Aux premières heures du vendredi 19 juillet, une mise à jour du produit CrowdStrike Falcon Sensor a déclenché une panne mondiale sur les machines Windows. Les équipements de banques, de chaînes de télévision, de compagnies aériennes, d'hôpitaux et de nombreuses autres entreprises ont soudainement affiché le redoutable "écran bleu de la mort" après que CrowdStrike a transmis à sa base d'utilisateurs ce que l'entreprise a déclaré être une mise à jour défectueuse du contenu.
Il ne s'agit pas d'une cyberattaque ou d'un acte malveillant. Il s'agissait d'un code défectueux dans une mise à jour régulière du produit. Cet incident illustre parfaitement la nécessité d'évaluer en permanence les pratiques de résilience de vos tiers et de comprendre l'exposition au risque des tiers dans votre univers de fournisseurs lorsque des pannes généralisées comme celle-ci se produisent.
CrowdStrike publie régulièrement des mises à jour du contenu de ses produits Falcon Sensor afin de s'assurer qu'ils protègent contre les cyberattaques les plus récentes. Tous les rapports indiquent que la mise à jour fait partie de ce cycle de déploiement.
La mise à jour comprenait toutefois un code défectueux qui a déclenché le redoutable écran bleu de la mort sur les machines Windows. Les équipements concernés ne répondaient plus, même après un redémarrage, ce qui a entraîné l'arrêt de milliers d'entreprises dans le monde entier et perturbé le fonctionnement de banques, de compagnies aériennes, d'hôpitaux et d'autres organisations. Environ 1 400 vols ont été annulés dans le monde entier à cause de ce problème, et certains voyageurs se sont vu remettre des cartes d'embarquement écrites à la main pour pouvoir prendre leur vol.
Les produits défensifs de CrowdStrike sont utilisés dans tant d'endroits que cette erreur a entraîné toute une série de problèmes. Il ne s'agissait même pas d'une cyberattaque, comme l'a déclaré le PDG George Kurtz dans un communiqué.
Prevalent a développé une courte évaluation à envoyer à vos fournisseurs pour mieux comprendre qui est affecté et comment ils répondent au problème. Cette courte évaluation fournira une visibilité rapide sur tous les tiers qui utilisent le produit Crowdstrike Falcon Sensor et sur qui et dans quelle mesure ils ont été affectés par cet incident.
Note aux clients de Prevalent : Cette évaluation est maintenant disponible dans votre bibliothèque de questionnaires.
Questions | Choix de réponses |
---|---|
1. Votre organisation utilise-t-elle le produit CrowdStrike Falcon Sensor NGAV (Next-generation antivirus) et EDR (Endpoint detection and response) ? Texte d'aide : La société de cybersécurité CrowdStrike a publié une mise à jour de son produit Falcon Sensor le vendredi 19 juillet, qui a provoqué un incident affectant les systèmes Windows. Le défaut a été détecté dans une seule mise à jour de contenu pour les hôtes Windows, ce qui a provoqué un plantage et l'affichage de l'écran bleu de la mort. |
a) Oui b) Non |
2. Quelle a été l'importance de l'incident sur vos systèmes et votre infrastructure ? Texte d'aide : Il convient de tenir compte de l'endroit où l'impact s'est produit, ainsi que du niveau d'impact. Impact significatif : La vulnérabilité a entraîné une perte de confidentialité ou d'intégrité des données. Impact élevé : La disponibilité du système a été périodiquement perdue, et une certaine perte de confidentialité ou d'intégrité des données a été constatée. Faible impact : Pas de perte de confidentialité ou d'intégrité des données ; perturbation minimale ou inexistante de la disponibilité du système. |
a) Nos systèmes, applications ou informations critiques ont subi un impact important b) L'impact sur nos systèmes, applications ou informations critiques est important. c) L'impact sur nos systèmes, applications ou informations critiques a été faible. d) L'incident n'a pas eu d'impact sur nos systèmes, applications ou informations critiques. |
3. L'organisation dispose-t-elle de solutions de rechange et/ou de systèmes de sauvegarde à partir desquels elle peut effectuer des restaurations ? |
a) Oui b) Non c) N/A |
