La mise à jour du logiciel de l’éditeur de cybersécurité CrowdStrike a entraîné d’importantes perturbations opérationnelles dans les aéroports, les gouvernements, les institutions financières, les hôpitaux, les centres de transport et les médias du monde entier. Le cabinet d’analystes Forrester Researche analyse les modes de récupération et propose des étapes critiques sur la manière dont les décideurs IT et sécurité peuvent gérer l’impact de cette situation.
Une remise en marche laborieuse
Tout d’abord, la pénibilité de la remise en marche est soulignée. « En raison de la manière dont la mise à jour a été déployée, les options de récupération pour les machines affectées sont manuelles et donc limitées. Les administrateurs doivent attacher un clavier physique à chaque système affecté, démarrer en mode sans échec, supprimer la mise à jour CrowdStrike compromise, puis redémarrer » liste Andras Cser, vice-président et analyste principal de Forrester.
« Certains administrateurs n’ont pas pu accéder aux clés de chiffrement des disques durs BitLocker »
C’’est un travail difficile qu’il faut réaliser pour disposer d’un système opérationnel mais cela devrait remettre Crowdstrike dans la bonne direction pour ses prochaines mises à jour logicielles. « La résolution de ce problème nécessite des efforts considérables. Les antécédents d’incidents similaires ont montré que les opérations, les tests de produits et les stratégies de communication des fournisseurs ne s’améliorent qu’après de tels incidents » relève Andras Cser.
Remise en question de la fiabilité des logiciels de sécurité
Au-delà de cette panne, ce qui s’est passé remet en question la crédibilité des logiciels de sécurité. « La fiabilité des outils et des services utilisés par les équipes de cybersécurité est essentielle face aux cyberattaques. Un incident comme celui-ci remet en question cette fiabilité » déplore Allie Mellen, analyste principal chez Forrester. « Il ne fait aucun doute que les dirigeants s’interrogeront sur la manière de garantir la fiabilité des systèmes d’entreprise, en particulier lorsqu’il s’agit d’une technologie aussi intégrée dans les opérations quotidiennes que les logiciels de cybersécurité » prévient-il.
« Soutenez vos équipes en vous assurant qu’elles bénéficient d’un soutien adéquat et de pauses pour éviter les erreurs »
Ce soutien est d’autant plus nécessaire que dans le cas de l’incident Crowdstrike, la reprise se fait à la main. « Pour l’instant, la résolution de ce problème nécessite un travail manuel au clavier dans certains cas, pour des centaines ou des milliers de machines affectées. Soutenez l’équipe chargée de résoudre le problème en lui fournissant les ressources dont elle a besoin pour s’acquitter au mieux de sa tâche » ajoute-t-il.
Feuille de route pour les responsables informatiques et de la sécurité
Forrester Research recommande aux responsables de la technologie et de la sécurité de prendre immédiatement les mesures suivantes :
- Donnez aux administrateurs système autorisés les moyens de résoudre les problèmes rapidement et efficacement
- Communiquez clairement, tant en interne qu’en externe, les impacts, le statut et les progrès des efforts de remédiation
- Prêtez attention aux stratégies de communication du fournisseur et suivez les conseils officiels.
- Prenez soin de votre personnel
Une fois le problème immédiat résolu :
- Mettez en œuvre l’automatisation de l’infrastructure, une nécessité pour les déploiements de logiciels contrôlés et gérés
- Réactualisez et répétez leur plan d’intervention en cas de panne informatique
- Obtenez des fournisseurs de sécurité des garanties écrites et unifiées sur leurs processus d’assurance qualité et sur l’efficacité de la détection des menaces
À plus long terme :
- Réévaluez la stratégie et l’approche en matière de risques liés aux tiers
- Utilisez le contrat comme un outil d’atténuation des risques