Depuis vendredi, les organisations peinent à relancer leurs opérations après qu’une mise à jour logicielle du fournisseur de sécurité CrowdStrike a déclenché une épidémie d’« écrans bleus de la mort » à l’échelle mondiale, communément appelés l’écran de la mort pour les utilisateurs de Windows.
Lundi, le cabinet mondial de conseil technologique Gartner a publié une note de recherche décrivant les mesures à court, moyen et long terme que les utilisateurs de CrowdStrike peuvent mettre en œuvre pour faire face à ce qui est devenu la mise à jour de l’enfer.
L’une des recommandations de l’entreprise pour une action immédiate est de s’assurer que les équipes de sécurité soient à l’affût de nouvelles informations sur les menaces liées aux attaques opportunistes. « En mode panique, les gens commencent à s’accrocher à n’importe quel brin de paille », explique Sumed Barde, responsable produit chez Simbian, une société de sécurité basée à Mountain View, en Californie.
« Ils recherchent toute l’aide possible en ligne », a-t-il déclaré à TechNewsWorld. « Nous voyons donc apparaître une multitude de faux sites Web créés par des escrocs. »
Barde a expliqué qu’une forme d’escroquerie est un site Web qui ne fait rien d’autre que d’exiger des paiements à l’avance. D’autres sites Web offrent des conseils gratuits mais contiennent des logiciels malveillants.
Chris Morales, responsable de la sécurité informatique chez Netenrich, un fournisseur de services de centre d’opérations de sécurité basé à San Jose, en Californie, a cité plusieurs types d’attaques opportunistes auxquelles les organisations devraient être particulièrement vigilantes pendant cette période initiale de panne de CrowdStrike. « Les campagnes de phishing sont très répandues », a-t-il déclaré à TechNewsWorld. « Les attaquants adorent profiter de la confusion en envoyant des e-mails qui semblent provenir de CrowdStrike ou d’entreprises apparentées. »
« Le bourrage d’identifiants et les attaques par force brute sont également courants, car les attaquants tentent d’exploiter toute faille de sécurité temporaire », a-t-il ajouté.
« Et, bien sûr, il y a toujours le risque que les vulnérabilités connues soient ciblées de manière plus agressive pendant le chaos », a-t-il déclaré.
Potentiel de recrudescence des ransomwares
Cette panne pourrait également alimenter un autre fléau en ligne. « Les attaques de ransomware pourraient augmenter à mesure que les attaquants exploitent les faiblesses de sécurité des organisations touchées », a déclaré Tim Freestone, directeur de la stratégie et du marketing de Kiteworks, un fournisseur de communications de contenu sécurisé basé à San Mateo, en Californie.
« Les tentatives d’exfiltration de données pourraient augmenter, ciblant les systèmes temporairement vulnérables », a-t-il déclaré à TechNewsWorld. « La panne pourrait également inciter à des attaques DDoS pour submerger davantage les réseaux déjà sous tension. »
Des invitations à des exploits opportunistes par des pirates informatiques peuvent également être créées lorsque les équipes du centre d’opérations de sécurité mettent en œuvre des mesures ad hoc pour rendre les systèmes opérationnels rapidement.
« L’une des tâches les plus importantes pour les SOC sera de s’assurer que tous les systèmes temporaires, les élévations d’autorisations temporaires ou autres solutions de contournement qui ont été mis en place ont été mis hors service », a observé Josh Thorngren, stratège en sécurité chez ForAllSecure, une société de tests de sécurité logicielle à Pittsburgh.
« S’il y a une activité sur ces appareils ou réseaux dans deux semaines, cela risque de poser un problème », a-t-il déclaré à TechNewsWorld.
Gartner a également formulé quelques recommandations pour des actions à moyen terme. « L’objectif des actions à moyen terme est d’évaluer l’impact sur les systèmes secondaires, de rechercher les vulnérabilités exposées et de s’assurer d’avoir une visibilité sur les mises à jour et les versions prévues à l’échelle du système au cours de la semaine à venir », a-t-il expliqué.
Gérer la fatigue et l’épuisement professionnel
Parmi les actions à moyen terme suggérées par Gartner, il y a celle qui consiste pour les organisations à examiner les anomalies ou les tendances inhabituelles avec les équipes SOC afin de minimiser les risques d’une attaque opportuniste non détectée.
« Les équipes SOC doivent être à l’affût des volumes inhabituels de données entrant ou sortant des référentiels, des demandes d’accès plus élevées que d’habitude, des utilisateurs qui semblent demander l’accès à des fichiers ou des lecteurs auxquels ils ne veulent ou n’ont généralement pas besoin d’accéder, et de tout changement dans les autorisations ou les configurations qui correspondent aux références ou aux tendances précédentes », a déclaré Katie Teitler-Santullo, stratège en cybersécurité pour OX Security, un développeur de plates-formes de gestion active de la posture de sécurité des applications, à Tel Aviv, en Israël.
