Problème de panne de CrowdStrike et défaillance d’un seul point de Global Software
La fréquence des attaques à grande échelle contre les systèmes informatiques des entreprises est en augmentation. Cette montée n’est pas inhabituelle ou inattendue alors que les entreprises investissent massivement dans la défense cybernétique dans une guerre asymétrique contre des pirates informatiques capables d’écrire quelques lignes de code et de semer le chaos.
Toutefois, la plus grande panne informatique de l’histoire survenue vendredi dernier, causée par un bug logiciel de CrowdStrike qui a été téléchargé sur les systèmes d’exploitation Microsoft et non par une attaque malveillante, met en lumière un type de menace technologique qui augmente aux côtés des piratages mais qui attire moins l’attention : la défaillance ponctuelle – une erreur dans une partie d’un système qui crée un désastre technique à travers les industries, les fonctions et les réseaux de communication interconnectés ; un effet domino massif.
Plus tôt cette année, AT&T a connu une panne nationale attribuée à une mise à jour technique. L’année dernière, la FAA a subi une panne qui s’est produite après qu’un seul individu ait remplacé un fichier critique lors d’une mise à jour de l’itinéraire (la FAA dispose désormais d’un système de secours pour éviter que cela ne se reproduise jamais).
« Ça se produit plus fréquemment même lorsqu’il ne s’agit que de patchs et de mises à jour de routine », a déclaré Chad Sweet, co-fondateur et PDG de The Chertoff Group et ancien chef de cabinet du Département de la sécurité intérieure, à CNBC vendredi.
La gestion des risques de défaillance ponctuelle est un problème auquel les entreprises doivent se préparer et se protéger. Il n’existe aucun logiciel dans le monde qui soit publié et qui ne nécessite pas ensuite d’être corrigé ou mis à jour, et il existe des meilleures pratiques de sécurité qui couvrent la maintenance continue du logiciel après une mise en production, a déclaré Sweet.
Les entreprises avec lesquelles travaille le Chertoff Group examinent de près les normes de développement et de mise à jour des logiciels à la suite de la panne de CrowdStrike. Sweet a souligné un ensemble de protocoles fournis par le gouvernement, le SSDF (Cadre de développement de logiciel sécurisé), qui pourrait donner au marché une idée de ce à quoi s’attendre alors que le Congrès commence à examiner de plus près la question. Cela se fera probablement après la récente série d’incidents, d’AT&T à la FAA en passant par CrowdStrike, puisque ce type de défaillance technique a maintenant montré qu’il impactait la vie des citoyens et le fonctionnement des infrastructures critiques de manière étendue.
« Préparez-vous du côté des entreprises », a déclaré Sweet.
Aneesh Chopra, directeur de la stratégie d’Arcadia et ancien directeur de la technologie de la Maison Blanche, a déclaré à CNBC vendredi que des secteurs critiques tels que l’énergie, la banque, les soins de santé et les compagnies aériennes sont régis par des réglementations séparées en matière de risques, et les mesures peuvent être uniques dans les secteurs les plus réglementés. Mais pour tout dirigeant d’entreprise, la question est maintenant : « En supposant que les systèmes tombent en panne, quel est le plan B? Nous verrons beaucoup plus de planification de scénarios et si ce n’est pas le travail numéro 1, c’est le travail numéro 2 ou 3 d’avoir ces scénarios établis », a-t-il déclaré.
Contrairement à de nombreuses questions à Washington, Chopra a souligné qu’il existe un engagement bipartite envers les questions d’infrastructures critiques et de risques systémiques, et que les normes techniques sont une « marque » du système américain. Il pourrait désormais y avoir des efforts qu’il a décrits comme visant à « améliorer la concurrence » comme moyen de renforcer la responsabilité.
« Si un mécanisme existe pour mettre à jour de manière plus ouverte et compétitive, il pourrait y avoir une pression pour s’assurer que cela est fait de manière à ce que toutes les cases soient cochées », a déclaré Chopra.
Sweet a déclaré que cela conduira inévitablement à des préoccupations du monde des affaires concernant le risque de surréglementation. Bien qu’il soit impossible de savoir maintenant s’il y avait un moyen pour CrowdStrike d’opérer en utilisant un processus plus ouvert permettant de détecter la défaillance ponctuelle, a-t-il déclaré, c’est une question légitime à poser.
La meilleure méthode pour éviter la surréglementation, selon Sweet, est de se tourner vers des mécanismes renforçant le marché, tels que l’industrie de l’assurance. « La réponse courte est : ‘Laissez faire le marché libre, par le biais d’éléments tels que l’industrie de l’assurance, qui récompensera les bons acteurs avec des primes moins élevées », a-t-il déclaré.
Sweet a également déclaré que plus d’entreprises devraient adopter l’idée d’organisations « antifragiles », comme le font ses clients, un terme inventé par l’analyste des risques Nassim Nicholas Taleb. « Pas juste une organisation résiliente après une perturbation, mais celles qui prospèrent, innovent et dépassent les concurrents », a-t-il dit. Selon lui, une seule législation ou réglementation aurait du mal à suivre à la fois les attaques malveillantes et les mises à jour techniques qui sont poussées avec des conséquences non intentionnelles.
« C’est un signal d’alarme, c’est sûr », a déclaré Chopra.