Sécurité, chiffrement, souveraineté : pour Microsoft, "le plus gros défi en France, c’est la pénurie de talents"

Cette semaine, Clubic couvre les 50 ans de Microsoft. La multinationale s’est transformée au fil des décennies. Elle a su faire face à certains concurrents, mais elle a également dû s'incliner face à d’autres. Elle a su répondre aux attentes des consommateurs et des professionnels. Mais pas toujours. Et s’il y a un secteur sur lequel Microsoft n’a certainement pas droit de faillir, c’est celui de la sécurité informatique.

Bercé dans le domaine de la sécurité informatique depuis près d’une vingtaine d’années, Arnaud Jumelet a rejoint Microsoft France en 2007 en tant que consultant sur la sécurité informatique. Après s’être chargé des infrastructures cloud de l’entreprise pendant 5 années, il occupe aujourd’hui le poste de National Security Officer. Arnaud Jumelet revient sur les défis de Microsoft dans le domaine de la cybersécurité, et plus particulièrement en France.

1 - Si vous deviez revenir sur trois menaces majeures auxquelles Microsoft a dû faire face, quelles seraient-elles ?

La menace cyber est continue et se complexifie. Le défi est de taille pour toutes les entreprises et Microsoft ne fait pas exception. L’une des plus emblématiques est l’attaque perpétrée par le groupe d’attaquants Storm-0558. Cette campagne sophistiquée, menée par un acteur étatique, a visé des comptes de messagerie en exploitant une faille d’authentification. Elle a mis en évidence l’importance de renforcer en permanence les mécanismes de sécurité au sein de nos services.

Un autre tournant a été l’intensification des attaques émanant de groupes étatiques, notamment en provenance de Chine ou de Russie. Ces menaces ont accéléré le lancement de notre Secure Future Initiative (SFI), une approche intégrée visant à renforcer la sécurité dès la conception de nos produits.

L’évolution constante du panorama des menaces impose une vigilance permanente et une remise en question régulière de nos pratiques. C’est précisément ce que nous mettons en œuvre à travers SFI, en intégrant la sécurité à tous les niveaux, lors de la conception (by design et by default) et également durant les opérations. Nos progrès sont publiés régulièrement avec une prochaine mise à jour en avril 2024.

2 - De quelle manière est-ce que Microsoft France travaille avec Microsoft Research sur le domaine de la sécurité ?

Microsoft France collabore étroitement avec les équipes de recherche de Microsoft Research pour repousser les frontières de l’innovation en cybersécurité, et plus largement, nous travaillons avec notre écosystème de partenaires locaux.

En effet, nous nous appuyons sur une expérience de 42 ans en France et sur un maillage local fort : nous travaillons avec des institutions publiques, des agences étatiques et des partenaires académiques pour renforcer la sécurité sur le territoire. La France est très active sur le sujet, avec par exemple le GIP (Groupement d’Intérêt Public) Cybermalveillance.gouv.fr, dont nous sommes membre et auquel nous participons activement à travers les différents groupes de travail pour sensibiliser le grand public.

Nous accompagnons également des start-ups françaises spécialisées dans la cybersécurité, telles que Qevlar AI, qui développent des solutions innovantes avec le soutien de Microsoft.

Par ailleurs, Microsoft investit massivement dans la cybersécurité offensive et défensive, via des équipes dédiées comme la Red Team (chargée de simuler des attaques complexes pour tester nos défenses) et la Blue Team (spécialisée dans la détection et la réponse aux incidents). Ces deux entités travaillent en étroite coordination pour renforcer continuellement la sécurité de nos produits et services.

Nos équipes de Threat Intelligence jouent également un rôle central : elles surveillent en temps réel l’activité cybercriminelle à l’échelle mondiale, analysent les tactiques utilisées par les groupes malveillants et partagent ces renseignements avec les clients, les gouvernements et l’ensemble de la communauté cyber pour une meilleure réponse collective.

Enfin, nous contribuons à des projets de recherche de pointe, notamment dans le domaine du Confidential Computing. Ces travaux visent à garantir la confidentialité des données, même lorsqu'elles sont traitées dans le cloud, et illustrent parfaitement la synergie entre la recherche fondamentale et les enjeux concrets de cybersécurité.

3 - De plus en plus d'éditeurs de solutions de sécurité travaillent sur l'ère post-quantique. Pourriez-vous revenir sur les menaces qui se présagent et sur les efforts de Microsoft en la matière ?

L’arrivée des ordinateurs quantiques représente une rupture technologique majeure, qui pourrait remettre en question l’efficacité des algorithmes de chiffrement asymétriques sur lesquels reposent de nombreux systèmes actuels. Un ordinateur quantique suffisamment puissant serait capable de casser ces algorithmes en un temps record, ce qui poserait un risque critique pour la confidentialité des communications et des données.

