CrowdStrike : des anciens employés révèlent que « le contrôle qualité ne faisait pas partie de notre processus »

Les conséquences désastreuses sur la cybersécurité lorsque la rapidité prime sur la qualité

CrowdStrike, une entreprise de cybersécurité reconnue pour ses solutions innovantes, fait face à des critiques sévères de la part de ses anciens employés. Ces derniers affirment que le contrôle qualité n’était pas une priorité au sein de l’entreprise, ce qui a conduit à des problèmes techniques majeurs et à une perte de confiance de la part des clients.

Des témoignages accablants

Les ingénieurs logiciels de l'entreprise de cybersécurité CrowdStrike se sont plaints de délais trop courts, de charges de travail excessives et de problèmes techniques croissants auprès de leurs supérieurs pendant plus d'un an, avant qu'une panne catastrophique de son logiciel ne paralyse les compagnies aériennes et ne mette hors service les services bancaires et autres pendant des heures.

« La vitesse était la chose la plus importante », a déclaré Jeff Gardner, concepteur principal de l'expérience utilisateur chez CrowdStrike, qui a déclaré avoir été licencié en janvier 2023 après avoir travaillé deux ans dans l'entreprise. « Le contrôle de la qualité ne faisait pas vraiment partie de notre processus ou de nos conversations ».

Les problèmes ont été soulevés lors de réunions, dans des courriels et lors d'entretiens de fin d'emploi, ont expliqué d'anciens employés aux médias. 24 anciens ingénieurs en informatique, de cadres et d'autres membres du personnel ont décrit un lieu de travail où les dirigeants privilégiaient la rapidité au détriment de la qualité, où les travailleurs n'étaient pas toujours suffisamment formés et où les erreurs de codage et d'autres tâches se multipliaient. Un ancien cadre supérieur a déclaré avoir assisté à de nombreuses réunions au cours desquelles le personnel avertissait les dirigeants de l'entreprise que CrowdStrike « laisserait tomber » ses clients en mettant sur le marché des produits qui ne pourraient pas être pris en charge.

Sur les 24 anciens employés qui ont parlé à Semafor, 10 ont déclaré avoir été licenciés ou renvoyés et 14 ont dit être partis de leur propre chef. L'un d'entre eux travaillait encore dans l'entreprise cet été. Trois anciens employés ne sont pas d'accord avec les récits des autres. Joey Victorino, qui a passé un an dans l'entreprise avant de la quitter en 2023, a déclaré que CrowdStrike était « méticuleux dans tout ce qu'il faisait ».


Conséquences désastreuses

En juillet 2024, une mise à jour logicielle défectueuse a provoqué l’une des plus grandes pannes informatiques de l’histoire, mettant hors service 8,5 millions d'ordinateurs et coûtant aux entreprises du classement Fortune 500 pas moins de 5,4 milliards de dollars de dommages. Les voyageurs ont été bloqués dans les aéroports, les clients ont été privés de leurs comptes bancaires en ligne et les centres d'appel d'urgence ont été mis hors ligne.

L'incident a coûté à CrowdStrike environ 60 millions de dollars en contrats qu'elle avait prévu de conclure au cours du trimestre fiscal qui s'est achevé le 31 juillet, a déclaré le directeur financier Burt Podbere aux analystes lors de la conférence téléphonique sur les résultats du 28 août, au cours de laquelle la société a revu à la baisse ses prévisions de recettes et de bénéfices pour le reste de l'année. Adam Meyers, premier vice-président des opérations de lutte contre les adversaires, témoignera devant le Congrès à la fin du mois.

« Je ne perdrai jamais de vue l'ampleur de l'incident du 19 juillet et je m'engage à faire en sorte que cela ne se reproduise jamais », a déclaré le PDG George Kurtz aux analystes lors de la conférence téléphonique. « Au-delà des excuses, je veux que nos actions soient encore plus éloquentes que nos paroles. Nous nous efforçons de récupérer les clients rapidement, quel que soit l'endroit ou le besoin ».

En clair, cette panne a coûté des milliards de dollars en dommages et a gravement terni la réputation de CrowdStrike. Les clients, autrefois fidèles, ont commencé à remettre en question la fiabilité des produits de l’entreprise.


