En tant que DSI/CISO chevronné et analyste du secteur technologique avec 35 ans d’expérience, j’ai vu pas mal d’incidents de cybersécurité. Cependant, la récente panne de CrowdStrike se distingue par son impact considérable sur de nombreux secteurs. Voici une analyse approfondie de ce qui s’est passé, des répercussions et des leçons que nous pouvons tous tirer de cet incident.
Contexte et réaction initiale
J’ai commencé mon parcours dans l’informatique à la fin des années 80 en écrivant un logiciel appelé PleadPerfect. Au fil des ans, j’ai occupé plusieurs postes : ingénieur, architecte et cadre dans de grandes et de petites entreprises. Au cours des 18 dernières années, j’ai été DSI/RSSI pour des organisations dont le chiffre d’affaires variait entre 8 et 11 chiffres.
Lorsque j’ai entendu parler pour la première fois de la panne liée à CrowdStrike, ma première réaction a été une profonde inquiétude. J’ai observé une minute de silence en hommage aux heures perdues que mes pairs et collègues professionnels de l’informatique ont sacrifiées avec leurs familles pour résoudre un problème qui n’aurait jamais dû se produire. Le manque de bonnes pratiques d’assurance qualité dont fait preuve CrowdStrike est profondément dérangeant. Ils auraient dû détecter ce problème lors des tests avant de le rendre public. Le fait qu’il ait affecté tous les systèmes d’exploitation Windows depuis 2008 est inexcusable.
Comprendre l’incident
Le logiciel Falcon de CrowdStrike est installé au cœur du système d’exploitation, ce qui lui permet de protéger les machines de manière aussi efficace. Cependant, cette intégration étroite entraîne également des problèmes importants lorsque les mises à jour ne sont pas correctement testées. La mise à jour défectueuse a conduit à de nombreux cas d’« écran bleu de la mort » (BSOD), provoquant le blocage des machines et l’absence de récupération automatique. Le processus de récupération impliquait le démarrage des machines en mode sans échec et la suppression d’un fichier CrowdStrike, une tâche compliquée par l’impossibilité d’entrer à distance en mode sans échec sur chaque appareil/système d’exploitation. De plus, les meilleures pratiques imposent de sécuriser le lecteur de démarrage avec BitLocker, qui nécessite une clé pour déverrouiller et entrer en mode sans échec. Ces clés sont souvent stockées dans des systèmes également affectés par cette faille, ce qui augmente considérablement les efforts et le temps nécessaires à la récupération.
De tels incidents ne sont pas rares dans le secteur de la cybersécurité, mais celui-ci est particulièrement dommageable car il résulte d’un problème d’assurance qualité et de test, et non d’une faille de cybersécurité. L’intégration étroite entre Falcon et le système d’exploitation a rendu les dégâts beaucoup plus étendus et le processus de récupération beaucoup plus onéreux.
Impact sur les entreprises et les services
Tous les secteurs et industries ont été touchés, mais les secteurs des infrastructures critiques ont été les plus touchés. Les transports (compagnies aériennes), les services bancaires et financiers et les soins de santé (hôpitaux et services d’urgence) présentent le plus grand risque pour les économies mondiales en cas de perturbation. Les trois plus grandes compagnies aériennes américaines, ainsi que celles du monde entier, ont dû interrompre leurs vols et ont connu des problèmes de communication. Les banques de nombreux pays ont été fermées et les réseaux hospitaliers ont été confrontés à d’importantes perturbations.
Réponse et résolution
La réponse de CrowdStrike à l’incident a été rapide, mais je ne sais pas ce qu’ils peuvent faire de plus à ce stade. Je n’ai pas eu l’impression que les excuses de George Kurtz (le PDG) étaient « sincères » et qu’il prenait suffisamment la responsabilité de l’incident. Ce n’est la faute de personne d’autre que de CrowdStrike. Bien qu’ils se soient engagés à aider toutes les personnes touchées, ils ont 24 000 clients, qui sont tous touchés, et ils ne peuvent donc pas accorder à chacun l’attention dont ils ont besoin. Des milliards de dollars de dommages sont causés à ces entreprises par cette panne.
Leçons apprises
Les principaux enseignements de cet incident sont clairs : soyez prudent lorsque vous accordez votre confiance à d’autres entreprises et partenaires. Assurez-vous que vos contrats vous permettent de demander des dommages et intérêts, car cela peut être le seul recours dans de telles situations. Ayez un plan de reprise après sinistre complet et testez-le régulièrement. Le nombre d’entreprises qui doivent reconstruire leur infrastructure de sauvegarde simplement pour restaurer les systèmes parce qu’elles ne peuvent pas accéder à leurs clés BitLocker (ou ne les ont pas) est bien trop élevé.
Pour mieux vous préparer et prévenir des problèmes similaires, développez et testez minutieusement vos plans de récupération. Envisagez d’utiliser un ensemble d’outils de sécurité complètement différent pour la sauvegarde et la récupération afin d’éviter des vecteurs d’attaque similaires. Considérez l’infrastructure de sauvegarde et de récupération comme une fonction commerciale critique et renforcez-la autant que possible.
L’avenir de la cybersécurité
Le temps nous dira dans quelle mesure cet incident influencera les pratiques et les politiques futures en matière de cybersécurité. Entre les problèmes de SolarWinds et de CrowdStrike, qui sont tous deux des manquements aux bonnes pratiques des entreprises elles-mêmes, quelque chose doit changer.
Les technologies émergentes comme l’intelligence artificielle et l’apprentissage automatique pourraient aider à prévoir et à prévenir des problèmes similaires en identifiant les vulnérabilités potentielles avant qu’elles ne deviennent problématiques. Cependant, la véritable solution pourrait résider dans la refonte des processus et éventuellement dans le fait de faire auditer et certifier les pratiques des entreprises technologiques par des organismes indépendants.
Réflexions personnelles
En tant que personne profondément impliquée dans l’industrie technologique, je me tiens au courant des dernières tendances et menaces en matière de cybersécurité en lisant beaucoup, en suivant les développements de l’industrie, en consommant du contenu pertinent, en discutant avec des pairs et en sortant de mon silo pour partager et apprendre des autres.
Mon conseil aux DSI et aux RSSI est simple : anticipez le pire et testez-le. Si vous ne vous préparez pas à ce genre d’incidents, vous vous retrouverez dans la pire position possible lorsque le conseil d’administration vous demandera votre avis.
Dernières pensées
La récente panne de CrowdStrike a été un signal d’alarme pour de nombreux acteurs du secteur technologique. Elle a mis en évidence les vulnérabilités inhérentes à notre monde interconnecté et a souligné la nécessité de mesures de cybersécurité robustes. En tirant les leçons de cet incident et en mettant en œuvre les leçons décrites ci-dessus, nous pourrons mieux nous préparer et prévenir des problèmes similaires à l’avenir.
Restez vigilants, préparés et continuons à renforcer nos défenses contre le paysage en constante évolution des menaces de cybersécurité.
2024-07-19 20:26:53
1721895591
#Comment #surmonter #panne #CrowdStrike #les #réflexions #dun #vétéran #secteur #technologique