Face à ce constat, Microsoft investit massivement dans la recherche et le développement de solutions de cryptographie post-quantique. Nous mettons notamment à disposition un calculateur de menace quantique, destiné à aider les entreprises à mieux comprendre les enjeux liés à cette nouvelle ère.

Nous sommes également engagés sur deux fronts : la construction d’un véritable ordinateur quantique d’une part, et l’implémentation dès aujourd’hui d’algorithmes résistants aux attaques quantiques d’autre part. Cette double approche nous permet d’anticiper les menaces tout en renforçant dès maintenant la sécurité des systèmes.

Dans cette optique, Microsoft a récemment mis à jour sa principale bibliothèque cryptographique, SymCrypt, en y intégrant plusieurs algorithmes post-quantiques :

• ML-KEM (nouvelle norme NIST FIPS 203) pour l’encapsulation de clés ;

• XMSS (eXtended Merkle Signature Scheme) pour les signatures numériques à état ;

• Leighton-Micali Signature Scheme (LMS) ;

• ML-DSA (FIPS 204, anciennement Dilithium).

Dans les mois à venir, Cryptography API: Next Generation (CNG) sur Windows et le fournisseur SymCrypt pour OpenSSL (SCOSSL) sur Linux prendront en charge ces algorithmes post-quantiques, permettant à nos clients d’expérimenter ces nouvelles protections dans leurs propres environnements et applications.

4 - En termes de cybersécurité, y a-t-il des défis spécifiques propres à la France ?

Oui, la France fait face à plusieurs défis spécifiques en matière de cybersécurité. Le premier, et sans doute le plus important est la pénurie de talents. Le manque de professionnels qualifiés rend difficile la défense face à l’attaque. C’est un enjeu critique auquel nous devons collectivement répondre, notamment à travers la formation et la montée en compétences. C’est dans cette optique que Microsoft France a lancé un plan ambitieux de formation, qui a permis de former et sensibiliser plus de 1 000 personnes en France entre 2022 et 2025.

Enfin, la sensibilisation du grand public reste un pilier essentiel. Il est crucial d’éduquer les citoyens, jeunes comme adultes, aux bons réflexes face aux risques numériques, afin de réduire la surface d’attaque globale. Car en cybersécurité, l’humain est souvent le maillon faible… mais aussi le plus puissant levier de défense.

Enfin, d’un point de vue plus technique et plus ciblé, mais très préoccupant, est la fraude au support technique. Ce type d’escroquerie, où des cybercriminels se font passer pour des marques technologiques reconnues — y compris Microsoft — afin de piéger les utilisateurs, est particulièrement répandue en France. L’arnaque au faux support technique est la 3e menace pour les particuliers d’après le dernier rapport 2024 de Cybemalveillance.gouv.fr dévoilé le 27 mars 2025.

5 - Que pensez-vous des diverses initiatives de certains des hommes politiques français et européens souhaitant amoindrir le chiffrement des communications sur le territoire français.

Nous n’avons pas d’informations à partager sur ce sujet. 

6 - Il n'y a pas si longtemps, on installait un antivirus et cela semblait suffire. Aujourd'hui, on se retrouve avec des suites composées de gestionnaires de mots de passe, de VPN, de détecteurs de fuites, de contrôle parental... Pourtant, il semble toujours y avoir plus de gens victimes d'arnaques et de cyberattaques. Globalement, sommes-nous vraiment mieux assez armés aujourd'hui face à la diversité des menaces ?

La nature des menaces numériques a profondément évolué. Autrefois, un antivirus suffisait à se prémunir contre la majorité des risques. Aujourd’hui, les attaques sont plus sophistiquées, plus ciblées, et exploitent souvent l’ingénierie sociale pour tromper les utilisateurs. Le phishing, les malwares, les faux supports techniques ou encore les arnaques technologiques se sont amplifiés.

En réponse, les outils de cybersécurité se sont considérablement enrichis. Les suites modernes intègrent désormais des gestionnaires de mots de passe, des VPN, des détecteurs de fuites de données personnelles, des contrôles parentaux, et bien plus encore. Ces outils constituent une véritable boîte à outils de cybersécurité pour les particuliers comme pour les entreprises.

Mais malgré cette sophistication technologique, la vigilance humaine reste un facteur clé. Les attaques les plus réussies jouent souvent sur l’erreur ou la méconnaissance de l’utilisateur. La meilleure protection, c’est donc un bon équilibre entre technologie et culture numérique.

Microsoft illustre bien cette approche avec des outils comme Scareware Blocker, intégré à Microsoft Edge. Ce dispositif analyse les pages web en temps réel pour détecter les arnaques technologiques, notamment celles qui affichent de fausses alertes système dans le but de faire paniquer l’utilisateur.

En somme, nous sommes effectivement mieux armés aujourd’hui… à condition de rester informés, formés, et vigilants.

7 - Pensez-vous qu'aujourd'hui, nous éduquons assez les Français - jeunes et adultes - face aux cybermenaces ? Quels sont les efforts de Microsoft France en la matière ?