« Les équipes informatiques et de sécurité peuvent également aider leurs organisations en ajoutant tous les faux domaines connus, comme crowdstrikebluescreen(.)com ou crowdstrike-helpdesk(.)com, à leurs listes de blocage pour empêcher les utilisateurs de visiter ces sites par inadvertance », a-t-elle déclaré à TechNewsWorld.
Une autre mesure à moyen terme proposée par Gartner consiste à gérer activement l’épuisement professionnel et la fatigue des employés. « Cette panne va au-delà des équipes de sécurité, car elle touche chaque machine d’une entreprise », a noté Jon Amato, analyste senior chez Gartner.
« Cela crée un processus laborieux, chronophage et fastidieux », a-t-il déclaré à TechNewsWorld. « Le personnel du service d’assistance de la plupart des entreprises est actuellement surchargé. J’entends parler d’entreprises qui embauchent des armées de sous-traitants qui viennent toucher les machines et travaillent 24 heures sur 24, 7 jours sur 7. Plus cela dure, plus la fatigue risque de s’installer. C’est la recette idéale pour l’épuisement professionnel. »
Morales a expliqué que l’épuisement professionnel et la fatigue sont des problèmes majeurs lors d’événements tels que la panne de CrowdStrike et sont souvent négligés. « Pensez-y », a-t-il déclaré. « Nos équipes de sécurité doivent soudainement faire face à une augmentation massive de la charge de travail. Elles essaient de gérer la réponse à l’incident tout en maintenant toutes les opérations habituelles. C’est comme essayer d’éteindre un incendie tout en préparant le dîner. »
« Ce type de stress prolongé peut conduire à une grave lassitude décisionnelle, où la qualité des choix commence à chuter », a-t-il poursuivi. « Les employés fatigués risquent de ne pas remarquer les alertes critiques ou les signes subtils d’une attaque. »
« Et soyons honnêtes, nous sommes tous humains. Les risques de faire une erreur augmentent considérablement lorsque nous sommes épuisés. Une petite erreur peut entraîner une mauvaise configuration ou un retard de réponse, et soudain, nous nous retrouvons avec un problème bien plus grave sur les bras. »
Résilience à long terme
Les mesures à long terme de Gartner visent à atténuer ou à réduire le risque d’événements futurs tels que l’incident CrowdStrike. « La panne de CrowdStrike renforce la nécessité de se concentrer sur la résilience », a noté Gartner, et a recommandé « d’utiliser une approche descendante pour relier l’approche aux objectifs stratégiques globaux. »
« Malgré tous les efforts déployés pour empêcher que de telles erreurs ne se reproduisent, nous devons anticiper que ces erreurs en cascade augmenteront en fréquence et en impact dans les années à venir à mesure que le monde deviendra encore plus interconnecté et interdépendant », a déclaré Maurice Uenuma, vice-président et directeur général de Blancco Technology Group, une entreprise mondiale spécialisée dans l’effacement de données et le diagnostic des appareils mobiles.
« Pour cette raison, nous devons nous concentrer sur la résilience, c’est-à-dire la capacité à survivre et à nous rétablir lorsque la crise inévitable survient », a-t-il déclaré à TechNewsWorld.
« La résilience est obtenue en disposant de moyens distincts et redondants pour effectuer les tâches critiques, en garantissant une sauvegarde continue des données, en créant des canaux de communication alternatifs et en s’entraînant à fonctionner avec des capacités réduites dans des conditions défavorables », a-t-il expliqué.
« Si les entreprises veulent être plus résilientes, elles doivent d’abord avoir une vision et une connaissance complètes de leur chaîne d’approvisionnement », a ajouté Jenna Wells, directrice de la clientèle et des produits chez Supply Wisdom, une plateforme de renseignement sur les risques en temps réel basée à New York.
« Si vous avez une vue d’ensemble et une connaissance complète de votre chaîne d’approvisionnement, vous gagnez du temps et augmentez votre résilience en connaissant déjà vos points de défaillance », a-t-elle déclaré à TechNewsWorld. « Vous pouvez alors mettre en place de manière proactive un plan de continuité des activités en cas d’événements. »
« Qu’il s’agisse d’un cyber-événement ou, comme dans ce cas, d’une erreur humaine, il faut être capable de réagir en un claquement de doigts à tout type d’incident », a-t-elle déclaré. « Après tout, ce n’est pas une question de savoir si un événement se produit, mais de savoir quand il se produit. »