Les conséquences des pannes : Quelle est la prochaine étape pour Microsoft et ses clients ?

Microsoft et ses clients ont beaucoup de matière à réflexion à la suite d'une panne récente causée par une attaque DDoS, alors qu'ils sont encore en train de traiter l'incident CrowdStrike.
13 août 2024
Logo de la semaine de l'information

Note de l'éditeur : cet article a été publié à l'origine sur www.informationweek.com.

---

Une attaque DDoS a perturbé plusieurs services en nuage Azure de Microsoft moins de deux semaines après la mise à jour de CrowdStrike qui a provoqué des pannes de services Windows le 19 juillet à l'échelle mondiale.

"Ce n'est certainement pas idéal pour Microsoft que cela se soit produit si près du 19 juillet. Je pense que beaucoup d'entre nous se souviendront de cette date tout au long de leur carrière, car il s'agissait d'une panne d'une telle ampleur", explique à InformationWeek Kim Anstett, DSI de la société de cybersécurité Trellix.

Deux pannes aussi rapprochées soulèvent des questions sur ce qui se passe lorsqu'une entreprise telle que Microsoft, qui détient une part de marché considérable, ne peut pas fournir ses services, et sur la manière dont les clients doivent envisager l'avenir.

Les pannes

Le 30 juillet, " ... un sous-ensemble de clients a connu des erreurs de connexion intermittentes, des dépassements de délai ou des pics de latence lors de la connexion aux services Microsoft qui utilisent Azure Front Door (AFD) et Azure Content Delivery Network (CDN) ", selon Microsoft. Le problème a persisté pendant près de huit heures.

La panne provoquée par l'attaque DDoS n'est pas liée à l'incident CrowdStrike, mais le fait qu'elle survienne si peu de temps après l'incident CrowdStrike souligne à quel point les perturbations subies par les principaux fournisseurs de services peuvent être ressenties par le plus grand nombre.

Une mise à jour logicielle publiée par l'entreprise de cybersécurité CrowdStrike a déclenché une panne à la mi-juillet qui a touché des millions d'appareils Windows dans le monde entier. À la suite de cette panne, des services essentiels ont eu du mal à fonctionner, voire ont complètement cessé de fonctionner. Les accusations se succèdent à un rythme effréné et risquent de donner lieu à des batailles juridiques. CrowdStrike, Microsoft et Delta, l'une des compagnies aériennes qui a dû annuler des milliers de vols à cause de la panne, échangent des lettres juridiques, rapporte Axios.

"Il y a un thème autour de la technologie et des grandes entreprises qui sont profondément pénétrées dans l'entreprise et les gens s'interrogent sur le sens de la responsabilité et sur ce que cela signifie d'avoir ce genre d'influence sur la façon dont tant d'entreprises fonctionnent", déclare Anstett.

Incidents isolés ou non ?

Un défaut dans une mise à jour de CrowdStrike a été à l'origine de la panne généralisée de Windows le 19 juillet, provoquant l'apparition de l'écran bleu de la mort sur les appareils. La panne du 30 juillet était liée à une attaque DDoS, mais Microsoft a également révélé que ses défenses contre ce type d'attaque fréquent n'étaient pas correctement mises en œuvre.

Bien que ces deux incidents soient distincts l'un de l'autre, ils suggèrent qu'il est nécessaire d'examiner de plus près le processus d'examen.

"Il est très important que les entreprises ne se contentent pas de mettre en place ces systèmes pour assurer la sécurité et la protection. Elles doivent [également] prendre des mesures proactives pour tester en permanence leurs propres défenses et le faire d'une manière qui reflète les réalités du monde réel", explique David Allen, directeur technique et RSSI de Prevalentune société de solutions de gestion des risques pour les fournisseurs tiers, explique à InformationWeek.

Les dirigeants qui s'appuient sur des services tels que ceux de Microsoft pour faire fonctionner leur entreprise doivent répondre à des questions difficiles sur la manière dont ils peuvent prendre des mesures proactives en sachant que ces types de pannes informatiques se reproduiront presque certainement, que ce soit en raison d'une cause différente ou avec un autre fournisseur informatique important.

"C'est un signal d'alarme pour les gens qui doivent réfléchir à la manière de renforcer la résilience de la sécurité et de l'infrastructure informatique", déclare Aimei Wei, fondateur et directeur technique de l'entreprise de cybersécurité Stellar Cyber.

M. Allen conseille vivement aux entreprises de mettre en place des plans de reprise après sinistre et de les tester. "Que se passerait-il si ce fournisseur était hors service pendant 10 heures ? Que se passerait-il s'il était hors service pendant une semaine, deux semaines, un mois ? Quelles sont nos alternatives ? Que pouvons-nous mettre en place pour nous assurer que notre activité n'est pas affectée ?

Au fur et à mesure que les dirigeants d'entreprise examinent ces scénarios, il peut apparaître clairement qu'un environnement plus hétérogène est plus prudent.

"Qu'en est-il de la continuité et de la résilience des entreprises ? demande M. Anstett. "Pour moi, cela commence par une empreinte plus hétérogène plutôt que par une source unique.

Par exemple, les entreprises peuvent envisager une stratégie multi-cloud qui s'appuie sur plusieurs fournisseurs de services. "Cela augmentera les coûts. Mais quel est le coût d'une interruption d'activité pendant un certain temps ? Il faut trouver un équilibre entre ces deux éléments", explique M. Allen.

Le dilemme de la fiabilité

De nombreuses organisations dépendent de Microsoft pour fonctionner, et les conséquences de l'impossibilité d'accéder à ses services sont apparues clairement lors de la panne mondiale. La part de marché importante du géant de l'informatique attire l'attention des autorités de régulation, selon le Washington Post.

Le 19 juillet, la présidente de la Federal Trade Commission (FTC), Lina Khan, a publié sur X: "L'informatique dématérialisée est un autre domaine dans lequel nous risquons de manquer de résilience. En réponse à l'enquête de la @FTC, les acteurs du marché ont fait part de leurs inquiétudes quant à la dépendance généralisée à l'égard d'une poignée de fournisseurs d'informatique en nuage, notant que la consolidation peut créer des points de défaillance uniques."

Mike Morper, vice-président senior du marketing produit de la société de cryptage de données Virtru, affirme que Microsoft a créé une "monoculture". "Et non seulement les entités gouvernementales, mais aussi les entités commerciales, sont devenues trop dépendantes de cette monoculture", déclare-t-il.

Mme Anstett a également souligné que la stratégie de Microsoft n'encourageait pas l'hétérogénéité de l'environnement. "La façon dont les produits sont regroupés et la façon dont ils sont vendus ont rendu très difficile la flexibilité des individus et des entreprises pour faire évoluer le paysage et apporter des solutions supplémentaires dans un environnement hétérogène", dit-elle. "Ils doivent vraiment faire un examen de conscience et réfléchir à la manière dont ils se présentent en tant qu'entité technologique au service du bien commun plutôt que de leurs propres intérêts", ajoute Mme Anstett.

Il est possible qu'une réglementation gouvernementale tente d'apporter des changements à ce type de culture.

"Lorsque les organismes gouvernementaux commenceront à mettre la main à la pâte, lorsque des vies seront mises en jeu au-delà des simples données, je pense qu'il y aura des changements tectoniques", déclare M. Morper.