Le 10 septembre dernier, Microsoft a accueilli un sommet sur la cybersécurité à son siège de Redmond, réunissant des experts en sécurité, des partenaires technologiques et des représentants de l'industrie pour discuter des améliorations nécessaires à la sécurité de Windows. Cet événement faisait suite à une panne informatique mondiale en juillet 2024, causée par une mise à jour défectueuse de CrowdStrike, qui a affecté, rappelons-le, 8,5 millions de systèmes Windows. Ce sommet a mis en lumière l'importance de la sécurité informatique dans un monde de plus en plus numérique. C’est l’occasion de revenir brièvement sur l’événement Microsoft mais aussi sur la panne Crowdstrike, les conséquences et les acteurs touchés.

L'incident de juillet 2024 a souligné la nécessité d'une coopération renforcée entre Microsoft, CrowdStrike et d'autres partenaires clés pour améliorer la sécurité des systèmes d'exploitation. La mise à jour défectueuse de CrowdStrike (sur laquelle nous allons revenir plus en détails), qui fonctionnait au niveau du noyau de Windows, a provoqué un écran bleu sur des millions d'ordinateurs à travers le monde. Cette situation a mis en évidence les risques associés à l'accès des fournisseurs de sécurité au noyau du système d'exploitation. 

Le sommet avait pour objectif de discuter des mesures concrètes que Microsoft pourrait prendre pour renforcer la sécurité de Windows. Parmi ces mesures, la limitation de l'accès au noyau de Windows pour les solutions de sécurité a été un sujet central. Des sessions techniques ont également été organisées pour discuter des pratiques de déploiement plus sûres et des améliorations possibles de la plateforme Windows et des API. Mais avant de revenir en détails sur l’événement Windows, explorons l’incident de juillet 2024 qui a eu un retentissement international inattendu.

Le 19 juillet 2024, CrowdStrike, une société américaine de cybersécurité réputée pour ses solutions robustes, a fait face à un incident majeur qui a mis en lumière les vulnérabilités des infrastructures numériques mondiales. Ce jour-là, une mise à jour défectueuse de leur logiciel phare, Falcon Sensor, a provoqué une panne informatique à l'échelle mondiale, touchant environ 8,5 millions d'ordinateurs et serveurs sous Windows. Cet événement a eu des répercussions significatives sur divers secteurs économiques, notamment les aéroports, les banques, les hôpitaux et même certains services gouvernementaux.

Le dysfonctionnement a rapidement été attribué à une erreur dans le code de la mise à jour, qui a perturbé les systèmes critiques et entraîné des interruptions de service. Les aéroports ont connu des retards massifs en raison de l'incapacité des systèmes de gestion des vols à fonctionner correctement. Dans le secteur bancaire, les transactions ont été suspendues, causant des préoccupations chez les clients et les institutions financières. Les hôpitaux ont également été touchés, certains devant reporter des procédures non urgentes pour assurer la sécurité des patients. Certains services gouvernementaux, quant à eux, ont dû faire face à des interruptions dans la prestation de services essentiels.

Face à cette crise, CrowdStrike et Microsoft ont réagi rapidement pour identifier et corriger l'erreur. Une mise à jour corrective a été déployée le jour même, permettant de rétablir progressivement les systèmes affectés. Cependant, cet incident a suscité des débats sur la dépendance croissante des entreprises et des institutions envers des solutions numériques potentiellement vulnérables.

Cet événement a également souligné la nécessité d'améliorer la résilience des infrastructures numériques. Les experts en cybersécurité ont appelé à une réévaluation des protocoles de mise à jour et de gestion des risques pour éviter que de telles situations ne se reproduisent. Il a été suggéré que des tests plus rigoureux et des systèmes de sauvegarde robustes soient mis en place pour garantir la continuité des services en cas de défaillance.

La panne mondiale causée par la mise à jour défectueuse de CrowdStrike en juillet 2024 a servi de rappel sur la fragilité des systèmes informatiques actuels. Elle a mis en évidence l'importance de la cybersécurité et de la résilience numérique dans un monde de plus en plus interconnecté. Et c’est suite à cet incident que le sommet de Microsoft a eu lieu au mois de septembre.

