Des experts fédéraux en cybersécurité approuvent malgré leurs doutes le service cloud de Microsoft

• Le programme américain FedRAMP a approuvé le service Government Community Cloud High (GCC High) de Microsoft malgré des préoccupations de sécurité
• Un rapport d’évaluation interne indiquait explicitement : « Nous ne sommes pas certains de pouvoir évaluer l’état global de la sécurité », et certains examinateurs ont décrit le système comme « un véritable désordre »
• Microsoft n’a pas réussi pendant des années à fournir des documents de sécurité essentiels, notamment sur l’architecture de chiffrement et les schémas de flux de données, mais l’approbation a tout de même été accordée car des agences gouvernementales utilisaient déjà le service
• Le processus d’approbation a été influencé par plusieurs facteurs combinés, dont des conflits d’intérêts d’organismes d’évaluation tiers, des pressions entre le Department of Justice et Microsoft, ainsi que la réduction des effectifs de FedRAMP
• Cette affaire montre que le système américain de vérification de la sécurité du cloud a glissé vers une procédure purement formelle, faisant peser un risque grave sur la protection des secrets d’État

Controverse autour de l’approbation FedRAMP et de Microsoft GCC High

• FedRAMP est un programme chargé de vérifier la sécurité des services cloud utilisés par les agences fédérales, et GCC High de Microsoft est destiné au traitement de données gouvernementales sensibles
  • Selon un rapport interne, Microsoft souffrait d’un manque de documentation de sécurité adéquate, et les évaluateurs n’étaient pas convaincus du niveau réel de sécurité du système
  • Malgré cela, fin 2024, FedRAMP a approuvé GCC High sous la forme d’une autorisation conditionnelle
• La décision d’approbation a été motivée par le fait que le Department of Justice et l’industrie de la défense utilisaient déjà ce service, et qu’un refus risquait de perturber le fonctionnement de l’administration
• Le document d’approbation comportait un avertissement indiquant que, des risques inconnus existant, chaque agence devait utiliser le service avec prudence

Lacunes dans la documentation de sécurité de Microsoft et retards prolongés

• Depuis 2020, FedRAMP demandait à Microsoft de soumettre des schémas de circulation des données chiffrées, mais l’entreprise n’a pas fourni de dossier complet, invoquant la « complexité »
  • Microsoft n’a remis que quelques livres blancs et n’a pas pu expliquer clairement à quel moment les données étaient chiffrées et déchiffrées
• D’autres fournisseurs cloud (Amazon, Google) ont fourni des documents comparables, alors que Microsoft a répété pendant des mois des réponses incomplètes
• Un examinateur de FedRAMP a comparé le système de Microsoft à une structure « en plat de spaghetti », soulignant que l’opacité des flux de données augmentait le risque de sécurité

Organismes d’évaluation tiers et problèmes de conflits d’intérêts

• Coalfire et Kratos, engagés par Microsoft, ont signalé de manière informelle à FedRAMP qu’ils n’avaient pas reçu suffisamment d’informations de la part de Microsoft
  • Comme ces organismes étaient directement rémunérés par Microsoft, des inquiétudes ont été soulevées quant à une atteinte à leur indépendance
• FedRAMP a notifié à Kratos un plan d’action correctif, mais l’entreprise a défendu la légitimité de son évaluation
• Microsoft a affirmé avoir répondu de bonne foi à toutes les demandes et a nié l’existence de rapports officieux en backchannel

Pressions d’agences gouvernementales et distorsion du processus d’approbation

• En 2023, FedRAMP avait interrompu l’examen en raison des réponses insuffisantes de Microsoft, mais celui-ci a repris à la suite de pressions et de lobbying entre le Department of Justice et Microsoft
  • Un responsable de Microsoft a demandé au Department of Justice de faire pression pour obtenir l’approbation de FedRAMP, en expliquant que l’accès au marché était retardé
  • Lors d’une réunion, la CIO du Department of Justice, Melinda Rogers, a pris le parti de Microsoft et critiqué la méthode d’examen de FedRAMP
• Par la suite, la White House a publié des directives selon lesquelles FedRAMP devait mener un examen rigoureux, mais GCC High était déjà largement déployé dans plusieurs agences

Réduction des effectifs et limites structurelles

• À la suite de coupes budgétaires, FedRAMP a été réduit à une vingtaine d’employés et un budget annuel de 10 millions de dollars, devenant de fait un simple organisme d’approbation formelle pour l’industrie
• La GSA a déclaré que le rôle du programme n’était pas de juger le niveau de sécurité, mais de fournir des informations, esquivant ainsi la responsabilité d’une véritable vérification
• Des experts ont critiqué FedRAMP, estimant qu’il avait perdu son rôle de gardien chargé de protéger les données du public

Répercussions et controverse éthique

• Après l’enquête de ProPublica, Microsoft a annoncé la suspension de la participation d’ingénieurs basés en Chine à des travaux liés à la défense
• Le Department of Justice poursuit la répression des fausses déclarations en matière de sécurité cloud via l’inculpation d’un ancien employé d’Accenture pour fraude liée à FedRAMP
• En 2025, Lisa Monaco, ancienne procureure générale adjointe qui avait piloté des politiques de cybersécurité liées à FedRAMP, a été recrutée comme présidente des affaires mondiales de Microsoft, prolongeant la polémique éthique
• Microsoft a répondu que toutes ses embauches respectaient les lois et les normes éthiques

Conclusion : le danger d’une certification de sécurité devenue formelle

• À travers ce cas, ProPublica souligne que la certification FedRAMP ne constitue pas une véritable garantie de sécurité
• Microsoft GCC High continue de porter des « unknown unknowns », et les agences gouvernementales doivent assumer elles-mêmes ce risque
• Des experts estiment que le système de sécurité cloud du gouvernement américain a dégénéré en « Security Theater » plutôt qu’en véritable sécurité