CrowdStrike
Products and Services PRODUCTS & SERVICES

Panne mondiale de CrowdStrike : les conseils de Sophos

Notre avis sur l'incident qui a eu lieu et nos réponses aux questions clés des clients et partenaires de Sophos.

Le 19 juillet 2024, CrowdStrike a déployé une “mise à jour de contenu” pour ses clients utilisant l’agent endpoint CrowdStrike Falcon sur des appareils Windows, entraînant des perturbations au sein des entreprises du monde entier dans plusieurs secteurs, notamment les voyages, la banque, la santé et le retail.

Les acteurs malveillants profitent généralement des perturbations et des incidents à grande échelle pour cibler de potentielles victimes. Dans cet article, nous allons détailler clairement notre compréhension des évènements qui ont eu lieu et nous allons aussi répondre aux questions clés de nos clients et partenaires.

L’objectif de toutes les entreprises du secteur de la cybersécurité, Sophos et ses concurrents, est d’assurer la sécurité des organisations et de les protéger contre les attaquants. Même si nous sommes en concurrence les uns avec les autres sur la scène internationale, nous formons, et c’est bien là le point le plus important, une communauté unie contre les cybercriminels en tant qu’ennemi commun à combattre. Nous apportons actuellement notre soutien à CrowdStrike et souhaitons à chaque organisation concernée un rétablissement rapide et un retour à la normale le plus tôt possible.

La cybersécurité est un paysage incroyablement complexe et en évolution rapide. “Pour ceux d’entre nous qui sont pleinement impliqués au cœur même de ce secteur, ce type de situation nous est probablement déjà arrivé à un moment ou à un autre, et quelles que soient les mesures de précaution que nous prenons, nous ne sommes jamais immunisés à 100 %”, a déclaré Joe Levy, CEO de Sophos, sur LinkedIn.

Résumé de la situation

  • Cette panne mondiale n’est pas le résultat d’un incident de sécurité chez CrowdStrike ni d’une cyberattaque.
  • Même si elle ne résulte pas d’un incident de sécurité, la cybersécurité s’appuie notamment sur les principes fondamentaux suivants :  la confidentialité, l’intégrité et la disponibilité. La disponibilité a été clairement affectée, il s’agit donc clairement d’un échec en matière de cybersécurité.
  • Le problème, qui a généré un “écran bleu de la mort” (BSOD) sur les machines Windows, a été provoqué par une mise à jour de “contenu” du produit, déployée auprès des clients CrowdStrike.
  • Les organisations utilisant des agents CrowdStrike Falcon sur des ordinateurs et des serveurs Windows peuvent avoir été touchées. Les appareils Linux et macOS n’ont pas été concernés par cet incident.
  • CrowdStrike a identifié le déploiement de contenu lié à ce problème et a fait machine arrière en annulant ces modifications. Des conseils en matière de remédiation ont été publiés pour les clients CrowdStrike.

Les mises à jour de “contenu”

Il s’agissait d’une mise à jour typique de “contenu” du logiciel de sécurité endpoint de CrowdStrike, le type de mise à jour que de nombreux éditeurs de logiciels (notamment Sophos) doivent effectuer régulièrement.

Les mises à jour de contenu, parfois appelées mises à jour de protection, améliorent la logique de protection d’un produit de sécurité endpoint et sa capacité à détecter les dernières menaces. A cette occasion, une mise à jour de contenu de CrowdStrike a eu des conséquences majeures et imprévues. Cependant, aucun éditeur de logiciels n’est à l’abri d’un tel incident, et des problèmes comme celui-ci peuvent (et affectent) d’autres éditeurs, quel que soit le secteur.

Réponse de CrowdStrike

CrowdStrike a publié une déclaration sur son site Web contenant des conseils en matière de remédiation à l’intention de ses clients. Si vous êtes concerné par le problème ou recevez des demandes de vos clients qui utilisent CrowdStrike, veuillez vous référer à cette page officielle CrowdStrike :

https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

Comme toujours, la vigilance est de mise. Les cybercriminels enregistrent des domaines potentiellement malveillants (typo-squatting) et utilisent le terme “remédiation CrowdStrike” dans leurs campagnes de phishing pour tenter de tromper de potentielles victimes. Si vous contactez ou êtes contacté par CrowdStrike, veuillez vérifier que vous parlez bien à un représentant officiel et accrédité.

Les clients Sophos ont-ils été touchés par l’incident CrowdStrike ?

Les clients utilisant Sophos pour la protection endpoint, notamment ceux ayant déployé Sophos Endpoint avec Sophos XDR ou Sophos MDR, n’ont pas été affectés. Un petit nombre de clients qui utilisent l’agent Sophos “XDR Sensor” (disponible avec Sophos XDR et Sophos MDR) comme un overlay en plus de CrowdStrike Falcon peuvent avoir été concernés.

Que fait Sophos pour mitiger le risque d’une interruption de service similaire ?

Chaque produit de protection endpoint, notamment Sophos Endpoint, fournit des mises à jour régulières du produit et publie en permanence des mises à jour de protection (contenu). Les menaces s’adaptent rapidement, ainsi des mises à jour, elles aussi rapides, de la logique de protection sont essentielles pour suivre l’évolution constante du paysage des menaces.

Ayant fourni des solutions de protection endpoint de pointe pendant plus de trois décennies et tiré de nombreuses leçons des incidents passés subis par Sophos et le secteur plus globalement, Sophos dispose de processus et de procédures robustes pour mitiger le risque de perturbation de ses clients. Mais ce risque n’est jamais nul.

Chez Sophos, toutes les mises à jour de produit sont testées dans des environnements d’assurance qualité internes spécialement conçus avant d’être mises en production. Une fois en production, les mises à jour du produit sont publiées en interne pour tous les employés et l’infrastructure de Sophos dans le monde entier.

Ce n’est que lorsque tous les tests internes ont été effectués et que nous sommes convaincus que la mise à jour répond aux critères de qualité que cette dernière est progressivement diffusée auprès des clients. Le déploiement de la nouvelle version se fera tout d’abord lentement, puis s’accélérera et sera enfin diffusée au niveau de l’ensemble des clients. La télémétrie est collectée et analysée en temps réel. En cas de problème avec une mise à jour, seul un petit nombre de systèmes sera affecté et Sophos pourra revenir en arrière très rapidement.

Les clients peuvent éventuellement contrôler les mises à jour des produits Sophos Endpoint (mais pas les mises à jour de protection) à l’aide des paramètres de politique de gestion des mises à jour. Les options du package logiciel incluent le support Recommandé (géré par Sophos), à durée déterminée et à long terme, avec la possibilité de planifier le jour et l’heure auxquels les mises à jour doivent avoir lieu.

Comme pour les mises à jour de produit, toutes celles concernant le contenu de Sophos Endpoint sont testées dans nos environnements d’assurance qualité avant d’être mises en production, chaque version étant examinée pour garantir qu’elle répond à nos normes en matière de qualité. Les versions de contenu destinées aux clients passent par un certain nombre d’étapes dans le cadre de nos contrôles d’assurance qualité continus et nous surveillons et ajustons les versions en fonction de la télémétrie si nécessaire.

Sophos suit un cycle de développement sécurisé pour garantir que nos solutions soient développées de manière sécurisée et efficace, et détaillé dans le Sophos Trust Center. Des informations supplémentaires sur les principes de publication et de développement de Sophos Endpoint sont disponibles dans notre base de connaissances (knowledgebase).

Billet inspiré de CrowdStrike global outage: Sophos guidance, sur le Blog Sophos.