C’est la panne informatique la plus importante de ces dernières années liée à Microsoft. Plus de 8 millions d’appareils ont été touchés simultanément, provoquant de nombreux désordres partout dans le monde. L’incident cyber a touché des secteurs et infrastructures clés en quelques instants, paralysant quasi immédiatement les activités essentielles et pulvérisant des milliards de dollars. Comment cette expérience peut-elle permettre aux entreprises et aux gouvernements de tirer des leçons de cette crise cyber pour éviter de nouvelles défaillances ?
Tout d’abord, la mise à jour automatique a dû être remédié en mode manuel. Qu’est-ce que cela signifie ? Que l’automatisation n’est pas exempte de pannes. La vérification des mises à jour par des équipes chez CrowdStrike aurait dû être plus poussée. Il parait crucial d’améliorer la rigueur des processus de tests et de validation avant le déploiement des mises à jour.
Pour les entreprises utilisatrice de Windows qui avaient travaillé des scénarios de simulation de pannes, elles ont pu déployer leur plan de continuité d’activité pour assurer le fonctionnement des activités. Elles sortiront de cette épreuve renforcées. Les entreprises n’ayant pas le personnel capable de passer en mode manuel ou dégradé et sans solutions alternatives ont été les plus sévèrement touchées. Il est donc impératif de former continuellement les équipes techniques à gérer des pannes similaires et de développer des plans de continuité d’activité robustes.
De même, les entreprises ayant préparé leurs communications face à cette situation ont réduit leurs dommages tout en augmentant la confiance et leur réputation. La formation et l’entraînement des hommes et des femmes à la communication de crise cyber a permis de gérer la situation grâce à un bon ordonnancement et une réduction de la panique, car chaque acteur disposait des informations et savait ce qu’il avait à faire. Il parait essentiel d’intégrer des exercices de simulation de crise dans les protocoles de préparation aux urgences.
Le recours au non numérique a été un moyen efficace
L’autre élément est qu’il a fallu cesser d’utiliser les solutions numériques pour se retrouver avec des supports papiers, des moyens de substitution et des réunions physiques pour résoudre le bug. Les entreprises les moins impactées sont celles qui ont eu la capacité de revenir et de travailler en mode non numérique. La mise en place de procédures et de ressources permettant de basculer rapidement vers des modes de fonctionnement alternatifs est donc cruciale.
Enfin, les entreprises disposant de sauvegardes hors connexion et ayant formé leurs employés et dirigeants à ce type de situation ont pu reprendre la main plus facilement en rechargeant leur sauvegarde. L’importance des sauvegardes régulières et sécurisées est souvent sous-estimée. Il est vital de créer des routines de sauvegarde rigoureuses et de s’assurer que les données critiques sont accessibles et sanctuarisés en cas de panne majeure.
Cet événement pointe également la fragilité de nos pays européens et entreprises à être interconnectés et dépendants des mêmes réseaux, de quelques logiciels ou fournisseurs de cloud, notamment américains. Cette expérience montre qu’un incident mineur peut provoquer un impact majeur mondial.
Pour renforcer la souveraineté numérique et le bon fonctionnement de nos services, il est crucial de diversifier les fournisseurs de services et de développer des alternatives locales et européennes. L’arrivée de nouvelles réglementations va renforcer la gouvernance et réviser les processus de gestion des risques. Ce sont des axes essentiels pour identifier, surveiller et atténuer les risques associés à la numérisation des activités.
Le renforcement des contrôles au plus haut niveau des organisations et l’accélération d’approches centrées sur l’humain pour maîtriser l’utilisation des technologies peuvent permettre d’accroître la résilience.
Renforcer encore les réglementations ?
Les entreprises et gouvernements doivent réduire les risques découlant de leur dépendance à l’égard des fournisseurs de services tiers. Des mesures d’atténuation des risques pourraient être renforcées, notamment par des audits réguliers, des évaluations de la résilience et des tests de stress en cas de défaillance de fournisseurs et d’infrastructures critiques. Mais c’est surtout donner les moyens de solutions souveraines.
Ce matin, le Wall Street Journal mentionnait qu’une personne de Microsoft considérait que la Commission Européenne, avait une part de responsabilité dans cet événement du fait qu’un accord signé avec la Commission européenne de 2009 donnait aux éditeurs de logiciels de sécurité le même niveau d’accès à Windows que Microsoft. Ce qui pouvait entraîner une faille de sécurité. Gageons que la réponse de la Commission européenne ne devrait pas tarder sur les responsabilités respectives et les options de souveraineté.
Patrice Remeur