Technologies

Grand Théma résilience : les leçons de Crowdstrike, 9 mois après

« Les mauvaises pratiques qu’on combat dans les entreprises, comme l’application de mises à jour en production, c’est précisément ce qui a été fait par cet éditeur », souligne Alain Bouillé.

En juillet 2024, une mise à jour défectueuse du logiciel Crowdstrike a mis hors service plusieurs millions d'ordinateurs Windows dans le monde, causant des milliards d'euros de dommages. Alain Bouillé, délégué général du Cesin, dresse un bilan de cette panne d'une ampleur rarissime et en détaille les enseignements pour les RSSI et DSI.

PublicitéEn juillet 2024, une mise à jour défectueuse du logiciel de cybersécurité Crowdstrike a mis hors service 8,5 millions d'ordinateurs sous Windows, causant des milliards de dommages. Le coût total a été estimé à 5,4 milliards de dollars pour les seules entreprises du classement Fortune 500, selon une analyse de l'assureur Parametrix. Le total des dommages pourrait donc atteindre des dizaines de milliards.

Dans le cadre de notre émission sur la résilience, nous avons donc voulu revenir sur cette panne d'une ampleur exceptionnelle avec Alain Bouillé, le délégué général du Cesin (Club des experts de la sécurité de l'information et du numérique), réunissant des responsables de la cybersécurité et comptant 1200 membres.

Où est le plan B ?

« On parle beaucoup de résilience - une notion dont nous sommes abreuvés par la réglementation -, or là, on a bien vu qu'il n'y avait aucun plan B », lance-t-il d'emblée. Selon lui, la panne de Crowdstrike « a mis en exergue un événement qui peut se produire à peu près n'importe quand : un gros fournisseur de services, comme Microsoft, peut être mis à mal par une mise à jour malheureuse, une panne, voire une injonction politique. » Or, selon Alain Bouillé, ce risque ne peut aujourd'hui être couvert par les RSSI ou DSI, qui sont tributaires des situations de monopole ou de très forte domination de certains acteurs sur certains pans des systèmes d'information. « Penser qu'un fournisseur qui équipe 80% du parc mondial soit à la merci d'une pauvre mise à jour, ça fait quand même réfléchir sur la solidité de l'édifice », souligne Alain Bouillé.

Visionnez l'interview d'Alain Bouillé (vidéo 14 min.)

Pour le délégué général du Cesin, le mécanisme de la panne a aussi mis en exergue la légèreté des processus de mises à jour chez Crowdstrike. Ce que l'éditeur a d'ailleurs reconnu en creux, puisqu'il les a amendés depuis (notamment via des déploiements graduels). « Les mauvaises pratiques qu'on combat dans les entreprises, comme l'application de mises à jour en production sans réellement en tester les conséquences, c'est précisément ce qui a été fait par cet éditeur », raille Alain Bouillé. « Il s'agit d'un EDR, un outil qui doit détecter de la manière la plus efficace possible et le plus rapidement possible [des menaces], comparé à ses concurrents - et il y en a ! Des risques ont été pris pour garder ce niveau d'efficacité », regrette-t-il.

Vive le Cyber Resilience Act

Plus globalement, pour Alain Bouillé, cette panne massive souligne aussi l'absence de responsabilisation des éditeurs et constructeurs. « Nous sommes dans une industrie qui n'est absolument pas protégée d'un point de vue qualité et sécurité. Vous achetez n'importe quel produit en supermarché, vous avez 50 labels de qualité. Vous regardez vos packages de logiciels, il n'y a aucune espèce d'engagement de la part des éditeurs sur la qualité intrinsèque de ce qu'ils vous vendent », déplore le délégué général du club de RSSI.

PublicitéEt ce dernier de réclamer un label montrant les efforts des éditeurs en la matière, via des audits, des tests d'intrusion, des bug bounty, etc. « Le Cyber Resilience Act (CRA) pourrait être la bouée de sauvetage autour de ces questions contractuelles, pour qu'enfin, à tout le moins, on puisse avoir un engagement de la part de l'éditeur. » Le texte européen, officiellement adopté en octobre dernier et qui doit entrer en application en décembre 2027, permettant, selon Alain Bouillé, de donner un minimum de garanties aux clients des éditeurs, via une liste de critères spécifiques auxquels devront répondre les produits ayant des composantes numériques.

Visionnez l'interview d'Alain Bouillé (vidéo 14 min.)