Réactions de l’entreprise

Face à ces accusations, CrowdStrike a réagi en déclarant que les informations provenaient « d'anciens employés mécontents, dont certains ont été licenciés pour des violations évidentes de la politique de l'entreprise ». L'entreprise a déclaré : « CrowdStrike s'engage à garantir la résilience de ses produits par des tests rigoureux et un contrôle de qualité, et rejette catégoriquement toute affirmation contraire ».

Fondée en 2011, CrowdStrike s'est rapidement hissée au rang de leader du secteur de la cybersécurité avec le lancement en 2013 de son antivirus Falcon. Elle est entrée en bourse en 2019, donnant le coup d'envoi d'une croissance massive, ajoutant des milliers de travailleurs et augmentant ses revenus de plus de mille pour cent à la fin de l'année fiscale 2024.

Cependant, la gravité de la panne de juillet a mis en lumière des failles importantes dans leurs processus internes. L’entreprise a depuis annoncé des mesures pour renforcer ses protocoles de contrôle qualité, mais la confiance des clients reste ébranlée.

Notons que, suite à cette panne, CrowdStrike a déclaré : « En raison d'un bogue dans le validateur de contenu, l'une des deux instances de modèle a été validée alors qu'elle contenait des données problématiques », faisant référence à la défaillance d'un mécanisme interne de contrôle de la qualité qui a permis aux données problématiques de passer à travers les propres contrôles de sécurité de l'entreprise.

Les anciens employés qui se sont entretenus avec Semafor ont décrit une série de problèmes qui ont précédé de longue date la panne de l'entreprise. Il n'a pas été établi que ces problèmes étaient liés à l'incident de juillet.

Certains anciens employés ont déclaré que les contrôles de qualité des logiciels étaient parfois bâclés pour que les produits soient lancés rapidement

« Il était parfois difficile de faire en sorte que les gens fassent suffisamment de tests », a déclaré Preston Sego, qui a travaillé chez CrowdStrike de 2019 à 2023. Son travail consistait à examiner les tests réalisés par les développeurs de l'expérience utilisateur qui alertaient les ingénieurs sur les bogues avant que les changements de codage proposés ne soient communiqués aux clients. Sego a déclaré avoir été licencié en février 2023 en tant que « menace d'initié » après avoir critiqué la politique de retour au travail de l'entreprise sur un canal Slack interne. C'est ainsi que l'entreprise désigne les employés qui présentent des risques pour la sécurité. CrowdStrike a refusé de commenter, déclarant qu'elle ne « discute pas des questions de personnel individuel ».

Il y a eu d'autres problèmes. Lors d'un incident survenu dans le département des services professionnels, un ancien employé a décrit comment les informations privées d'un client avaient été accidentellement téléchargées dans le dossier du mauvais client à trois reprises, évitant de justesse de partager des données privées avec le mauvais client à chaque fois. CrowdStrike a confirmé les incidents et a déclaré qu'ils s'étaient produits en raison d'une « erreur de saisie manuelle des données ». Il s'agissait d'informations de base telles que les noms d'hôte, les adresses IP et les noms de domaine, et des contrôles sont désormais effectués pour s'assurer que les données privées des clients ne sont pas envoyées au mauvais client.

Plusieurs personnes ont également cité des problèmes avec le service Falcon LogScale de CrowdStrike, qui découvre les problèmes de sécurité et de fiabilité dans les systèmes d'un client. L'une d'entre elles a rappelé au moins deux cas où de mauvaises mises à jour de LogScale ont brièvement désactivé ses alertes en temps réel qui avertissent les clients d'activités potentiellement malveillantes, ce que certains des ingénieurs qui ont élaboré les mises à jour ont reproché lors de réunions internes tenues dans des délais serrés. CrowdStrike a nié ces cas, affirmant qu'elle n'a pas connaissance d'une « mauvaise mise à jour » où les alertes ont été perdues et n'ont pas été reçues par les clients. L'entreprise a également déclaré que le service n'était pas conçu pour alerter les clients de violations potentielles de données en « temps réel ». Il est plutôt conçu pour « éliminer rapidement les menaces grâce à une détection en temps réel et à une recherche ultra-rapide », selon le site Web de l'entreprise.

