L’analyse critique de Forrester sur l’affaire Microsoft et CrowdStrike

La mise à jour du logiciel de l’éditeur de cybersécurité CrowdStrike chez Microsoft a entraîné d’importantes perturbations opérationnelles dans les aéroports, les gouvernements, les institutions financières, les hôpitaux, les centres de transport et les médias du monde entier. Les analystes de Forrester proposent des étapes critiques sur la manière dont les décideurs IT et sécurité peuvent gérer l’impact de cette situation.

Expert : Andras Cser, vice-président et analyste principal, et Allie Mellen, analyste principal, chez Forrester

En raison de la manière dont la mise à jour a été déployée, les options de récupération pour les machines affectées sont manuelles et donc limitées : les administrateurs doivent attacher un clavier physique à chaque système affecté, démarrer en mode sans échec, supprimer la mise à jour CrowdStrike compromise, puis redémarrer. Certains administrateurs ont également indiqué qu’ils n’ont pas pu accéder aux clés de chiffrement des disques durs BitLocker pour effectuer les étapes de remédiation. Les administrateurs doivent suivre les conseils de CrowdStrike via les canaux officiels pour contourner ce problème s’ils sont concernés.

La résolution de ce problème nécessite des efforts considérables. Les antécédents d’incidents similaires ont montré que les opérations, les tests de produits et les stratégies de communication des fournisseurs ne s’améliorent qu’après de tels incidents.

La fiabilité des outils et des services utilisés par les équipes de cybersécurité est essentielle face aux cyberattaques. Un incident comme celui-ci remet en question cette fiabilité. Il ne fait aucun doute que les dirigeants s’interrogeront sur la manière de garantir la fiabilité des systèmes d’entreprise, en particulier lorsqu’il s’agit d’une technologie aussi intégrée dans les opérations quotidiennes que les logiciels de cybersécurité.

Cette perturbation s’est produite vendredi soir dans certaines régions, juste au moment où les gens rentraient chez eux pour le week-end. Les incidents technologiques de ce type nécessitent une approche globale, et vos équipes travailleront 24 heures sur 24 et 7 jours sur 7 pendant le week-end pour se rétablir. Soutenez vos équipes en vous assurant qu’elles bénéficient d’un soutien adéquat et de pauses pour éviter l’épuisement et les erreurs. Communiquez clairement les rôles, les responsabilités et les attentes.

Pour l’instant, la résolution de ce problème nécessite un travail manuel au clavier – dans certains cas, pour des centaines ou des milliers de machines affectées. Soutenez l’équipe chargée de résoudre le problème en lui fournissant les ressources dont elle a besoin pour s’acquitter au mieux de sa tâche.

Quelques bonnes pratiques de Forrester

  • Forrester recommande aux responsables de la technologie et de la sécurité de prendre immédiatement les mesures suivantes :
    • Donner aux administrateurs système autorisés les moyens de résoudre les problèmes rapidement et efficacement.
    • Communiquer clairement, tant en interne qu’en externe, les impacts, le statut et les progrès des efforts de remédiation.
    • Prêtez attention aux stratégies de communication du fournisseur et suivez les conseils officiels.
      Prenez soin de votre personnel.
  • Une fois le problème immédiat résolu :
    • Mettre en œuvre l’automatisation de l’infrastructure, une nécessité pour les déploiements de logiciels contrôlés et gérés.
    • Réactualiser et répéter leur plan d’intervention en cas de panne informatique.
    • Obtenir des fournisseurs de sécurité des garanties écrites et unifiées sur leurs processus d’assurance qualité et sur l’efficacité de la détection des menaces.
  • À plus long terme :
    • Réévaluer la stratégie et l’approche en matière de risques liés aux tiers.
    • Utiliser le contrat comme un outil d’atténuation des risques.

à lire