Le comité d'examen de la cybersécurité, après analyse de la situation, conclut que l'attaque aurait pu être évitée et que le géant de la tech a négligé les investissements dans la sécurisation de l'entreprise et la gestion des risques. Cette négligence est jugée inacceptable compte tenu du rôle central de l'entreprise dans l'écosystème technologique mondial.

Dans ce rapport, le comité explique que les produits Microsoft sous-tendent des services essentiels tels que la sécurité nationale, la santé, ou encore les fondements de leur économie. Les experts ont donc fortement recommandé à l’entreprise de geler les développements de nouveaux services dans le cloud en attendant que des améliorations soient apportées à leur sécurité.

Microsoft déclare qu'un plan assorti d'échéances précises pour procéder à des réformes fondamentales axées sur la sécurité est en train d'être mis en place.

Se renforcer contre les attaques

Selon Euronews, le rapport indique que les pirates ont pu accéder pendant six semaines aux emails de certaines entreprises et ont téléchargé environ 60 000 courriels. Microsoft déclare qu'elle apprécie l'enquête de la commission et ne prend pas ces résultats à la légère.

Cependant, la commission, créée par un décret américain en 2021, a également accusé Microsoft d'avoir fait des déclarations inexactes au sujet de l'incident, notamment en affirmant qu'elle avait déterminé la cause de l'intrusion "alors qu'en fait, elle ne l'a toujours pas fait".

Ce rapport indique que les attaques auraient pu être évitées et qu'il s'agit d'une série d'erreurs de sécurité de la part de l'entreprise.