Microsoft a récemment été critiqué pour son approche consistant à monétiser les services de sécurité, malgré les difficultés rencontrées par l’entreprise face aux vulnérabilités et aux violations de données. La société a été accusée de donner la priorité aux revenus plutôt qu’à la sécurité des utilisateurs en facturant des frais supplémentaires pour les fonctionnalités de sécurité essentielles. Un rapport récent de Directions sur Microsoft a mis les prix des titres de l’entreprise sous les projecteurs.
Le coût de la sécurité
Les entreprises expriment leur frustration de devoir acheter des modules complémentaires de sécurité indispensables en plus de leurs abonnements existants. L’accès aux outils de sécurité de base nécessite un abonnement Microsoft 365 E5 ou une amélioration d’un abonnement E3 avec des modules complémentaires de conformité. Pour obtenir une boîte à outils complète de sécurité et de conformité, certains optent pour l’abonnement Microsoft 365 E5, au prix de 57 $ USD par utilisateur et par mois. Ce package englobe non seulement toutes les fonctionnalités du niveau E3, mais ajoute également la plupart des services de sécurité avancés de Microsoft.
Cependant, cette approche peut être d’un coût prohibitif, en particulier pour les grandes organisations. Comme alternative, les entreprises ont essayé de combiner diverses options de sécurité et de conformité à la carte avec les forfaits Microsoft 365 E3 ou Office 365 E3 plus abordables. Cette stratégie est devenue moins viable en raison des augmentations de prix sur presque toutes les suites Office 365 et Microsoft 365 en 2022, faisant de l’abonnement E5 la solution la plus rentable malgré son coût élevé.
Ajustements incrémentiels et défis continus de Microsoft
À la suite d’importants cyberincidents et de l’examen public qui en a résulté, Microsoft a fait des concessions mineures concernant ses offres de sécurité. Notamment, après l’attaque de Midnight Blizzard en 2023, qui exploitait les protocoles OAuth, et le piratage de courrier électronique Storm-0558 affectant Microsoft et plusieurs de ses principaux clients gouvernementaux, la société a été critiquée pour sa vente incitative de fonctionnalités de sécurité. En réponse, Microsoft s’est engagé à rendre les informations de journalisation plus accessibles, en étendant la journalisation d’audit pour Purview Audit (Standard) à 180 jours par rapport aux 90 jours précédents en octobre 2023. Cet ajustement permet aux clients disposant d’abonnements Microsoft 365 E3 ou inférieurs de bénéficier d’une période prolongée. pour analyser les journaux à la recherche de menaces de sécurité. Toutefois, pour une période de rétention plus longue, les organisations doivent toujours acheter des services premium supplémentaires.
Les clients appellent au changement
Les analystes du secteur et les clients sont plaidant pour une approche plus inclusive de la sécurité dans les modèles d’abonnement de Microsoft. Wes Miller, analyste chez Directions on Microsoft, souligne la nécessité pour les organisations de sécuriser leurs opérations sans être confrontées à des coûts croissants pour des services de sécurité de premier plan, qui sont de plus en plus hors de portée. Il existe un consensus croissant selon lequel Microsoft devrait intégrer davantage de ses produits de sécurité dans les abonnements standard, même si cette décision pourrait potentiellement avoir un impact sur les revenus liés à la sécurité de l’entreprise et attirer l’attention des régulateurs antitrust.
La question reste de savoir si Microsoft intégrera davantage les fonctionnalités de sécurité de base dans ses modèles plus larges d’abonnement au cloud afin d’atténuer l’impact des cyberattaques et d’améliorer la perception du public. La semaine dernière, AJ Grotto, ancien directeur principal de la cyberpolitique de la Maison Blanche, a exprimé ses inquiétudes, suggérant que la domination de Microsoft dans le secteur pose un problème national. risque de sécurité. Les commentaires de Grotto dans The Register font suite à plusieurs failles de sécurité très médiatisées, notamment des incidents impliquant SolarWinds. et l’accès non autorisé par des entités étrangères aux e-mails du gouvernement américain via les plates-formes Microsoft.
Par exemple, lors de l’attaque SolarWinds, Microsoft ne disposait pas par défaut de fonctionnalités de journalisation essentielles. Il était donc difficile pour le gouvernement d’identifier les vulnérabilités de ses systèmes. Même si Microsoft gagne beaucoup grâce aux services de sécurité (environ 20 milliards de dollars l’année dernière), ils ont résisté à tout changement sans pression. Grotto affirme que cela montre la domination de Microsoft sur le gouvernement fédéral et sa volonté de donner la priorité aux profits.
