En juillet dernier, une panne majeure a frappé les clients de CrowdStrike, un spécialiste en cybersécurité. Des écrans bleus de la mort ont perturbé le fonctionnement normal de plus de 8,5 millions de machines Windows, affichant le message : “Recovery: It looks like Windows didn’t load correctly.” Des pannes ont été signalées dans le monde entier, touchant de nombreux secteurs d’activité. Cet incident a eu des répercussions significatives, notamment en Allemagne, où une étude récente de l’Office fédéral de la sécurité des technologies de l’information (BSI) révèle que 1 organisation sur 10 envisage de changer de fournisseur de sécurité.Selon une étude de l'Office fédéral allemand de la sécurité de l'information (BSI), la panne a causé des interruptions de service pour de nombreuses entreprises, avec près de 48 % des organisations touchées ayant dû suspendre temporairement leurs opérations. Cette interruption a duré en moyenne dix heures, affectant non seulement la continuité des affaires mais aussi la collaboration avec les clients. Environ 40 % des entreprises ont signalé des dommages dans leurs relations avec les clients
Face à cette situation, 4 % des organisations ont déjà abandonné leurs solutions actuelles, et 6 % supplémentaires prévoient de le faire prochainement. Il n'a pas été précisé si cela concernait spécifiquement le produit Falcon de CrowdStrike ou s'il s'agissait d'une réaction spontanée à l'égard des fournisseurs de solutions de sécurité en général. De plus, 20 % des entreprises envisagent de revoir leurs critères de sélection pour les fournisseurs de sécurité
Ce fiasco ne semble toutefois pas avoir beaucoup nui à l'entreprise, du moins pas pour l'instant.
Ces conclusions sont tirées d'un rapport publié par la BSI et portant sur l'expérience de 311 organisations allemandes touchées par la crise. Parmi les organisations touchées d'une manière ou d'une autre, la plupart ont déclaré avoir entendu parler des problèmes par les médias sociaux (23 %) plutôt que par CrowdStrike lui-même (22 %).
Outre les conséquences évidentes sur la continuité des activités, cette situation a également entraîné divers problèmes avec les clients
40 % des répondants ont déclaré que leur collaboration avec les clients avait été compromise parce qu'ils ne pouvaient pas fournir leurs services habituels, tandis que plus d'une organisation sur dix n'a même pas voulu aborder le sujet.
La majorité des personnes interrogées (66 %) ont déclaré qu'elles allaient améliorer leurs plans de réponse aux incidents à la lumière de ce qui s'est passé, ou qu'elles l'avaient déjà fait, bien qu'elles considèrent en grande partie que de tels événements sont inévitables.
« Il n'y aura jamais de protection à 100 % contre les incidents de sécurité informatique à l'avenir. Néanmoins, notre objectif est de nous rapprocher le plus possible des 100 % », a déclaré Claudia Plattner, présidente de la BSI.
« Pour y parvenir, la BSI travaille en étroite collaboration avec CrowdStrike, Microsoft et d'autres fabricants de logiciels afin d'améliorer la qualité de leurs logiciels et de leurs mises à jour. En outre, les entreprises doivent et peuvent accroître leur résilience grâce à des mesures préventives, ce qui les rend plus résistantes aux incidents de sécurité informatique ».
« Il est important de donner aux utilisateurs le plus grand contrôle possible sur les processus de mise à jour. En outre, les résultats de l'enquête montrent également que des concepts d'urgence informatique bien rodés doivent constituer un élément important de toute préparation à une crise. »
Application des mises à jour
L'une des curiosités du rapport est l'accent mis sur l'attitude des clients de CrowdStrike à l'égard de l'application des mises à jour de sécurité après une panne.
Plus de la moitié d'entre eux ont déclaré vouloir installer les mises à jour plus régulièrement, bien que la vitesse à laquelle les mises à jour sont appliquées ne soit pas un facteur pertinent dans ce cas.
CrowdStrike a diffusé la mise à jour de son capteur Falcon défectueux via une mise à jour automatique sur le cloud. Même si la mise à jour avait été appliquée manuellement, le fait de le faire rapidement (avant de voir comment elle affectait les autres utilisateurs) aurait été pire pour l'organisation, et non meilleur.
Quoi qu'il en soit, compte tenu du nombre d'avertissements urgents concernant les correctifs que la communauté de l'infosécurité diffuse chaque semaine, il s'agit probablement d'un point positif net, même s'il est légèrement malavisé.
Une enquête qui n'est pas représentative de l'ensemble du pays
La BSI s'est empressé de préciser que cette enquête n'est pas représentative de l'ensemble du pays, compte tenu de la taille de l'échantillon, « mais elle fournit une image significative de l'état d'esprit des entreprises concernées en Allemagne » :
Envoyé par BSI
L'enquête n'est pas représentative, mais elle donne une image significative de l'opinion. 62 % des entreprises concernées à l'époque ont subi des conséquences directes, comme la panne de leurs propres ordinateurs ou serveurs. 48 % ont ressenti des conséquences indirectes, par exemple parce que des fournisseurs, des clients ou des partenaires commerciaux ont été touchés. Près de la moitié des entreprises directement ou indirectement touchées (48 %) ont dû interrompre temporairement leur activité - en moyenne pendant 10 heures. Rétrospectivement, près des trois quarts (73 %) qualifient les problèmes et les perturbations qui en ont résulté de graves pour l'économie allemande. En même temps, deux tiers (64 %) sont sûrs, en ce qui concerne leur propre entreprise, qu'un tel incident ne peut pas être complètement évité.
