CrowdStrike montre les dangers des technologies SPoF
Selon CyberCube, la mise à jour défectueuse de CrowdStrike Falcon Sensor et la panne qui s’en est suivie démontrent que les pannes de technologie à point de défaillance unique (SPoF) peuvent avoir un impact sur l’économie numérique mondiale. CyberCube conseille ses clients en cyber-assurance sur la manière d’utiliser le SPoF Intelligence pour identifier les assurés exposés et estimer l’empreinte de l’événement.
La panne mondiale du système informatique a été déclenchée par une mise à jour logicielle défectueuse de CrowdStrike, provoquant des perturbations généralisées sur différents types de systèmes d’exploitation (OS) Windows. Le problème provenait d’un pilote de noyau défectueux inclus dans la mise à jour, qui a entraîné la panne de nombreux systèmes à l’échelle mondiale et l’affichage de l' »écran bleu de la mort » (Blue Screen of Death, BSoD).
La mise à jour de CrowdStrike était destinée à renforcer la sécurité, mais elle a inclus par inadvertance une erreur de logique dans un fichier de configuration. Les opérations non valides causées par l’erreur logique ont conduit le système d’exploitation à rencontrer des conditions qu’il ne pouvait pas résoudre. Le système s’est alors bloqué, ce qui s’est traduit par l’apparition d’un BSoD, une mesure de protection visant à éviter d’autres dommages au système d’exploitation en interrompant toutes les opérations.
Qui est concerné ?
La mise à jour défectueuse affecte les entreprises qui utilisent le logiciel Falcon de CrowdStrike sur des machines fonctionnant sous le système d’exploitation Windows, qu’il s’agisse d’ordinateurs de bureau (y compris Windows 10 et 11) ou de serveurs Windows. Ce sont les principales entreprises concernées par l’événement. Grâce à sa position mondiale dans le domaine de la cybersécurité, CrowdStrike compte parmi ses clients de nombreuses autres organisations que CyberCube identifie comme des SPoF. Les entreprises qui dépendent de l’un de ces SPoF peuvent être des victimes secondaires de l’événement, même si elles n’utilisent pas directement CrowdStrike et Windows. En outre, CrowdStrike Falcon est déployé par des fournisseurs de services de sécurité gérés (MSSP) sur les réseaux d’autres organisations – généralement plus petites – qu’ils supervisent. Ces organisations qui utilisent ces MSSP sont également des victimes secondaires de l’événement. Les institutions financières, les prestataires de soins de santé et les réseaux de transport, notamment, ont tous subi des perturbations.
L’application de l’outil SPoF Intelligence, développé par CyberCube, pour rechercher les assurés qui dépendent de CrowdStrike Falcon, montre qu’il est probable que tous les utilisateurs des composants principaux de la plateforme CrowdStrike Falcon en conjonction avec le système d’exploitation Windows soient touchés. L’analyse du nombre d’entreprises exposées dans la base de données américaine de CyberCube (IED) identifie les grandes entreprises des secteurs de la fabrication, des technologies de l’information, de la santé et de la finance comme les plus susceptibles d’être exposées. L’examen des limites d’exposition montre que les secteurs de l’aviation, de la banque et du commerce de détail sont les plus exposés.
CyberCube a fourni à ses clients une liste de SPoF qui dépendent à la fois de CrowdStrike Falcon et du système d’exploitation Windows. La panne affecte différentes versions des systèmes d’exploitation Windows. Cette large portée signifie que toute organisation ou personne utilisant ces systèmes d’exploitation avec CrowdStrike Falcon risque de subir des pannes de système et des perturbations opérationnelles.
Modélisation des pertes catastrophiques
Les principaux impacts de l’événement CrowdOut ressemblent beaucoup à deux scénarios du modèle d’agrégation Portfolio Manager de CyberCube. La modélisation des classes de scénarios 41 (perturbations du système d’exploitation sur les terminaux) et 42 (perturbations du système d’exploitation sur les serveurs) dans le catalogue d’événements de CyberCube montre que l’événement CrowdOut est principalement une défaillance du système ou un événement d’interruption de l’activité.
Les clients peuvent subir des impacts secondaires par le biais d’autres SPoF qui tombent dans cette empreinte primaire. Les SPoF des classes de scénario 4, 9, 10, 11 et 18 (principalement liées aux services financiers et aux technologies des systèmes de paiement) ont été observées en tant qu’utilisatrices de CrowdStrike et des systèmes d’exploitation Windows, exposant les entreprises qui dépendent de ces SPoF à d’éventuelles interruptions contingentes de l’activité (CBI).
Perspectives d’avenir
Les organisations touchées peuvent s’attendre à ce qu’une série d’efforts de remédiation et de récupération soient mis en œuvre immédiatement. Les entreprises disposant des ressources informatiques nécessaires pour gérer des incidents de grande ampleur devraient se rétablir plus rapidement. Il peut y avoir des perturbations continues pendant que les entreprises mettent en œuvre les correctifs et vérifient la stabilité de leurs systèmes. L’annulation de la mise à jour et l’application des correctifs nécessitent des connaissances spécialisées. Pour les petites et moyennes entreprises, un manque d’accès au personnel informatique pourrait retarder le processus de remédiation. Les entreprises qui ne disposent pas de plans d’urgence ou de sauvegarde informatique solides pourraient également être confrontées à des perturbations supplémentaires.
Le Cyber Aggregation Event Response Service (CAERS) de CyberCube a été activé suite à l’événement CrowdStrike. Le CAERS fournit des informations actualisées sur les cyber-catastrophes majeures dans le monde entier, au fur et à mesure de leur déroulement, afin de garantir que les clients de CyberCube disposent des informations les plus pertinentes. CyberCube continuera à suivre l’évolution de cet événement et à aider ses clients à calculer l’impact sur leurs propres portefeuilles d’assurance cybernétique.
CyberCube est le premier fournisseur de logiciels d’analyse des cyber-risques permettant de quantifier les cyber-risques en termes financiers.