Dans un monde où la cybersécurité revêt une importance cruciale, les entreprises leaders doivent faire preuve d’une résilience hors pair pour protéger leurs clients contre les menaces émergentes. Récemment, Crowdstrike, un géant de la cybersécurité, a été confronté à un défi de taille lorsqu’une mise à jour de configuration défectueuse a provoqué un incident majeur, paralysant des millions de systèmes Windows dans le monde entier. Cet événement sans précédent a mis en lumière l’importance de la transparence, de la réactivité et de l’amélioration continue dans la gestion des crises informatiques.
Une Brève Chronologie des Événements
Le 19 juillet 2024, dans le cadre de ses opérations régulières, Crowdstrike a publié une mise à jour de configuration de contenu pour son capteur Windows. Cette mise à jour visait à recueillir des données télé métriques sur les nouvelles techniques de menace potentielles. Malheureusement, en raison d’un bogue dans le validateur de contenu, une instance de modèle problématique a été déployée, entraînant un plantage du système d’exploitation Windows sur les hôtes concernés.
Les systèmes touchés comprenaient les hôtes Windows exécutant la version 7.11 ou supérieure du capteur, qui étaient en ligne entre 04h09 UTC et 05h27 UTC le 19 juillet 2024 et qui ont reçu la mise à jour défectueuse. Les hôtes Mac et Linux n’ont pas été affectés.
Une Réponse Rapide et Transparente
Conscient de la gravité de la situation, Crowdstrike a agi rapidement pour contenir l’incident. À 05h27 UTC le 19 juillet, le défaut de la mise à jour de contenu a été corrigé, empêchant ainsi une propagation supplémentaire. Les systèmes se connectant après cette heure n’ont pas été impactés.
Dans un esprit de transparence exemplaire, Crowdstrike a immédiatement informé ses clients et partenaires de l’incident. George Kurtz, le fondateur et PDG de l’entreprise, a publié une déclaration sincère, s’excusant auprès de tous les clients touchés et réaffirmant l’engagement de Crowdstrike à fournir une protection de premier ordre.
Comprendre les Rouages de l’Incident
Pour mieux appréhender cet événement, il est essentiel de comprendre le fonctionnement des mises à jour de contenu Crowdstrike. L’entreprise fournit deux types de contenus : le contenu du capteur, qui fait partie intégrante d’une version de capteur, et le contenu de réponse rapide, conçu pour réagir rapidement à l’évolution du paysage des menaces.
Le contenu du capteur comprend des modèles d’IA et d’apprentissage automatique, ainsi que du code écrit spécifiquement pour offrir des capacités réutilisables à long terme aux ingénieurs de détection des menaces de Crowdstrike. Ce contenu passe par un processus de contrôle qualité rigoureux, comprenant des tests automatisés, manuels, une validation et des étapes de déploiement.
D’autre part, le contenu de réponse rapide est utilisé pour effectuer diverses opérations de mise en correspondance de modèles comportementaux sur le capteur. Ce contenu est stocké dans un fichier binaire propriétaire contenant des données de configuration. Il n’est ni du code ni un pilote noyau.
Un Déploiement Progressif pour Minimiser les Risques
Crowdstrike a reconnu la nécessité d’adopter une stratégie de déploiement progressive pour les mises à jour de contenu de réponse rapide. Cette approche implique un déploiement graduel des mises à jour sur des portions croissantes de la base de capteurs, en commençant par un déploiement initial restreint.
Cette méthode permet de surveiller les performances du capteur et du système, ainsi que de recueillir des commentaires pendant le déploiement afin de guider un déploiement par phases. De plus, Crowdstrike prévoit d’offrir aux clients un contrôle accru sur le déploiement des mises à jour de contenu de réponse rapide, leur permettant de sélectionner de manière granulaire quand et où ces mises à jour seront déployées.
Une Collaboration Étroite avec les Clients et les Partenaires
Dès les premières heures de l’incident, Crowdstrike a travaillé en étroite collaboration avec ses clients et partenaires pour remettre les systèmes en ligne le plus rapidement possible. Ces efforts conjoints ont permis de rétablir les opérations dans les heures qui ont suivi l’incident initial.
Le 22 juillet 2024, Crowdstrike a introduit des techniques automatisées pour accélérer la remédiation. L’entreprise a également déployé du personnel et collaboré avec des équipes de services partenaires stratégiques pour aider les clients dans leurs efforts de récupération.
Des Mesures Proactives pour Prévenir de Futurs Incidents
Conscient de l’importance d’apprendre de cette expérience, Crowdstrike a mis en place plusieurs mesures proactives pour prévenir de futurs incidents similaires. Parmi ces mesures figurent :
- L’amélioration des procédures de test pour le contenu de réponse rapide, notamment des tests de stabilité, de fuzzing et d’injection de fautes.
- L’ajout de contrôles de validation supplémentaires dans le validateur de contenu pour le contenu de réponse rapide.
- L’amélioration de la gestion des erreurs dans l’interpréteur de contenu.
