CrowdStrike s’excuse après une panne massive avec un bon de 10$
La semaine dernière, une panne mondiale a affecté des millions d'ordinateurs suite à une mise à jour défectueuse de l'éditeur de cybersécurité CrowdStrike. Aujourd'hui, l'entreprise tente de se racheter auprès de ses partenaires en leur offrant... un bon d'achat de 10$ chez Uber Eats. Un geste symbolique qui peine à masquer l'ampleur des dégâts causés par cet incident.
Une panne aux conséquences majeures
Le vendredi 19 juillet, une mise à jour de l'antivirus de CrowdStrike a eu l'effet inverse de celui escompté. Au lieu de renforcer la sécurité des systèmes, elle a provoqué un bug affichant le tristement célèbre "écran bleu de la mort" sur environ 8,5 millions d'appareils Windows à travers le monde, les rendant inutilisables.
Les conséquences ne se sont pas fait attendre. De nombreux aéroports (Amsterdam, Berlin, Dubaï, Londres, USA...) ont subi des retards suite à la panne informatique. Des hôpitaux ont dû reporter des opérations. D'innombrables entreprises ont vu leur activité paralysée pendant de longues heures, le temps de remettre leurs systèmes en état de marche.
Le difficile retour à la normale
Face à l'ampleur de la crise, les équipes de CrowdStrike se sont mobilisées pour trouver une solution dans les plus brefs délais. Mais le mal était fait. Il aura fallu plusieurs jours pour que la situation revienne à la normale, non sans dommages pour la réputation de l'entreprise.
Nous comprenons tous la gravité et l'impact de cette situation. La confiance que nos clients et partenaires ont placée en CrowdStrike est ce qui compte le plus pour moi.
– George Kurtz, CEO de CrowdStrike
Dans les jours qui ont suivi, CrowdStrike a publié des mises à jour régulières sur son enquête interne pour déterminer les causes exactes de cet accident industriel. Un défaut dans le processus de validation des mises à jour serait en cause, ayant laissé passer du code problématique malgré les contrôles.
Des excuses qui passent mal
Pour tenter d'apaiser la colère de ses clients et partenaires, CrowdStrike a donc choisi d'envoyer un email d'excuses accompagné d'un bon d'achat de 10$ chez Uber Eats. Un geste censé exprimer sa "gratitude" et dédommager les équipes mobilisées suite à la panne.
Sauf que l'initiative est loin de faire l'unanimité. Beaucoup jugent cette compensation ridicule au vu des pertes et du travail supplémentaire engendrés par l'incident. Pire, certains bons se sont révélés inutilisables une fois leur usage devenu viral sur les réseaux sociaux, Uber les ayant désactivés.
La confiance que nous avons bâtie au fil des années s'est écroulée en quelques heures. Ça a été un coup de massue.
– Shawn Henry, Chief Security Officer de CrowdStrike
Les leçons à retenir
Au-delà de la polémique sur ce geste commercial maladroit, cet épisode met en lumière les risques liés aux mises à jour de sécurité à grande échelle. Malgré leur nécessité pour colmater des failles, leur déploiement peut s'avérer contre-productif en cas de défaut non détecté.
Il souligne également les dommages que peut subir une entreprise, même leader sur son marché, en cas de défaillance majeure de ses produits. Numéro un mondial de la cybersécurité, CrowdStrike a vu sa réputation durablement écornée et devra redoubler d'efforts pour regagner la confiance du marché.
Enfin, cette histoire rappelle que les conséquences d'un bug informatique peuvent très rapidement prendre une dimension mondiale à l'ère du cloud et des mises à jour automatiques. Un logiciel défectueux peut paralyser des pans entiers de l'économie en un clin d'œil.
Gageons que CrowdStrike retiendra les leçons de cette mésaventure et renforcera ses processus internes de bout en bout. La cybersécurité n'a pas droit à l'erreur et un bon d'achat ne suffira pas à effacer cet incident de sitôt. Place désormais à un vrai travail de fond pour rétablir la confiance.