La sensibilisation aux cybermenaces est aujourd’hui plus importante que jamais, mais elle reste encore insuffisante à l’échelle nationale. Il y a un vrai besoin de formation continue, aussi bien chez les plus jeunes que chez les adultes, pour comprendre les bonnes pratiques numériques et se prémunir contre les risques.

Microsoft France s’est pleinement engagé sur ce terrain à travers plusieurs initiatives structurantes. En 2022, nous avons lancé le Plan Compétences Cybersécurité, avec pour objectif de former 10 000 nouveaux professionnels de la cybersécurité en France d’ici 2025. Ce plan vise également à démocratiser les bonnes pratiques auprès d’un public plus large, avec des contenus accessibles à tous. Au 28 mars 2025, nous avons dépassé la barre des 13 000 personnes formées.

Nous sommes également membres du collectif Cyber4Tomorrow, qui regroupe plusieurs acteurs publics et privés autour d’un même objectif : promouvoir la sensibilisation et l’éducation en cybersécurité.

Enfin, Microsoft met à disposition une ressource libre de droit pour accompagner les enseignants, les parents et les entreprises dans cette mission de sensibilisation.

8 - Avec les différents dispositifs de double authentification, pour certains, la connexion à un compte en ligne commence à ressembler à un véritable parcours du combattant. Microsoft en parle depuis longtemps déjà : à quand la VRAIE fin du mot de passe ?

La fin du mot de passe n’est plus un simple concept : elle est en cours de réalisation, et Microsoft y travaille activement depuis une décennie. Nous avons déjà intégré de nombreuses technologies d’authentification sans mot de passe, comme Windows Hello for Business, qui permet de se connecter via reconnaissance faciale ou empreinte digitale.

Nous soutenons aussi massivement l’adoption des passkeys, ces nouvelles clés d’authentification plus sûres et plus simples à utiliser que les mots de passe classiques. Ces systèmes permettent une connexion sécurisée sans avoir à retenir — ni à ressaisir — une chaîne complexe de caractères.
Nous venons d'annoncer une refonte de l'expérience d'authentification pour les comptes Microsoft, visant à la rendre plus moderne, simple et sécurisée pour plus d'un milliard d'utilisateurs. 

La nouvelle expérience utilisateur, prévue pour fin avril 2025, est optimisée pour une authentification sans mot de passe, avec une priorité donnée aux passkeys.

Cela dit, la transition vers un monde totalement "passwordless" prendra un temps nécessaire. Elle suppose non seulement une évolution technologique, mais aussi un changement d’habitudes pour les utilisateurs et une adoption large par les services tiers. Mais le cap est clair : Microsoft s’engage pour un futur sans mots de passe, plus fluide et surtout plus sûr.

9 - Bien qu'elle soit assujettie au Cloud Act et donc à lois américaines à portée extra-territoriale, l'entreprise Microsoft a été choisie pour stocker les données de Santé des Français alors que le gouvernement prône une souveraineté. Que pensez-vous de la situation et pensez-vous que la France sera prête à gérer ces données dans trois ans ?

Les solutions de Microsoft, hébergeur de données de santé certifié, ont été sélectionnées en 2018 par le Health Data Hub dans le cadre de marchés publics, gérés par des centrales d'achat publiques, sur la base des caractéristiques et des certifications nécessaires pour le niveau de sécurité requis par le Health Data Hub lui-même. Microsoft était alors le seul fournisseur cloud hyperscale certifié HDS et nous avons mis en place des mécanismes de protection renforcée des données hébergées. Le choix de Microsoft a été confirmé par la CNIL en janvier 2024.

Nous sommes fiers que la plateforme Health Data Hub puisse être déployée sur Azure, car nous pensons que cela a déjà permis et continuera à permettre dans le futur des améliorations significatives pour la santé de tous les Français.

10 - Quels sont les dispositifs de sécurité sur lesquels travaille actuellement Microsoft qui feront partie intégrante de la prochaine version majeure de Windows ?

Microsoft investit activement dans le renforcement de la sécurité de Windows, et plusieurs innovations sont en cours de développement pour les prochaines mises à jour du système.

Parmi les dispositifs majeurs, on peut citer la Windows Resiliency Initiative qui vise à rendre Windows 11 plus résilient, notamment en réponse à l’incident de juillet dernier.

Autre avancée notable : la technologie de hotpatching, qui permet d’appliquer des mises à jour de sécurité sans redémarrage obligatoire. Cela réduit considérablement l’impact sur la productivité des utilisateurs et minimise les interruptions.

Enfin, Microsoft travaille sur une approche dite Adminless, qui permettrait d’utiliser un poste sans disposer de droit administrateur permanent. L’idée est d’ajouter un consentement biométrique via Windows Hello for Business, renforçant ainsi la sécurité tout en maintenant une bonne expérience utilisateur.

Ces fonctionnalités sont actuellement en phase de préversion et sont appelées à intégrer les prochaines versions majeures de Windows.