La cybersécurité est souvent une question de rapidité : un cybercriminel développe une technique ou un code d’attaque malveillant, les entreprises de cybersécurité réagissent à la nouvelle menace et, si nécessaire, ajustent et adoptent des méthodes pour détecter la menace.
Cette approche peut nécessiter la mise à jour des systèmes de détection dans le cloud et/ou la mise à jour des dispositifs terminaux pour fournir la protection nécessaire contre la menace. Et la rapidité est essentielle, car le secteur de la cybersécurité est présent pour protéger, détecter et répondre aux menaces dès qu’elles apparaissent.
Les processus qu’implémentent les entreprises de cybersécurité pour éviter les conflits entre une mise à jour et le système d’exploitation ou d’autres produits sont généralement significatifs, avec des environnements de test automatisés qui simulent des scénarios réels sur différents systèmes d’exploitation, différentes déclinaisons de drivers système, etc.
Dans certains cas, ce processus peut être supervisé par des êtres humains, offrant une confirmation finale que tous les processus et procédures ont été suivis et qu’il n’y a pas de conflits. Il peut également y avoir des tiers, comme un fournisseur de système d’exploitation, qui testent indépendamment du fournisseur de cybersécurité, essayant d’éviter tout échec grave, comme celui que nous observons concernant le cas de Windows 10 et la mise à jour d’AV.
Microsoft a un immense et large pouvoir sur le marché
Dans un monde idéal, une équipe de cybersécurité testerait une mise à jour dans son propre environnement, s’assurant qu’il n’y a pas d’incompatibilité. Une fois la compatibilité assurée, une mise en œuvre programmée de celle-ci serait lancée – éventuellement un département à la fois. Cela réduit le risque de problèmes significatifs pour les opérations commerciales.
Cependant, ce n’est ni ne peut être le processus pour les mises à jour de produits de cybersécurité qui doivent être mises en œuvre à la même vitesse que la menace se propage, généralement de manière presque instantanée. Si le processus de mise à jour échoue, cela peut être catastrophique comme cela s’est produit aujourd’hui avec une mise à jour logicielle de CrowdStrike, entraînant des plantages sur des systèmes et touchant les opérations de infrastructures entières.
Cela n’indique pas une incompétence du fournisseur, car l’incident aurait pu se produire chez n’importe quel fournisseur de TI. Souvent, il est plus probable qu’il s’agisse d’un scénario malheureux, une tempête parfaite de mises à jour ou de configurations qui provoquent l’incident. Cela, bien sûr, à moins que la mise à jour ait été manipulée par un cybercriminel, ce qui ne semble pas être le cas ici.
Il est probable que tous les fournisseurs de cybersécurité vont revoir leurs processus de mise à jour pour s’assurer qu’il n’existe pas de lacunes et pour voir comment ils peuvent les renforcer. Nuno Mendes, PDG d’ESET Portugal, souligne que
Ce que l’on apprend vraiment, c’est que, lorsqu’une entreprise atteint une position de marché significative, son domination peut provoquer un événement de semi-monoculture globalisé, où un seul problème affecte de nombreux systèmes, comme cela a été le cas avec cet incident de CrowdStrike.
Tout professionnel de la cybersécurité utilise des termes tels que « défense en profondeur » ou « couches de défense », faisant référence à l’utilisation de plusieurs technologies et, dans la plupart des cas, de plusieurs fournisseurs pour empêcher des attaques potentielles, mais il est également important de ne pas oublier la résilience de l’architecture et l’absence de dépendance à un seul fournisseur.
Quand vient le temps de désigner des coupables, ESET rappelle que si les cybercriminels et les agents malveillants ne créaient pas de cybermenaces, nous n’aurions pas besoin de protection en temps réel.