Bien que la presse n'ait pas été conviée au sommet du 10 septembre, certaines conclusions ont été partagées publiquement. Un consensus important était que les fournisseurs de sécurité et les clients bénéficient de l'existence d'options diversifiées pour Windows et d'un choix de produits de sécurité. Microsoft a reconnu sa part de responsabilité dans l'amélioration de la résilience en partageant ouvertement des informations sur le fonctionnement des produits et la gestion des mises à jour.

Le sommet a permis d'approfondir la compréhension des pratiques de déploiement sécurisées (SDP) utilisées chez Microsoft. Des discussions ont eu lieu sur les défis du déploiement sécurisé des mises à jour dans l'écosystème Windows, avec une décision de mise en œuvre progressive et par étapes. Microsoft Defender for Endpoint et d'autres partenaires, tels que Broadcom, Sophos et Trend Micro, ont partagé leurs approches des SDP, enrichissant ainsi le dialogue.

Microsoft a annoncé des changements importants pour permettre aux solutions de sécurité de fonctionner efficacement en dehors du noyau de Windows. L'objectif est de tenir compte des exigences des capteurs de sécurité tout en garantissant un environnement sécurisé pour les logiciels antivirus. Microsoft s'est engagé à faire des progrès rapides sur plusieurs fronts, notamment les tests de composants critiques, le partage d'informations sur l'état des produits, et l'efficacité de la réponse aux incidents.

Le sommet a également abordé des sujets importants tels que les architectures de noyau, le risque de monocultures, et la transparence des fournisseurs. Microsoft a souligné l'importance de meilleures pratiques pour le déploiement sécurisé des mises à jour dans l'écosystème Windows, en prônant un déploiement progressif et échelonné des mises à jour.

Le sommet n’avait pas pour unique but de discuter des problèmes, mais bel et bien de mettre en avant des solutions sur le court et le moyen terme. Suite au Windows Endpoint Security Ecosystem Summit, on apprend sur le blog de Microsoft que l’entreprise continuera de travailler sur l'amélioration de la sécurité et de la résilience de Windows en collaboration avec ses partenaires de l'écosystème. L'accent sera mis sur la conception et le développement de nouvelles capacités de plateforme, tout en tenant compte des besoins de performance en dehors du mode noyau et des exigences des capteurs de sécurité.

Tout comme l’ont rappelé les experts Microsoft durant le sommet, il ne faut jamais oublier l'importance de la résilience et de la redondance dans les infrastructures de cybersécurité. Les entreprises doivent tirer des leçons de l’incident Crowdstrike  et mettre en place des mesures pour prévenir de telles situations à l'avenir. Il est ainsi recommandé de ne surtout pas dépendre d'un seul fournisseur pour les solutions de sécurité. Une seconde solution peut consister à mettre en place des plans de continuité des activités et de reprise après sinistre pour assurer que les opérations puissent se poursuivre même en cas de panne de sécurité. Et bien évidemment, il est indispensable d’effectuer des audits de sécurité réguliers pour identifier les vulnérabilités et s'assurer que les mesures de protection sont à jour et efficaces. Les clients sont donc encouragés à prendre des mesures immédiates pour accroître la résilience de leurs déploiements actuels, notamment en mettant en place un plan de continuité des activités (BCP) et un plan de réponse aux incidents majeurs (MIRP), ainsi qu'en sauvegardant régulièrement et de manière sécurisée leurs données.  

Le sommet sur la cybersécurité organisé par Microsoft à la suite de l'incident CrowdStrike a été un moment clé pour repenser la sécurité des systèmes d'exploitation modernes. En réunissant des experts et des partenaires, Microsoft a montré sa détermination à renforcer la sécurité de Windows et à éviter de futures pannes mondiales. Les discussions et les décisions prises lors de cet événement devraient contribuer à une meilleure résilience des infrastructures numériques, tout en assurant une sécurité accrue pour les utilisateurs du monde entier. La collaboration continue entre Microsoft et ses partenaires sera essentielle pour atteindre ces objectifs ambitieux.