles que les malwares sans fichier.
En savoir plus sur Azure dans le rapport complet
Nous fournissons des meilleures pratiques et des conseils d’implémentation, alignés sur les principes de confiance zéro, pour aider les clients à réduire leurs risques.

Obtenez les liens vers l’aide pratique

Piliers de l’ingénierie

Les six piliers de l’Initiative pour un avenir sûr incluent les objectifs et les actions qui définissent notre approche en matière de sécurité

Sur 28 objectifs, 5 sont presque terminés, 12 ont fait des progrès significatifs, et nous continuons à progresser sur les autres. Grâce à l’Initiative pour un avenir sûr, nous avons amélioré la sécurité de notre plateforme et de nos services, ainsi que notre capacité à détecter et répondre aux menaces.

Nous avons renforcé la sécurité des identités pour les services et clients Microsoft.
Migré 95 % des machines virtuelles de signature Microsoft Entra ID vers Azure Confidential Compute.
Déplacé 94,3 % de la validation des jetons de sécurité Microsoft Entra ID vers notre kit de développement logiciel (SDK) d’identité standard.
Appliqué une authentification multifacteur résistante au phishing pour 99,6 % des collaborateurs et appareils Microsoft.

Lisez-en plus, y compris des liens vers des conseils pratiques, dans le rapport complet.
Nous continuons à renforcer l’isolation et à réduire le risque de mouvement latéral.
Abandonné l’utilisation des services de fédération Active Directory (ADFS) dans notre environnement de productivité.
Migré 98 % des ressources cloud gérées par Azure Service Manager (ASM) vers Azure Resource Manager (ARM).
Mis hors service 560 000 locataires inutilisés et anciens supplémentaires ainsi que 83 000 applications Entra ID inutilisées dans les environnements de production et de productivité Microsoft.

Lisez-en plus, y compris des liens vers des conseils pratiques, dans le rapport complet.
Les progrès réalisés ont amélioré la sécurité réseau et apporté de nouvelles capacités aux clients.
Inventaire complet des équipements réseau et gestion mature du cycle de vie des actifs.
Renforcé la sécurité grâce à une isolation améliorée et des contrôles de protection.
Accéléré l’adoption du périmètre de sécurité réseau (NSP) avec plus de 1,1 million de ressources en mode apprentissage et environ 500 000 en mode appliqué.

Lisez-en plus, y compris des liens vers des conseils pratiques, dans le rapport complet.
Nous avons amélioré la sécurité des systèmes que nous utilisons pour créer, tester et déployer du code.

La signature du code est désormais presque entièrement verrouillée sur des identités de production, et les secrets détectés dans le code sont continuellement corrigés.
Un inventaire quasi complet des logiciels permet une réponse rapide aux incidents et une application universelle des politiques.
Extension des pipelines sécurisés par défaut et de l’isolation réseau, avec presque toutes les compilations de production et 94 % des pipelines de publication utilisant des modèles gouvernés.

Lisez-en plus, y compris des liens vers des conseils pratiques, dans le rapport complet.
Nous faisons progresser la chasse aux menaces, la réponse rapide aux incidents et les contrôles de sécurité unifiés.
98 % de l’infrastructure de production est suivie de manière centralisée, avec conservation des journaux pendant 2 ans.
Plus de 50 nouvelles détections déployées dans l'infrastructure Microsoft, ciblant les tactiques, techniques et procédures (TTP) hautement prioritaires. Les détections applicables seront intégrées à Microsoft Defender.
L’intégration de l’IA accélère les améliorations du cycle de vie de la détection, de l’identification à la validation de l’efficacité.

Lisez-en plus, y compris des liens vers des conseils pratiques, dans le rapport complet.
Nous augmentons la rapidité d’identification, de triage et de résolution des vulnérabilités.
Le triage des vulnérabilités basé sur l’IA a contribué à un taux de réussite de 72 % pour traiter les vulnérabilités dans notre délai réduit de mitigation, malgré une augmentation continue du volume et de la portée.
Les processus de déploiement accélérés ont permis d’accélérer la mitigation des vulnérabilités.
Microsoft a publié 1 096 CVE, dont 53 CVE cloud sans action, et a payé 17 millions de dollars USD en primes, ce qui démontre une transparence accrue et un engagement externe accru.

Lisez-en plus, y compris des liens vers des conseils pratiques, dans le rapport complet.

AIDE PRATIQUE

Mettez en pratique ce que nous avons appris

Dans ce rapport, nous mettons en avant 10 modèles et pratiques que les clients peuvent suivre pour réduire leur risque dans des domaines prioritaires et partageons des meilleures pratiques et conseils supplémentaires pour chaque domaine et pilier.

Téléchargez le rapport pour plus d’orientations