4. L'organisation a-t-elle mis en œuvre les étapes de récupération manuelle recommandées par CrowdStrike ? Texte d'aide : CrowdStrike a suggéré les solutions manuelles suivantes pour restaurer les systèmes : Démarrer Windows en mode sans échec ou dans l'environnement de récupération Windows Naviguer vers le répertoire C:\NWindows\NSystem32\Ndrivers\NCrowdStrike Localisez le fichier correspondant à "C-0000029*.sys" et supprimez-le. Démarrer l'hôte normalement |
a) Oui b) Non |
5. Qui est désigné comme point de contact pour répondre aux questions supplémentaires ? Texte d'aide : Veuillez indiquer le contact principal pour la gestion des incidents liés à l'information et à la cybersécurité. |
|
L'annonce d'un incident à fort impact, quelle qu'en soit la cause, n'est pas le bon moment pour s'assurer que votre organisation a mis en place unplan de réponse à l'incident par un tiers. Au lieu de cela, commencez à vous préparer au prochain incident en mettant en œuvre une approche proactive dès maintenant. Voici quatre bonnes pratiques pour commencer :
1. Établir un inventaire centralisé de tous les tiers
Un inventaire centralisé des fournisseurs doit être créé dans une plateforme, et non dans des feuilles de calcul manuelles, afin que toutes les équipes internes nécessaires puissent participer à la gestion des fournisseurs par le biais d'un processus automatisé. Une fois cette étape franchie, vous devez procéder à une évaluation des risques inhérentsafin de déterminer comment évaluer en permanence vos fournisseurs tiers en fonction des risques qu'ils représentent pour votre entreprise.
2. Établir une carte des tiers pour déterminer le risque de concentration technologique
Connaître les technologies tiercesdéployées dans votre écosystème de fournisseurs permet d'identifier les relations entre votre organisation et les tiers sur la base de l'utilisation de certaines technologies.
Une fois que vous avez compris cela, vous pouvez mieux déterminer les risques de concentration possibles, comme les points faibles et les voies d'accès à votre entreprise, afin de les atténuer de manière proactive. Pour ce faire, vous pouvez procéder à une évaluation ciblée ou à un balayage passif.
3. Évaluer les plans de résilience et de continuité des activités des tiers.
Engagez de manière proactive les fournisseurs concernés avec des évaluations simples et ciblées qui s'alignent sur les normes de sécurité de la chaîne d'approvisionnement connues du secteur, telles queNIST 800-161etISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives pour combler les lacunes potentielles. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de remédiation et combler rapidement ces lacunes.
4. Surveiller en permanence les vendeurs et les fournisseurs concernés pour détecter les problèmes.
La vigilance permanente à l'égard du prochain problème de la chaîne d'approvisionnement implique de rechercher les signes d'un incident imminent.Il est essentiel desurveiller demultiples sources de renseignements sur les risques, telles que les forums criminels, les sites d'avis de piratage ou d'intrusion, les référentiels de code et les bases de données de vulnérabilités. Vous pouvez surveiller ces sources individuellement ou trouver des solutions qui unifient toutes les informations dans un tableau de bord unique afin que tous les risques soient centralisés et visibles pour l'entreprise. Le problème de CrowdStrike ne provenait heureusement pas d'une source malveillante, mais la surveillance des risques reste un élément clé pour comprendre votre exposition à un incident de tiers.
Au cours des prochaines semaines, les entreprises touchées par la panne de CrowdStrike vont probablement passer beaucoup de temps à récupérer leurs systèmes. Les fournisseurs, grands et petits, devront faire face au ralentissement de l'activité et remettre en service des milliers de machines d'utilisateurs finaux. Le fait de savoir lesquels de vos fournisseurs ont été les plus touchés devrait vous donner une bonne indication de ce qu'il faut faire ensuite et de la manière de vous assurer que vous ne subirez pas le même ralentissement d'activité, si vous n'êtes pas également confronté à la panne.
Vous souhaitez faire évoluer votre programme de gestion des risques liés aux tiers et être mieux préparé à de futurs incidents comme celui-ci ? Découvrez comment Prevalent peut vous aider en demandant une démonstration de notre plateforme TPRM dès aujourd'hui.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024