Face au chaos causé par Crowdstrike, soutenez vos équipes, recommande Forrester

La mise à jour du logiciel de l’éditeur de cybersécurité CrowdStrike a entraîné d’importantes perturbations opérationnelles dans les aéroports, les gouvernements, les institutions financières, les hôpitaux, les centres de transport et les médias du monde entier. Le cabinet d’analystes Forrester Researche analyse les modes de récupération et propose des étapes critiques sur la manière dont les décideurs IT et sécurité peuvent gérer l’impact de cette situation.  

Une remise en marche laborieuse

Tout d’abord, la pénibilité de la remise en marche est soulignée. « En raison de la manière dont la mise à jour a été déployée, les options de récupération pour les machines affectées sont manuelles et donc limitées. Les administrateurs doivent attacher un clavier physique à chaque système affecté, démarrer en mode sans échec, supprimer la mise à jour CrowdStrike compromise, puis redémarrer » liste Andras Cser, vice-président et analyste principal de Forrester.

« Certains administrateurs ont également indiqué qu’ils n’ont pas pu accéder aux clés de chiffrement des disques durs BitLocker pour effectuer les étapes de remédiation. Les administrateurs doivent suivre les conseils de CrowdStrike via les canaux officiels pour contourner ce problème s’ils sont concernés » poursuit-il.

C’’est un travail difficile qu’il faut réaliser pour disposer d’un système opérationnel mais cela devrait remettre Crowdstrike dans la bonne direction pour ses prochaines mises à jour logicielles. « La résolution de ce problème nécessite des efforts considérables. Les antécédents d’incidents similaires ont montré que les opérations, les tests de produits et les stratégies de communication des fournisseurs ne s’améliorent qu’après de tels incidents » relève Andras Cser.

Remise en question de la fiabilité des logiciels de sécurité

Au-delà de cette panne, ce qui s’est passé remet en question la crédibilité des logiciels de sécurité. « La fiabilité des outils et des services utilisés par les équipes de cybersécurité est essentielle face aux cyberattaques. Un incident comme celui-ci remet en question cette fiabilité » déplore Allie Mellen, analyste principal chez Forrester. « Il ne fait aucun doute que les dirigeants s’interrogeront sur la manière de garantir la fiabilité des systèmes d’entreprise, en particulier lorsqu’il s’agit d’une technologie aussi intégrée dans les opérations quotidiennes que les logiciels de cybersécurité » prévient-il.

De plus, la perturbation s’est produite au pire moment, un vendredi soir dans certaines régions, juste au moment où les gens rentraient chez eux pour le week-end. « Les incidents technologiques de ce type nécessitent une approche globale, et vos équipes travailleront 24 heures sur 24 et 7 jours sur 7 pendant le week-end pour se rétablir » dit-il. Dès lors, il faut soutenir ses équipes. « Soutenez vos équipes en vous assurant qu’elles bénéficient d’un soutien adéquat et de pauses pour éviter l’épuisement et les erreurs. Communiquez clairement les rôles, les responsabilités et les attentes » recommande-t-il.

Ce soutien est d’autant plus nécessaire que dans le cas de l’incident Crowdstrike, la reprise se fait à la main. « Pour l’instant, la résolution de ce problème nécessite un travail manuel au clavier dans certains cas, pour des centaines ou des milliers de machines affectées. Soutenez l’équipe chargée de résoudre le problème en lui fournissant les ressources dont elle a besoin pour s’acquitter au mieux de sa tâche » ajoute-t-il.

Feuille de route pour les responsables informatiques et de la sécurité

Forrester Research recommande aux responsables de la technologie et de la sécurité de prendre immédiatement les mesures suivantes :

• Donnez aux administrateurs système autorisés les moyens de résoudre les problèmes rapidement et efficacement
• Communiquez clairement, tant en interne qu’en externe, les impacts, le statut et les progrès des efforts de remédiation
• Prêtez attention aux stratégies de communication du fournisseur et suivez les conseils officiels.  
• Prenez soin de votre personnel  

Une fois le problème immédiat résolu :

• Mettez en œuvre l’automatisation de l’infrastructure, une nécessité pour les déploiements de logiciels contrôlés et gérés
• Réactualisez et répétez leur plan d’intervention en cas de panne informatique  
• Obtenez des fournisseurs de sécurité des garanties écrites et unifiées sur leurs processus d’assurance qualité et sur l’efficacité de la détection des menaces

À plus long terme :

• Réévaluez la stratégie et l’approche en matière de risques liés aux tiers
• Utilisez le contrat comme un outil d’atténuation des risques