CrowdStrike : la panne critique révèle les enjeux des EDR
Ce 19 juillet 2024, de nombreuses entreprises dans le monde ont été paralysées suite à une panne informatique d'envergure. La cause ? Une mise à jour défectueuse du logiciel d'Endpoint Detection and Response (EDR) Falcon de la société CrowdStrike. Cet incident soulève de nombreuses questions sur la sécurité des solutions EDR et les pratiques des fournisseurs. Décryptage.
Les EDR, des outils puissants mais à double tranchant
Les EDR sont devenus indispensables face à la sophistication croissante des menaces. Successeurs des antivirus, ils effectuent un suivi comportemental et peuvent intervenir à très bas niveau dans le système d'exploitation, jusqu'au noyau. C'est cette capacité qui a permis à la mise à jour défectueuse de Falcon de faire crasher les systèmes au démarrage.
Pour contrer les malwares, les EDR interviennent à très bas niveau dans le système d'exploitation
Les mises à jour automatiques en question
La plupart des utilisateurs d'EDR autorisent les mises à jour automatiques afin de garantir une protection optimale sur de larges parcs informatiques. Mais c'est aussi ce qui a permis à la panne de se propager massivement et simultanément. Un choix à repenser pour les entreprises ?
CrowdStrike, un acteur réputé mais pas irréprochable
Si CrowdStrike est un fournisseur reconnu, apprécié des institutions américaines, on peut s'interroger sur ses pratiques. Déployer une mise à jour un vendredi soir est un choix risqué en matière de sécurité. De plus, ce n'est pas la première fois qu'un problème survient avec ses solutions, même si l'impact avait été moindre jusqu'ici.
En matière de sécurité informatique, effectuer des mises à jour en fin de semaine – et a fortiori le soir – est un choix peu judicieux
Un manque de transparence et de réactivité
Reste à savoir comment une mise à jour aussi critique a pu être déployée. A-t-elle été suffisamment testée ? Pourquoi n'y a-t-il pas eu de mécanisme pour stopper son déploiement automatique en détectant les problèmes ? Pour l'heure, CrowdStrike n'a fourni aucune explication, se contentant d'un bref message de son PDG sur les réseaux sociaux, sans même présenter d'excuses.
Des conséquences lourdes et durables
Si les machines peuvent maintenant redémarrer grâce à des interventions manuelles, la restauration complète des systèmes prendra du temps. Le manque à gagner se chiffrera en milliards de dollars. De quoi entacher durablement la réputation de CrowdStrike et susciter la méfiance envers les EDR en général. Un coup dur pour la cybersécurité.
Une chose est sûre, cet incident sans précédent forcera les entreprises à repenser leur approche de la sécurité et leur relation avec les fournisseurs d'EDR. Gageons qu'il y aura un avant et un après la panne CrowdStrike du 19 juillet 2024.
En résumé
- Les EDR sont des outils puissants mais qui présentent aussi des risques importants en cas de dysfonctionnement
- Les mises à jour automatiques facilitent la protection mais exposent à une propagation massive des incidents
- Même les grands fournisseurs comme CrowdStrike ne sont pas à l'abri d'erreurs lourdes de conséquences
- Transparence et réactivité sont essentielles en cas d'incident de sécurité
- Les entreprises devront revoir leurs pratiques et leurs attentes vis-à-vis des solutions de sécurité et de leurs éditeurs