« Les pannes informatiques et leurs conséquences démontrent l'importance exceptionnelle des technologies numériques pour notre économie et notre société. Cette fois-ci, l'incident s'est terminé de manière relativement inoffensive, notamment grâce aux efforts conjoints des entreprises et des autorités, avec le soutien de CrowdStrike et de Microsoft. Cependant, elle doit nous servir d'avertissement.
« Il est urgent d'améliorer encore notre cybersécurité et d'exiger des entreprises et des autorités qu'elles disposent des compétences internes correspondantes. Ce n'est qu'ainsi que nous pourrons mieux nous protéger contre les pannes involontaires ou les attaques ciblées et devenir plus souverains sur le plan numérique ».
D'anciens employés de CrowdStrike révèlent que « le contrôle qualité ne faisait pas partie de notre processus »
Les ingénieurs logiciels de l'entreprise de cybersécurité CrowdStrike se sont plaints de délais trop courts, de charges de travail excessives et de problèmes techniques croissants auprès de leurs supérieurs pendant plus d'un an, avant qu'une panne catastrophique de son logiciel ne paralyse les compagnies aériennes et ne mette hors service les services bancaires et autres pendant des heures.
« La vitesse était la chose la plus importante », a déclaré Jeff Gardner, concepteur principal de l'expérience utilisateur chez CrowdStrike, qui a déclaré avoir été licencié en janvier 2023 après avoir travaillé deux ans dans l'entreprise. « Le contrôle de la qualité ne faisait pas vraiment partie de notre processus ou de nos conversations ».
Les problèmes ont été soulevés lors de réunions, dans des courriels et lors d'entretiens de fin d'emploi, ont expliqué d'anciens employés aux médias. 24 anciens ingénieurs en informatique, de cadres et d'autres membres du personnel ont décrit un lieu de travail où les dirigeants privilégiaient la rapidité au détriment de la qualité, où les travailleurs n'étaient pas toujours suffisamment formés et où les erreurs de codage et d'autres tâches se multipliaient. Un ancien cadre supérieur a déclaré avoir assisté à de nombreuses réunions au cours desquelles le personnel avertissait les dirigeants de l'entreprise que CrowdStrike « laisserait tomber » ses clients en mettant sur le marché des produits qui ne pourraient pas être pris en charge.
Sur les 24 anciens employés qui ont parlé à Semafor, 10 ont déclaré avoir été licenciés ou renvoyés et 14 ont dit être partis de leur propre chef. L'un d'entre eux travaillait encore dans l'entreprise cet été. Trois anciens employés ne sont pas d'accord avec les récits des autres. Joey Victorino, qui a passé un an dans l'entreprise avant de la quitter en 2023, a déclaré que CrowdStrike était « méticuleux dans tout ce qu'il faisait ».
Face à ces accusations, CrowdStrike a réagi en déclarant que les informations provenaient « d'anciens employés mécontents, dont certains ont été licenciés pour des violations évidentes de la politique de l'entreprise ». L'entreprise a déclaré : « CrowdStrike s'engage à garantir la résilience de ses produits par des tests rigoureux et un contrôle de qualité, et rejette catégoriquement toute affirmation contraire ».
Cependant, la gravité de la panne de juillet a mis en lumière des failles importantes dans leurs processus internes. L’entreprise a depuis annoncé des mesures pour renforcer ses protocoles de contrôle qualité, mais la confiance des clients reste ébranlée.
Notons que, suite à cette panne, CrowdStrike a déclaré : « En raison d'un bogue dans le validateur de contenu, l'une des deux instances de modèle a été validée alors qu'elle contenait des données problématiques », faisant référence à la défaillance d'un mécanisme interne de contrôle de la qualité qui a permis aux données problématiques de passer à travers les propres contrôles de sécurité de l'entreprise.
Les anciens employés qui se sont entretenus avec Semafor ont décrit une série de problèmes qui ont précédé de longue date la panne de l'entreprise. Il n'a pas été établi que ces problèmes étaient liés à l'incident de juillet.
Source : Office fédéral allemand de la sécurité de l'information
Et vous ?
Trouvez-vous cette étude crédible ou pertinente ? Avez-vous déjà été confronté à une panne de sécurité similaire dans votre entreprise ? Comment avez-vous géré la situation ? Pensez-vous que les entreprises devraient diversifier leurs fournisseurs de sécurité pour éviter ce type de problème ? Pourquoi ou pourquoi pas ? Quels critères utilisez-vous pour choisir un fournisseur de sécurité informatique ? Comment évaluez-vous la résilience de votre entreprise face aux incidents de sécurité ? Quelles mesures préventives recommanderiez-vous pour minimiser l’impact des pannes de sécurité ? Selon vous, quelles sont les responsabilités des fournisseurs de sécurité en cas de panne majeure ? Comment pensez-vous que les incidents de sécurité affectent la confiance des clients envers une entreprise ? Quels sont les avantages et les inconvénients de changer de fournisseur de sécurité après un incident ? Comment les entreprises peuvent-elles améliorer leurs plans de réponse aux incidents de sécurité ? Voyez-vous des tendances émergentes dans le domaine de la cybersécurité qui pourraient aider à prévenir de telles pannes à l’avenir ? 
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire. 
