Jeudi soir, une mise à jour de contenu mal configurée de CrowdStrike a provoqué des pannes généralisées sur les systèmes Microsoft Windows, perturbant de nombreux services essentiels à l’échelle mondiale. L’objectif de CrowdStrike était de mettre à jour le contenu utilisé par leur Falcon Sensor, qui offre une détection des menaces en temps réel et une protection des points d’extrémité en surveillant les activités systèmes pour déceler des comportements suspects afin de contrer les cyber attaques. Cette mise à jour visait à améliorer la détection d’activités malveillantes grâce aux informations sur les menaces recueillies en continu.
« Ce n'était pas une mise à jour de code, mais une mise à jour de contenu. Un seul fichier, qui active une logique supplémentaire d’identification des acteurs malveillants, a été déployé, entraînant des problèmes exclusivement dans l'environnement Microsoft », a expliqué George Kurtz, PDG et fondateur de CrowdStrike, lors d'une interview avec CNBC.
Impact global immédiat
La panne a été d’abord détectée en Australie, où des ordinateurs Windows ont planté, provoquant l’infâme écran bleu de la mort (BSOD). Cette mise à jour défectueuse a entraîné une panne mondiale des systèmes Windows, affectant de nombreux aéroports, compagnies aériennes, banques et entreprises de services dépendant de plateformes Windows. Des centaines de milliers de voyageurs se sont retrouvés bloqués, avec environ 2 600 annulations de vols aux États-Unis et plus de 4 200 au niveau mondial, selon les données de FlightAware citées par le Wall Street Journal.
Les effets secondaires ont également touché la plateforme cloud Microsoft Azure, où des clients ont signalé des problèmes de réponse et d’échec de démarrage impliquant des machines Windows utilisant l’agent Falcon de CrowdStrike. L’état de santé d'Azure a indiqué que la panne continuait d'affecter des machines virtuelles à travers les Amériques, l'Europe, l'Asie-Pacifique, ainsi que le Moyen-Orient et l'Afrique.
Les équipes informatiques s'attendent à un week-end difficile et à un mois exigeant, car de nombreuses configurations cloud nécessiteront des mises à jour spécifiques pour chaque client. Il pourrait être conseillé de reporter des projets substantiels jusqu'à ce que la mauvaise configuration soit corrigée.
Un appel à l’action pour une plus grande résilience cybernétique
La résilience cybernétique est essentielle pour les entreprises, leur permettant d’anticiper, de résister et de se remettre d’adversités, y compris des cyberattaques et des compromissions systèmes. Les responsables de la sécurité de l'information (CISO) doivent faire de la résilience cybernétique une priorité, considérée comme une composante critique des responsabilités de la direction et du conseil d'administration.
« Chaque entreprise rencontre des défis de mise à jour. Aujourd'hui a été une journée difficile pour CrowdStrike, affectant beaucoup d'autres. La nécessité pour les clients de mitiger les problèmes causés par cette mauvaise configuration a prolongé le temps de réponse et de remédiation », a déclaré Merritt Baer, CISO chez Reco.
Le CISO de Trustwave, Kory Daniels, a noté que les conseils d'administration interrogent de plus en plus la nécessité d'un responsable de la résilience, reflétant une tendance plus large vers l'intégration de la résilience cybernétique dans les protocoles de gestion des risques. Les attaques par rançongiciel très médiatisées illustrent les graves conséquences auxquelles les entreprises font face dans des chaînes d'approvisionnement complexes.
Les mauvaises configurations soulignent la nécessité d'une résilience cybernétique solide enracinée dans les opérations d'une entreprise. Comme l'histoire l'a montré, de telles configurations peuvent entraîner des pannes mondiales significatives, une réalité de notre paysage numérique interconnecté et rapide.
« La panne de cette semaine illustre l'impact potentiel d'une cyberattaque sponsorisée par un État sur une nation dépourvue de mesures de cybersécurité adéquates », a souligné Baer. Pour des perspectives sur la résilience cybernétique nationale, vous pouvez consulter l'évaluation annuelle des menaces 2024 de la communauté du renseignement américaine.
Pour construire une résilience cybernétique efficace, les organisations doivent rapidement identifier les problèmes, définir des solutions pouvant être automatisées et maintenir une communication claire avec toutes les parties concernées. Les rapports doivent être précis, accessibles et opportuns, responsabilisant tous les acteurs concernés.
« La réponse rapide de CrowdStrike pour déterminer la cause de la panne et notifier les clients est louable, et la transparence de leur PDG a été appréciée », a commenté Paul Davis, Field CISO chez JFrog. Kurtz continue de fournir des mises à jour sur les réseaux sociaux, promettant de partager une analyse détaillée de la cause de la panne.
Étapes de récupération
CrowdStrike a publié des conseils pour récupérer les systèmes affectés par la panne. Les utilisateurs doivent d'abord démarrer les machines touchées en mode sans échec, car les mises à jour nécessaires du Falcon Sensor se trouvent dans un sous-répertoire du système d’exploitation Windows. Si une machine utilise BitLocker ou un chiffrement complet du disque, la clé de récupération correspondante sera nécessaire.
CrowdStrike recommande les étapes de récupération suivantes : des détails supplémentaires sont disponibles sur le site officiel de CrowdStrike.
La résilience cybernétique comme mesure de confiance
« Les fournisseurs de sécurité doivent reconnaître leur responsabilité dans l’influence des résultats des clients. Je prévois que CrowdStrike adoptera des méthodes de mise à jour plus prudentes à l'avenir », a déclaré Baer. La perturbation en cours affecte d'innombrables vies et paralyse les entreprises, indiquant clairement que la résilience cybernétique doit devenir un élément fondamental de l'expérience client et non simplement une initiative de sécurité.
Gagner et maintenir la confiance des clients repose en grande partie sur la résilience cybernétique d’une entreprise. Cet incident constitue un moment crucial pour les organisations afin d’évaluer leur préparation à relever des défis similaires.
Étant donné les interconnexions complexes au sein des systèmes mondiaux, de futures pannes sont inévitables. Il est essentiel pour toutes les entreprises d'améliorer proactivement leur résilience cybernétique dès maintenant plutôt que d'attendre la prochaine crise.
Classement
