CrowdStrike : une protection menant à l'indisponibilité
Une entreprise peut être, même temporairement, paralysée sans avoir subi une attaque, ou sans incident interne. La dépendance envers les éditeurs est saillante lors d’un incident tel que celui du 19 juillet 2024. La capacité à se libérer rapidement de cette paralysie, (voire idéalement à la détecter avant apparition en production), est la clef de la résilience de l’entreprise.
Panne mondiale du 19 juillet : de quoi s’agit-il ?
Le 19 juillet à 01h45 GMT, Microsoft faisait état d’une panne mondiale sur de nombreux services notamment Office365. Plusieurs secteurs majeurs sont fortement touchés. Plusieurs compagnies aériennes américaines ont bloqué leur activité et les activités informatiques de Paris 2024 sont arrêtées.
Dans la matinée, l’éditeur de cybersécurité CrowdStrike indique rencontrer un dysfonctionnement dans la mise à jour de son EDR Falcon, uniquement sur le système Windows.
Comment surmonter l’évènement ?
Un Endpoint Detection and Response (EDR) a pour but de détecter au plus tôt l’apparition d’un incident de sécurité. Il s’agit donc un élément majeur de la sécurité informatique.
Face au dysfonctionnement annoncé, il est nécessaire d’éviter l’effet de panique chez ses utilisateurs, ce qui nécessite une sensibilisation régulière. L’information auprès de sources qualifiées et la communication interne sont également cruciales. Une cellule de gestion de crise est la structure idéale pour cela. Sa réactivité et son efficacité reposent sur des exercices réguliers, pour mettre à l’épreuve les procédures et s’assurer que chaque acteur connaisse son rôle dans la résolution de l’incident.
Ensuite, il est nécessaire qualifier l’impact, en termes de gravité et de durée potentielles. La remédiation par l’éditeur peut prendre plusieurs jours, pendant lesquels l’activité de l’entreprise est paralysée. Il peut être nécessaire d’activer son plan de reprise d’activité (PRA) pour rétablir son système dans un état stable. La disponibilité de sauvegardes régulièrement testées est un élément clef de ce dispositif.
Comment se prémunir ?
L’application automatisée de correctifs, qui plus est sur la totalité de son périmètre, peut provoquer des incidents comme aujourd’hui. Une infrastructure de préproduction sert de révélateur de tels effets de bords. Il est essentiel de connaître exactement son patrimoine applicatif et système, pour que cette plateforme soit au plus près de la production. En cas d’apparition (régression, latences, indisponibilité), l’équipe en charge du patch management peut étudier les possibles solutions alternatives ou contournements préservant le système. Dans le cas favorable, la diffusion automatique peut être déclenchée.
Cette même infrastructure peut être utilisée pour le test des sauvegardes, qui doivent dépasser la notion de données. La recréation d’un système complet, paramétré et intégré au système d’information, est à éviter au vu du risque d’erreur persistant malgré les automatisations en place. En dépit des contrôles opérés par le logiciel de sauvegarde, des tests réguliers de restauration aléatoire (parmi les composants du système d’information) doivent être réalisés. (En outre, c’est une belle opportunité d’éprouver les procédures associées et d’entraîner la cellule de gestion de crise).
L’intégration de l’intelligence artificielle (IA) dans la gestion des correctifs devient ici également un point d’attention. Selon un article d’ITPro, l’IA améliorerait significativement cette gestion en automatisant la détection des vulnérabilités et en prédisant les impacts potentiels des correctifs. En préproduction, les modèles de machine learning pourraient simuler les effets d’un correctif et identifier les risques, réduisant ainsi la probabilité de régressions ou de conflits.
Conclusion
La nécessaire dépendance aux éditeurs peut donc provoquer ce que l’on cherche, quotidiennement, à éviter. C’est donc avant tout par la mise en place d’une organisation dédiée, armée par des procédures éprouvées, que l’on pourra éviter (ou au mieux affronter) un tel évènement avec l’impact le plus faible.
Quel que soit votre niveau de préparation, Apside se tient prêt à vous accompagner pour faire face à ce type d’évènement et, plus largement, aux diverses problématiques cyber.
Expertise Unit Cyber
Faites confiance à nos experts cybersécurité