Publié le

Défaillance du système

MARY REICHARD, HÔTE : La prochaine étape est la technologie mondiale en panne.

Vendredi, les systèmes informatiques de Microsoft sont tombés en panne dans le monde entier et les employés des compagnies aériennes, des banques et des hôpitaux ont vu leurs écrans devenir bleus avec des messages d'erreur. Cela a déclenché toutes sortes de problèmes, allant des vols annulés aux ordonnances médicales retardées.

NICK EICHER, HÔTE : Le coupable n'était pas une cyberattaque ou une panne de courant, mais un problème de mise à jour du système. L'entreprise responsable est une société de cybersécurité appelée CrowdStrike.

Mark Montgomery, expert en cybersécurité à la Fondation pour la défense des démocraties, nous rejoint pour nous parler de ce qui s'est passé.

REICHARD : Mark, bonjour.

MARK MONTGOMERY : Bonjour et merci de m’avoir invité.

REICHARD : Nous sommes ravis que vous soyez ici. Que pouvez-vous nous dire à propos de CrowdStrike, l'entreprise de logiciels au cœur de cette histoire ?

MONTGOMERY : CrowdStrike est une entreprise de cybersécurité très respectée. Elle développe certains des outils de cybersécurité que vous trouverez dans notre domaine militaire, dans nos domaines de la communauté du renseignement, ainsi que dans trois ou quatre cents entreprises du classement Fortune 500. C'est donc une entreprise omniprésente avec une large présence mondiale et une réputation de haut niveau de sécurité, de fiabilité et de performance.

REICHARD : Que savons-nous jusqu’à présent sur les raisons pour lesquelles cette mise à jour logicielle a si mal tourné ?

MONTGOMERY : Ce qui me frappe, c'est que c'était probablement une mauvaise nouvelle. Je pense que c'est ce que nous commençons à comprendre, c'est-à-dire une implémentation routinière et automatisée de logiciels modifiés dans les systèmes de cybersécurité existants. Celui-ci a eu un impact très particulier sur Windows en raison de la façon dont Windows accepte les modifications, et cela a eu un impact plus important sur eux. Mais vous savez, il s'agit essentiellement d'une erreur humaine, mais c'est l'erreur humaine qui révèle vraiment la vulnérabilité et la fragilité de nos réseaux de cybersécurité globaux aux États-Unis et parmi nos alliés et partenaires développés.

REICHARD : Eh bien, à ce propos, je veux dire que ce problème a affecté de nombreuses entreprises et services. Quels autres changements les industries devraient-elles apporter pour éviter des problèmes de ce type à l'avenir ?

MONTGOMERY : Je pense que la plupart des entreprises doivent désormais se poser des questions sur les mises à jour automatiques. L'idée selon laquelle quelque chose ne fait pas l'objet d'une vérification préalable de la part du client, et je pense qu'au fil du temps, les clients se sont habitués à ce système dans lequel les correctifs arrivent, sont validés par l'entreprise de cybersécurité qui les fournit et permettent aux systèmes de se déployer automatiquement. Il y aura une attitude beaucoup plus critique à l'égard de ce type de processus et de procédures à l'avenir.

REICHARD : Y a-t-il un autre aspect de l’histoire qui, selon vous, mérite davantage d’attention de la part du grand public ?

MONTGOMERY : Je pense qu’il faut combiner cette histoire avec une autre dont nous avons entendu parler il y a trois mois, appelée Volt Typhoon. Volt Typhoon était une opération chinoise visant à installer des logiciels malveillants dans nos infrastructures nationales critiques, vous savez, les chemins de fer, les ports, l’aviation, les réseaux électriques, les services financiers, l’eau. Les services de renseignement, nos services de renseignement, ont rapporté que cela s’est produit à Guam, à Hawaï, sur la côte ouest des États-Unis – croyez-moi, la Chine a une carte, elle sait qu’il y a un Midwest et une côte est, vous savez, ce logiciel malveillant est également positionné dans ces réseaux. Nous avons donc eu un petit aperçu de l’impact des logiciels malveillants dans cet incident informatique involontaire, et nous savons que notre adversaire réfléchit à la manière d’utiliser correctement cette technologie pour nuire le plus possible à la capacité des États-Unis à assurer la mobilité militaire de nos forces, mais aussi à la productivité économique, afin que nous puissions être compétitifs en cas de crise ou d’urgence, ou même en matière de santé et de sécurité publiques, de sorte que les gens perdent confiance dans la crédibilité du gouvernement à fournir des services de base ? Tout cela est en danger à cause de la fragilité de notre système de réseau, qui ne dispose pas d’une sécurité et d’une fiabilité suffisantes. Tant que nous n’aurons pas résolu ce problème, je pense que des événements comme celui de CrowdStrike ou les précédents problèmes de Microsoft vont se répéter.

REICHARD : Il est particulièrement effrayant de voir une génération qui ne se souvient pas de ce qu'était la vie avant que nous ayons toutes ces commodités, et d'avoir ma génération qui ne sait pas quoi faire quand ces commodités ne fonctionnent plus. Alors comment pouvons-nous remédier à cela ?

MONTGOMERY : Vous n'êtes pas le seul à penser de cette façon. Il y a deux semaines, deux membres du Congrès, le représentant Crenshaw et le représentant Magaziner du Texas et du Rhode Island, républicain et démocrate, ont présenté un projet de loi demandant au gouvernement ce qu'il fallait faire pour revenir au mode manuel. Ils parlaient très précisément du réseau électrique, mais cela peut s'appliquer à presque toutes les infrastructures critiques. Que faut-il faire si nous avons une panne importante de nos réseaux informatiques dans une industrie ou une infrastructure ? C'est une question légitime. Certains d'entre nous se sont demandé comment faire ce qu'on appelle l'économie de continuité. Comment faire pour que l'économie continue de fonctionner après une cyberattaque majeure ? Comment restaurer rapidement les systèmes ? Peut-être que la réponse est de revenir au mode manuel. Je vais vous dire que le problème avec le mode manuel est que le mode manuel nécessite des personnes, et les personnes qui faisaient ce travail manuel il y a 25 ou 30 ans ont depuis longtemps quitté l'industrie. Donc, lorsque l'industrie doit passer de l'automatique au manuel, il n'y a pas de main-d'œuvre pour le faire.

REICHARD : Dernière question ici, alors… que peuvent faire les entreprises et les particuliers à ce sujet ?

MONTGOMERY : Vous savez, tout d’abord, au niveau personnel, vous devez vous protéger contre les intrusions informatiques. Assurez-vous d’avoir de bons mots de passe. Assurez-vous d’avoir une bonne authentification multifactorielle. Assurez-vous de ne pas répondre aux e-mails des princes nigérians, n’est-ce pas ? Ne vous engagez pas dans un problème de phishing. Mais quand vous pensez aux entreprises, que peuvent-elles faire ? C’est une question de résilience. Il s’agit de supposer que des choses mauvaises vont se produire, puis une fois que cela se produit, comment puis-je récupérer rapidement, pas en quelques jours ou semaines, mais en quelques minutes ou heures ? Comment puis-je remettre mon système en marche ou comment mon entreprise peut-elle le faire fonctionner rapidement ? Premièrement, pour économiser de l’argent, deuxièmement, pour éviter les atteintes à la réputation, et troisièmement, pour fournir le service que nos clients et notre pays attendent. Donc, développer cette résilience, développer cette redondance, développer cette fiabilité, c’est ce que les entreprises doivent faire.

REICHARD : Mark Montgomery est directeur principal du Centre sur l'innovation cybernétique et technologique de la Fondation pour la défense des démocraties. Mark, merci beaucoup pour votre temps !

MONTGOMERY : Merci de m'avoir invité, Mary.