Un an s'est écoulé depuis la panne mondiale de Crowdstrike. Quels changements l'entreprise a-t-elle apportés ?

Il y a un an, une mise à jour défectueuse d'une société de cybersécurité a mis hors service des hôpitaux, des compagnies aériennes, des banques et des administrations dans le monde entier.

Le 19 juillet 2024, Crowdstrike a diffusé une mise à jour de son programme Falcon, utilisé par les ordinateurs Microsoft Windows pour collecter des données sur d'éventuelles nouvelles méthodes de cyberattaque.

Cette opération de routine s'est transformée en "écran bleu de la mort" (BSOD) pour environ 8,5 millions d'utilisateurs de Microsoft, provoquant ce que beaucoup considèrent comme l'une des plus grandes pannes d'Internet de l'histoire.

Les retombées ont entraîné des pertes financières considérables pour les clients de Crowdstrike, estimées à environ 10 milliards de dollars (8,59 milliards d'euros).

"Il n'y a pas eu de véritables signes avant-coureurs d'un incident de cette nature", a déclaré Steve Sands, membre du Chartered Institute for IT (Institut agréé pour les technologies de l'information), à Euronews Next.

"La plupart des organisations qui dépendent de Windows n'auraient rien prévu pour faire face à un tel événement".

Mais qu'a appris Crowdstrike de cette panne et que peuvent faire les autres entreprises pour éviter la prochaine ?

Une surveillance permanente de l'environnement informatique est nécessaire

Un an après Crowdstrike, les pannes survenues dans des banques et chez de "grands fournisseurs de services" semblent indiquer que la communauté de la cybersécurité n'a pas beaucoup changé, selon Eileen Haggerty, vice-présidente chargée des produits et des solutions chez NETSCOUT, une société spécialisée dans la sécurité informatique en nuage.

Depuis le début de l'année, une panne de Cloudflare a entraîné l'arrêt de Google Cloud et de Spotify en juin, des modifications apportées à l'application Authenticator de Microsoft ont provoqué une panne pour des milliers de personnes utilisant Outlook ou Gmail en juillet, et une faille logicielle de SentinelOne a supprimé les réseaux critiques nécessaires au bon fonctionnement de ses programmes.

Selon M. Haggerty, les entreprises doivent disposer d'une visibilité leur permettant de réagir à d'éventuels problèmes logiciels avant qu'ils ne surviennent, grâce à une "surveillance permanente" de leurs réseaux et de l'ensemble de leur environnement informatique.

M. Haggerty suggère que les équipes informatiques effectuent des "tests synthétiques", qui simulent la manière dont un site gérerait le trafic réel avant qu'une fonction critique ne tombe en panne.

Ces tests fourniraient aux entreprises "la prévoyance vitale dont elles ont besoin pour anticiper les problèmes avant même qu'ils n'aient une chance de se matérialiser", a-t-elle ajouté.

Dans un billet de blog, Microsoft explique que la surveillance synthétique n'est pas étanche et n'est pas toujours "représentative de l'expérience de l'utilisateur", parce que les entreprises lancent souvent de nouvelles versions, ce qui peut rendre l'ensemble du système instable.

Le billet de blog ajoute qu'il peut améliorer le temps de réponse pour corriger une erreur une fois qu'elle a été repérée.

Après une panne, M. Haggerty suggère également de constituer un dossier d'information détaillé sur les raisons de l'incident afin de pouvoir anticiper tout problème potentiel avant qu'il ne devienne un problème.

Selon M. Sands, ces rapports devraient inclure des plans de résilience et de reprise, ainsi qu'une évaluation des cas où l'entreprise fait appel à des sociétés externes.

Toute entreprise souhaitant renforcer sa "résilience" devrait le faire le plus tôt possible, car il est difficile de la "boulonner" plus tard, a-t-il ajouté.

"De nombreuses entreprises auront mis à jour leurs plans de réponse aux incidents en fonction de ce qui s'est passé", a déclaré M. Sands.

"Cependant, l'expérience nous montre que beaucoup auront déjà oublié l'impact à relativement court terme et le chaos causé, et n'auront rien fait ou presque.

Nathalie Devillier, experte au Centre européen de compétences en cybernétique de l'UE, a déclaré à Euronews l'année dernière que les fournisseurs européens de cloud et de sécurité informatique devraient être basés sur le même continent.

"Les deux devraient être dans l'espace européen afin de ne pas dépendre de solutions technologiques étrangères qui, comme nous pouvons le voir aujourd'hui, ont des impacts sur nos machines, sur nos serveurs, sur nos données tous les jours ", a-t-elle déclaré à l'époque.

Qu'a fait Crowdstrike après la panne ?

Crowdstrike a indiqué dans un récent billet de blog ( ) qu'il avait mis au point un mode de récupération automatique pour "détecter les boucles de crash et ... faire passer les systèmes en mode sans échec", par lui-même.

Une nouvelle interface permet également aux clients de l'entreprise de disposer d'une plus grande souplesse pour tester les mises à jour des systèmes, par exemple en établissant des calendriers de déploiement différents pour les systèmes de test et l'infrastructure critique, afin que les mises à jour n'aient pas lieu en même temps.

Une fonction d'épinglage de contenu permet également aux clients de verrouiller des versions spécifiques de leur contenu et de choisir quand et comment les mises à jour sont appliquées.

CrowdSource dispose également d'un centre d'opérations numériques qui, selon l'entreprise, lui permettra d'avoir une "meilleure visibilité et une réponse plus rapide" aux millions d'ordinateurs qui utilisent la technologie dans le monde entier.

L'entreprise procède également à des examens réguliers de son code, de ses processus de qualité et de ses procédures opérationnelles.

"Ce n'est pas ce moment qui nous a définis, mais tout ce qui a suivi", a déclaré George Kurtz, PDG de Crowdstrike, dans un message posté sur LinkedIn cette semaine, précisant que l'entreprise est désormais "fondée sur la résilience, la transparence et l'exécution sans relâche".

Bien que Crowdstrike ait apporté certains changements, M. Sands estime qu'il serait "impossible" d'éviter une autre panne de ce niveau, car les ordinateurs et les réseaux "sont par nature très complexes et dépendants les uns des autres".

"Nous pouvons certainement améliorer la résilience de nos systèmes du point de vue de l'architecture et de la conception [...] et nous pouvons mieux nous préparer à détecter, répondre et récupérer nos systèmes lorsque des pannes se produisent", a-t-il déclaré.