Les ingénieurs n'ont disposé que de deux mois pour effectuer un travail qui aurait normalement pris un an

Un autre ex-employé a déclaré que CrowdStrike avait précipité le lancement en 2022 de son service de chasse aux menaces sur le cloud, appelé Falcon OverWatch Cloud Threat Hunting, dans le cadre duquel les professionnels de la sécurité de l'entreprise recherchent des comportements suspects qui pourraient indiquer une violation sur les installations cloud des clients, telles qu'Amazon Web Services. Les ingénieurs et les chasseurs de menaces n'ont disposé que de deux mois pour effectuer un travail qui aurait normalement pris un an, selon un ancien cadre supérieur qui a travaillé sur le projet. Lorsque le service a été lancé, il ne disposait pas des outils internes utilisés par les chasseurs de menaces pour surveiller de près les systèmes en nuage des clients ; les employés ont fini par répondre aux alertes des systèmes de sécurité existants au moins jusqu'à l'été dernier, soit environ une année entière après le lancement du service.

L'ancien cadre supérieur a déclaré que CrowdStrike a également utilisé du personnel qui avait été formé pour surveiller les systèmes informatiques des clients - comme les ordinateurs portables et les ordinateurs de bureau - et leur a demandé de rechercher des menaces dans les installations cloud sans exiger de nouvelle formation.

« AWS est une bête, et il faut un personnel très spécial pour pouvoir le faire », a-t-il déclaré. CrowdStrike « a pris des gens qui étaient comme des flics, cherchant des menaces au sol toute la journée, et leur a demandé de piloter un avion et de chercher des menaces dans le ciel ».

CrowdStrike a confirmé qu'il avait utilisé des ingénieurs existants au lieu d'embaucher une nouvelle équipe de « chasseurs de menaces dans le cloud ». Il s'agissait d'un nouveau service, a expliqué l'entreprise, « il n'y avait pas de “chasseurs de menaces dans le cloud” expérimentés, et il n'aurait pas été possible d'embaucher des personnes ayant une formation spécifique dans un domaine qui n'existait pas avant que CrowdStrike ne le développe ». Et pourtant, le SANS Institute donne des cours et des conférences sur la sécurité du cloud depuis au moins 2020, soit plus de deux ans avant le lancement du service de CrowdStrike.

« Toute déclaration impliquant que les employés de CrowdStrike n'ont pas été formés pour faire leur travail est fausse », a déclaré CrowdStrike. L'entreprise a confirmé qu'elle n'imposait pas de nouvelles formations, mais qu'elle les offrait à tous ceux qui le souhaitaient. « Les employés suivent régulièrement des formations adaptées à leur poste ».

L’importance du contrôle qualité

L’affaire CrowdStrike souligne l’importance cruciale du contrôle qualité dans le développement de logiciels, en particulier dans le domaine de la cybersécurité. Les entreprises doivent trouver un équilibre entre rapidité et qualité pour éviter des catastrophes similaires à l’avenir. Le contrôle qualité ne doit pas être perçu comme un obstacle à l’innovation, mais comme une garantie de la fiabilité et de la sécurité des produits.

Sources : Semafor, CrowdStrike

Et vous ?

Quels mécanismes de contrôle qualité pensez-vous que les entreprises de cybersécurité devraient mettre en place pour éviter des incidents similaires ?
Comment les entreprises peuvent-elles équilibrer la pression pour innover rapidement avec la nécessité de garantir des produits de haute qualité ?
Selon vous, quelles sont les responsabilités des entreprises de cybersécurité lorsqu’elles découvrent des failles dans leurs produits ?
Comment les clients peuvent-ils se protéger contre les risques potentiels liés aux mises à jour logicielles défectueuses ?
Pensez-vous que les régulateurs devraient imposer des normes de contrôle qualité plus strictes aux entreprises de cybersécurité ? Pourquoi ou pourquoi pas ?
Quels sont les impacts à long terme sur la réputation d’une entreprise après une panne informatique majeure ?
Comment les entreprises peuvent-elles regagner la confiance des clients après un incident de cette ampleur ?