Technologies

Grand Thï¿½ma rï¿½silience : les leï¿½ons de Crowdstrike, 9 mois aprï¿½s

ï¿½ Les mauvaises pratiques quï¿½on combat dans les entreprises, comme lï¿½application de mises ï¿½ jour en production, cï¿½est prï¿½cisï¿½ment ce qui a ï¿½tï¿½ fait par cet ï¿½diteur ï¿½, souligne Alain Bouillï¿½.

En juillet 2024, une mise ï¿½ jour dï¿½fectueuse du logiciel Crowdstrike a mis hors service plusieurs millions d'ordinateurs Windows dans le monde, causant des milliards d'euros de dommages. Alain Bouillï¿½, dï¿½lï¿½guï¿½ gï¿½nï¿½ral du Cesin, dresse un bilan de cette panne d'une ampleur rarissime et en dï¿½taille les enseignements pour les RSSI et DSI.

Publicitï¿½En juillet 2024, une mise ï¿½ jour dï¿½fectueuse du logiciel de cybersï¿½curitï¿½ Crowdstrike a mis hors service 8,5 millions d'ordinateurs sous Windows, causant des milliards de dommages. Le coï¿½t total a ï¿½tï¿½ estimï¿½ ï¿½ 5,4 milliards de dollars pour les seules entreprises du classement Fortune 500, selon une analyse de l'assureur Parametrix. Le total des dommages pourrait donc atteindre des dizaines de milliards.

Dans le cadre de notre ï¿½mission sur la rï¿½silience, nous avons donc voulu revenir sur cette panne d'une ampleur exceptionnelle avec Alain Bouillï¿½, le dï¿½lï¿½guï¿½ gï¿½nï¿½ral du Cesin (Club des experts de la sï¿½curitï¿½ de l'information et du numï¿½rique), rï¿½unissant des responsables de la cybersï¿½curitï¿½ et comptant 1200 membres.

Oï¿½ est le plan B ?

ï¿½ On parle beaucoup de rï¿½silience - une notion dont nous sommes abreuvï¿½s par la rï¿½glementation -, or lï¿½, on a bien vu qu'il n'y avait aucun plan B ï¿½, lance-t-il d'emblï¿½e. Selon lui, la panne de Crowdstrike ï¿½ a mis en exergue un ï¿½vï¿½nement qui peut se produire ï¿½ peu prï¿½s n'importe quand : un gros fournisseur de services, comme Microsoft, peut ï¿½tre mis ï¿½ mal par une mise ï¿½ jour malheureuse, une panne, voire une injonction politique. ï¿½ Or, selon Alain Bouillï¿½, ce risque ne peut aujourd'hui ï¿½tre couvert par les RSSI ou DSI, qui sont tributaires des situations de monopole ou de trï¿½s forte domination de certains acteurs sur certains pans des systï¿½mes d'information. ï¿½ Penser qu'un fournisseur qui ï¿½quipe 80% du parc mondial soit ï¿½ la merci d'une pauvre mise ï¿½ jour, ï¿½a fait quand mï¿½me rï¿½flï¿½chir sur la soliditï¿½ de l'ï¿½difice ï¿½, souligne Alain Bouillï¿½.

Visionnez l'interview d'Alain Bouillï¿½ (vidï¿½o 14 min.)

Pour le dï¿½lï¿½guï¿½ gï¿½nï¿½ral du Cesin, le mï¿½canisme de la panne a aussi mis en exergue la lï¿½gï¿½retï¿½ des processus de mises ï¿½ jour chez Crowdstrike. Ce que l'ï¿½diteur a d'ailleurs reconnu en creux, puisqu'il les a amendï¿½s depuis (notamment via des dï¿½ploiements graduels). ï¿½ Les mauvaises pratiques qu'on combat dans les entreprises, comme l'application de mises ï¿½ jour en production sans rï¿½ellement en tester les consï¿½quences, c'est prï¿½cisï¿½ment ce qui a ï¿½tï¿½ fait par cet ï¿½diteur ï¿½, raille Alain Bouillï¿½. ï¿½ Il s'agit d'un EDR, un outil qui doit dï¿½tecter de la maniï¿½re la plus efficace possible et le plus rapidement possible [des menaces], comparï¿½ ï¿½ ses concurrents - et il y en a ! Des risques ont ï¿½tï¿½ pris pour garder ce niveau d'efficacitï¿½ ï¿½, regrette-t-il.

Vive le Cyber Resilience Act

Plus globalement, pour Alain Bouillï¿½, cette panne massive souligne aussi l'absence de responsabilisation des ï¿½diteurs et constructeurs. ï¿½ Nous sommes dans une industrie qui n'est absolument pas protï¿½gï¿½e d'un point de vue qualitï¿½ et sï¿½curitï¿½. Vous achetez n'importe quel produit en supermarchï¿½, vous avez 50 labels de qualitï¿½. Vous regardez vos packages de logiciels, il n'y a aucune espï¿½ce d'engagement de la part des ï¿½diteurs sur la qualitï¿½ intrinsï¿½que de ce qu'ils vous vendent ï¿½, dï¿½plore le dï¿½lï¿½guï¿½ gï¿½nï¿½ral du club de RSSI.

Publicitï¿½Et ce dernier de rï¿½clamer un label montrant les efforts des ï¿½diteurs en la matiï¿½re, via des audits, des tests d'intrusion, des bug bounty, etc. ï¿½ Le Cyber Resilience Act (CRA) pourrait ï¿½tre la bouï¿½e de sauvetage autour de ces questions contractuelles, pour qu'enfin, ï¿½ tout le moins, on puisse avoir un engagement de la part de l'ï¿½diteur. ï¿½ Le texte europï¿½en, officiellement adoptï¿½ en octobre dernier et qui doit entrer en application en dï¿½cembre 2027, permettant, selon Alain Bouillï¿½, de donner un minimum de garanties aux clients des ï¿½diteurs, via une liste de critï¿½res spï¿½cifiques auxquels devront rï¿½pondre les produits ayant des composantes numï¿½riques.

Visionnez l'interview d'Alain Bouillï¿½ (vidï¿½o 14 min.)