Ce que CrowdStrike nous apprend sur la gestion de la chaîne d'approvisionnement

Par Danny Bradbury • 24 septembre 2024

La panne informatique mondiale de cet été, qui a paralysé des millions d'ordinateurs et cloué au sol des compagnies aériennes dans le monde entier, a démontré à quel point il est difficile de gérer une chaîne d'approvisionnement numérique moderne. Une gestion efficace des risques clients peut-elle contribuer à combler ces lacunes ?

Le 19 juillet, des rapports ont commencé à faire état d'une panne massive des systèmes Windows dans plusieurs secteurs. Les terminaux étaient hors service et ne parvenaient pas à redémarrer correctement, ce qui a entraîné la panne informatique la plus importante de l'histoire. Le problème provenait d'une erreur logique dans une mise à jour du logiciel de sécurité de CrowdStrike, qui a mis hors service 8.5 millions de systèmes. Selon Microsoft. La reprise a été un processus manuel complexe. En plus des vols annulés, les clients des banques et les patients des établissements de santé ont également souffert, car la panne a affecté les transactions financières et même interventions chirurgicales retardées.

« L’incident récent renforce la manière dont la dépendance croissante aux systèmes informatiques interconnectés a élargi la surface de risque », a déclaré Mark E. Green, président du Comité de la sécurité intérieure de la Chambre des représentants, qui entendra le témoignage de CrowdStrike le 24 septembre. Il est plus difficile que jamais de gérer les risques liés à la chaîne d’approvisionnement, compte tenu non seulement de la taille de ces chaînes, mais aussi de la complexité des produits logiciels et des processus qu’elles fournissent.

« Je vous l’avais bien dit », déclare le GAO

Le Government Accountability Office des États-Unis n'aime pas dire qu'il vous l'a dit, mais aimerait également vous rappeler qu'il l'a fait. blog récents après l'incident, elle a souligné de fortes similitudes entre cette erreur involontaire et la cyberattaque qui a compromis SolarWinds et ses clients en 2020.

Depuis mai 2010, le GAO a fait 1610 recommandations Le GAO a mis en place quatre domaines de cybersécurité. L’un d’entre eux – l’élaboration d’une stratégie de cybersécurité complète et la mise en place d’une surveillance efficace – est le principal domaine d’intérêt pour le risque de la chaîne d’approvisionnement. Dans un rapport de juin sur les efforts du gouvernement pour atténuer le risque cybernétique, le GAO a déclaré que les agences n’avaient pas mis en œuvre 43 % des recommandations dans ce domaine.

Gérer une chaîne d'approvisionnement consolidée

« Le gouvernement fédéral doit prendre des mesures pour assurer une surveillance efficace, notamment la surveillance de la chaîne d'approvisionnement mondiale », a ajouté le GAO dans son rapport. Mais comment mettre en œuvre une surveillance efficace d'une entreprise puissante qui contrôle la part du lion du marché ?

Dan Geer, qui a contribué au système X Windows et à Kerberos et qui est maintenant membre senior chez In-Q-Tel, a exploré de manière célèbre la manière dont les monocultures technologiques affectent la sécurité dans son rapport de 2003. Cyberinsécurité : le prix du monopoleCela a touché suffisamment de nerfs dans le monde de la technologie d’entreprise pour qu’il soit licencié le lendemain de sa publication.

21 ans plus tard et une semaine après la panne de CrowdStrike, il nous a rappelé du problème :

« Nous savons que la redondance de protection ne se produit pas spontanément et que des milliards d’appareils, tous identiques, n’offrent aucune protection, bien au contraire », a-t-il déclaré. « Nous savons que la source du risque est la dépendance et que le risque global est proportionnel à la dépendance globale. »

Comme le souligne Geer, la consolidation du marché qui produit des milliards d’appareils tous identiques est une tendance économique. Windows détient plus de 70 % du marché des systèmes d’exploitation de bureau et deux entreprises, Microsoft et CrowdStrike, détiennent à elles deux 44 % du marché de la protection des terminaux.

Cette tendance ne s'est pas inversée depuis 2003. Et elle ne s'inversera pas à l'avenir. Il existe de nombreuses raisons pour lesquelles les entreprises choisissent les mêmes logiciels que leurs pairs, allant de la disponibilité (le nombre de solutions disponibles se consolide au fil du temps) à l'aversion au risque (personne n'a jamais été licencié pour avoir acheté IBM) et à la facilité de gestion (il est plus facile de gérer et de prendre en charge un parc de mille machines Windows qu'une panoplie de systèmes d'exploitation de terminaux différents).

Les grandes entreprises font sans aucun doute de leur mieux pour suivre les meilleures pratiques en matière de cybersécurité, mais des erreurs peuvent survenir. Le Cyber Safety Review Board du gouvernement américain trouvé que la culture de sécurité de Microsoft était « inadéquate et nécessitait une refonte » après que des cybercriminels ont piraté ses systèmes et compromis une clé cryptographique qui leur a donné accès aux comptes des cadres supérieurs. CrowdStrike, tandis que convenablement effacé aussi longtemps que ça ne coûte pas trop cher, a publié une mise à jour buggée qu'il n'a pas réussi à détecter.

Microsoft et CrowdStrike ont tenu une réunion à huis clos le 10 septembre pour discuter de la manière dont ils peuvent éviter que ce genre de chose ne se reproduise. Ils ont discuté de mesures telles que le recours moindre au mode noyau, où les logiciels bogués peuvent causer les dommages extrêmes observés en juillet. Comme l'a déclaré CrowdStrike Explique, ce qui nécessite un certain travail de la part de Microsoft.

CrowdStrike a également déclaré qu'il suivrait désormais d'autres mesures, telles que l'utilisation de versions canaris - une bonne pratique de base pour un déploiement à grande échelle - pour limiter les dommages à un plus petit nombre de machines.

Même s’il est louable que de si grandes entreprises apprennent ces leçons aujourd’hui, il est inquiétant qu’elles le fassent aux frais de leurs clients.

Ce que les clients peuvent faire à ce sujet

Il est important de suivre les contrôles de gestion des fournisseurs tels que ceux de ISO 27001 Annexe A 5.22, mais comme le dit ISMS.online, il est important d'être pragmatique quant à l'influence que vous pouvez avoir sur un grand fournisseur.

Néanmoins, la norme ISO 27001 a beaucoup à offrir en matière de préparation aux interventions en cas d'incident. Elle commence par une planification des risques grâce à une évaluation approfondie, comme le précise la norme ISO 27001. article 6Il fournit également des conseils précieux sur Contrôle 5.30, qui prépare les organisations à assurer la continuité des activités en cas de problème.

Ces pratiques ne protègent peut-être pas une entreprise d’un incident majeur en amont de la chaîne d’approvisionnement, mais elles peuvent contribuer à minimiser l’impact de tels événements en aval, contribuant ainsi à maintenir les services pour les clients et les partenaires commerciaux.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury