Panne mondiale Crowdstrike , 5 enseignements à en retirer
Le 19 juillet 2024 de nombreux systèmes informatiques à travers le monde ont affiché le redoutable « BlueScreen » Windows, parmi eux des systèmes sensibles tels que les écrans de gestion des vols commerciaux, des plateformes d’appels d’urgences ou de paiements électroniques.
La source du problème résidait dans une mise à jour défectueuse de l’agent Falcon Sensor, cœur de la plateforme Crowdstrike Falcon qui embarque une palette de fonctionnalité de cybersécurité telles que de l’EDR1, de l’analyse forensic2, de threat intelligence3, etc…
Cet événement permet de rappeler l’importance de la prise en compte des tiers (prestataires, sous-traitants, fournisseurs) dans le management de la sécurité des systèmes d’information et la gestion des risques.
En effet, plusieurs risques sont liés aux relations avec les tiers :
- Attaque par rebond : l’attaquant va utiliser des failles, vulnérabilités d’un tiers pour porter atteinte à sa cible (exemple de MailChimp en mars 2022)
- SupplyChainAttack consistant à corrompre un logiciel à la source afin d’infecter les clients (exemple de SolarWind décembre 2020)
- Fuite de données (exemple de FranceTravail mars 2024)
- Défaillance de configuration/mise à jour défectueuse (exemple de Crowdstrike juillet 2024)
Il est donc nécessaire de mettre en place une démarche de gestion des risques liés aux tiers efficace et adaptée à l’organisation.
La plupart des réglementations et normes autour de la cybersécurité et la protection des données intègrent d’ailleurs des exigences sur la gestion des tiers : ISO27001, DORA, RGPD, NIS2, PCIDSS….
Afin de vous prémunir contre les risques liés aux tiers et ainsi vous exposer à l’indisponibilité de vos systèmes, voici cinq conseils :
1. Identifier les systèmes critiques :
Les systèmes dont l’atteinte pourrait avoir un impact sur l’activité doivent être identifier afin de bénéficier de mesures de sécurité spécifiques.
2. Qualifier les tiers
De manière volontaire ou non, les prestataires, sous-traitants, fournisseurs peuvent avoir un impact important sur vos systèmes d’information.
Il est nécessaire d’évaluer quels niveaux de risques peuvent être induis par la relation avec le tiers.
3. Définir une politique de mise à jour adaptée
Les modifications sur des systèmes critiques doivent être contrôlées avant application afin d’éviter tout effet de bord lié à une malveillance, une mise à jour défectueuse ou une incompatibilité.
Une politique de management des mises à jour et modifications systèmes peut aider à limiter ces risques.
4. Elaborer un plan de continuité et de reprise informatique
Les activités critiques doivent bénéficier de mesures permettant de limiter l’indisponibilité et de retrouver un fonctionnement minimum en cas d’incident.
Ce plan doit être construit en fonction des temps d’indisponibilité et de fraicheur des données acceptables.
5. Réaliser des analyses de risques
Nous ne le dirons jamais assez, l’analyse de risques est le préalable obligatoire à une démarche de sécurité efficace et adaptée.
Elle permet d’identifier les processus critiques et les évènements qui pourraient avoir un impact sur l’activité. Ainsi, les ressources et mesures de sécurité peuvent être parfaitement adaptée au contexte et aux menaces de l’organisation.
Bon à savoir, Cyber ETHIC intègre systématiquement une évaluation des tiers dans ses analyses de risques !
Nous pouvons également vous aider dans la mise en œuvre d’une démarche de sécurité adaptée, la définition des politiques de sécurité et l’élaboration d’un plan de continuité.