- L’engagement de deux fournisseurs de sécurité tiers indépendants pour examiner le code du capteur Falcon et les processus de contrôle qualité et de publication de bout en bout.
Une Résilience Renforcée grâce à l’Apprentissage Continu
L’incident du 19 juillet 2024 a mis en évidence l’importance cruciale de l’apprentissage continu et de l’amélioration continue dans le domaine de la cybersécurité. Crowdstrike a démontré sa capacité à tirer les leçons de cette expérience en adoptant une approche proactive pour renforcer sa résilience.
En mettant en œuvre des mesures telles que l’amélioration des procédures de test, l’ajout de contrôles de validation supplémentaires et l’engagement de tiers indépendants pour examiner ses processus, Crowdstrike s’assure d’être mieux préparé pour faire face aux défis futurs.
Une Solide Assise Financière pour Soutenir la Résilience
Malgré l’ampleur de l’incident, Crowdstrike a su rassurer ses clients et partenaires quant à sa solidité financière. Au 30 avril 2024, l’entreprise disposait de 3,7 milliards de dollars en liquidités et équivalents de trésorerie, ainsi que d’une facilité de crédit renouvelable de 750 millions de dollars.
Cette assise financière solide, combinée à une gestion rigoureuse des activités, permet à Crowdstrike de continuer à investir dans son entreprise et à couvrir les éventuelles responsabilités juridiques découlant de l’incident.
L’Accès au Noyau Windows : Un Débat Controversé
L’incident de Crowdstrike a ravivé le débat sur l’accès au noyau du système d’exploitation Windows par les entreprises de cybersécurité. Microsoft a affirmé que l’accord conclu avec l’Union européenne en 2009 l’a obligé à donner accès aux API utilisées pour sécuriser l’environnement Windows, OS et serveurs.
Cependant, la Commission européenne a réfuté ces allégations, affirmant que l’incident n’était pas limité à l’Union européenne et que Microsoft ne l’avait jamais informée de ses préoccupations en matière de sécurité, que ce soit avant ou après l’incident.
Une Perspective Équilibrée sur l’Accès au Noyau
Bien que l’accès au noyau offre une visibilité approfondie sur les activités liées à la sécurité du système, il comporte également des risques potentiels. Apple, par exemple, a choisi de bloquer l’accès au noyau sur ses ordinateurs Mac en 2020, arguant que cela améliorerait la sécurité et la fiabilité.
Cependant, dans le cas de Windows, il semble peu probable que Microsoft envisage de supprimer l’accès au noyau pour les entreprises de cybersécurité. Cet accès est essentiel pour offrir une protection maximale contre les menaces cyber de plus en plus sophistiquées.
Une Collaboration Renforcée pour une Cybersécurité Améliorée
L’incident de Crowdstrike a mis en lumière l’importance de la collaboration étroite entre les entreprises de cybersécurité, les clients et les partenaires. En travaillant ensemble, en partageant les connaissances et les meilleures pratiques, l’industrie de la cybersécurité peut continuer à évoluer et à s’adapter aux menaces émergentes.
Crowdstrike a démontré son engagement envers cette collaboration en fournissant des guides de remédiation couvrant diverses solutions Microsoft, ainsi que des produits tiers tels que BigFix, Citrix, Ivanti, ManageEngine, Tanium et VMware/Omnissa.
Une Opportunité de Croissance et d’Innovation
Malgré les défis rencontrés, l’incident de Crowdstrike représente une opportunité de croissance et d’innovation pour l’industrie de la cybersécurité. En tirant les leçons de cette expérience, les entreprises peuvent repenser leurs processus, améliorer leurs pratiques et développer des solutions encore plus robustes pour protéger les systèmes et les données sensibles.
Crowdstrike a démontré sa capacité à rebondir face à l’adversité, en adoptant une approche proactive et en mettant en place des mesures visant à renforcer sa résilience. Cette résilience est essentielle pour maintenir la confiance des clients et des partenaires dans un environnement de menaces en constante évolution.
Pour Finir
L’incident de Crowdstrike a souligné l’importance cruciale de la gestion de crise efficace dans le domaine de la cybersécurité. En faisant preuve de transparence, de réactivité et d’un engagement envers l’amélioration continue, Crowdstrike a démontré son leadership et sa capacité à surmonter les défis les plus redoutables.
Cet événement a également mis en évidence la nécessité d’une collaboration étroite entre les entreprises de cybersécurité, les clients et les partenaires. En travaillant ensemble, en partageant les connaissances et les meilleures pratiques, l’industrie peut continuer à évoluer et à s’adapter aux menaces émergentes, assurant ainsi une protection optimale des systèmes et des données sensibles.
Bien que les défis soient nombreux, l’incident de CrowdStrike représente une opportunité de croissance et d’innovation pour l’industrie de la cybersécurité. En tirant les leçons de cette expérience, les entreprises peuvent repenser leurs processus, améliorer leurs pratiques et développer des solutions encore plus robustes, garantissant ainsi une cybersécurité renforcée pour tous.
