CrowdStrike, une entreprise de cyberscurit reconnue pour ses solutions innovantes, fait face des critiques svres de la part de ses anciens employs. Ces derniers affirment que le contrle qualit ntait pas une priorit au sein de lentreprise, ce qui a conduit des problmes techniques majeurs et une perte de confiance de la part des clients.
Des tmoignages accablants
Les ingnieurs logiciels de l’entreprise de cyberscurit CrowdStrike se sont plaints de dlais trop courts, de charges de travail excessives et de problmes techniques croissants auprs de leurs suprieurs pendant plus d’un an, avant qu’une panne catastrophique de son logiciel ne paralyse les compagnies ariennes et ne mette hors service les services bancaires et autres pendant des heures.
La vitesse tait la chose la plus importante , a dclar Jeff Gardner, concepteur principal de l’exprience utilisateur chez CrowdStrike, qui a dclar avoir t licenci en janvier 2023 aprs avoir travaill deux ans dans l’entreprise. Le contrle de la qualit ne faisait pas vraiment partie de notre processus ou de nos conversations .
Les problmes ont t soulevs lors de runions, dans des courriels et lors d’entretiens de fin d’emploi, ont expliqu d’anciens employs aux mdias. 24 anciens ingnieurs en informatique, de cadres et d’autres membres du personnel ont dcrit un lieu de travail o les dirigeants privilgiaient la rapidit au dtriment de la qualit, o les travailleurs n’taient pas toujours suffisamment forms et o les erreurs de codage et d’autres tches se multipliaient. Un ancien cadre suprieur a dclar avoir assist de nombreuses runions au cours desquelles le personnel avertissait les dirigeants de l’entreprise que CrowdStrike laisserait tomber ses clients en mettant sur le march des produits qui ne pourraient pas tre pris en charge.
Sur les 24 anciens employs qui ont parl Semafor, 10 ont dclar avoir t licencis ou renvoys et 14 ont dit tre partis de leur propre chef. L’un d’entre eux travaillait encore dans l’entreprise cet t. Trois anciens employs ne sont pas d’accord avec les rcits des autres. Joey Victorino, qui a pass un an dans l’entreprise avant de la quitter en 2023, a dclar que CrowdStrike tait mticuleux dans tout ce qu’il faisait .
Consquences dsastreuses
En juillet 2024, une mise jour logicielle dfectueuse a provoqu lune des plus grandes pannes informatiques de lhistoire, mettant hors service 8,5 millions d’ordinateurs et cotant aux entreprises du classement Fortune 500 pas moins de 5,4 milliards de dollars de dommages. Les voyageurs ont t bloqus dans les aroports, les clients ont t privs de leurs comptes bancaires en ligne et les centres d’appel d’urgence ont t mis hors ligne.
L’incident a cot CrowdStrike environ 60 millions de dollars en contrats qu’elle avait prvu de conclure au cours du trimestre fiscal qui s’est achev le 31 juillet, a dclar le directeur financier Burt Podbere aux analystes lors de la confrence tlphonique sur les rsultats du 28 aot, au cours de laquelle la socit a revu la baisse ses prvisions de recettes et de bnfices pour le reste de l’anne. Adam Meyers, premier vice-prsident des oprations de lutte contre les adversaires, tmoignera devant le Congrs la fin du mois.
Je ne perdrai jamais de vue l’ampleur de l’incident du 19 juillet et je m’engage faire en sorte que cela ne se reproduise jamais , a dclar le PDG George Kurtz aux analystes lors de la confrence tlphonique. Au-del des excuses, je veux que nos actions soient encore plus loquentes que nos paroles. Nous nous efforons de rcuprer les clients rapidement, quel que soit l’endroit ou le besoin .
En clair, cette panne a cot des milliards de dollars en dommages et a gravement terni la rputation de CrowdStrike. Les clients, autrefois fidles, ont commenc remettre en question la fiabilit des produits de lentreprise.
Ractions de lentreprise
Face ces accusations, CrowdStrike a ragi en dclarant que les informations provenaient d’anciens employs mcontents, dont certains ont t licencis pour des violations videntes de la politique de l’entreprise . L’entreprise a dclar : CrowdStrike s’engage garantir la rsilience de ses produits par des tests rigoureux et un contrle de qualit, et rejette catgoriquement toute affirmation contraire .
Fonde en 2011, CrowdStrike s’est rapidement hisse au rang de leader du secteur de la cyberscurit avec le lancement en 2013 de son antivirus Falcon. Elle est entre en bourse en 2019, donnant le coup d’envoi d’une croissance massive, ajoutant des milliers de travailleurs et augmentant ses revenus de plus de mille pour cent la fin de l’anne fiscale 2024.
Cependant, la gravit de la panne de juillet a mis en lumire des failles importantes dans leurs processus internes. Lentreprise a depuis annonc des mesures pour renforcer ses protocoles de contrle qualit, mais la confiance des clients reste branle.
Notons que, suite cette panne, CrowdStrike a dclar : En raison d’un bogue dans le validateur de contenu, l’une des deux instances de modle a t valide alors qu’elle contenait des donnes problmatiques , faisant rfrence la dfaillance d’un mcanisme interne de contrle de la qualit qui a permis aux donnes problmatiques de passer travers les propres contrles de scurit de l’entreprise.
Les anciens employs qui se sont entretenus avec Semafor ont dcrit une srie de problmes qui ont prcd de longue date la panne de l’entreprise. Il n’a pas t tabli que ces problmes taient lis l’incident de juillet.
Certains anciens employs ont dclar que les contrles de qualit des logiciels taient parfois bcls pour que les produits soient lancs rapidement
Il tait parfois difficile de faire en sorte que les gens fassent suffisamment de tests , a dclar Preston Sego, qui a travaill chez CrowdStrike de 2019 2023. Son travail consistait examiner les tests raliss par les dveloppeurs de l’exprience utilisateur qui alertaient les ingnieurs sur les bogues avant que les changements de codage proposs ne soient communiqus aux clients. Sego a dclar avoir t licenci en fvrier 2023 en tant que menace d’initi aprs avoir critiqu la politique de retour au travail de l’entreprise sur un canal Slack interne. C’est ainsi que l’entreprise dsigne les employs qui prsentent des risques pour la scurit. CrowdStrike a refus de commenter, dclarant qu’elle ne discute pas des questions de personnel individuel .
Il y a eu d’autres problmes. Lors d’un incident survenu dans le dpartement des services professionnels, un ancien employ a dcrit comment les informations prives d’un client avaient t accidentellement tlcharges dans le dossier du mauvais client trois reprises, vitant de justesse de partager des donnes prives avec le mauvais client chaque fois. CrowdStrike a confirm les incidents et a dclar qu’ils s’taient produits en raison d’une erreur de saisie manuelle des donnes . Il s’agissait d’informations de base telles que les noms d’hte, les adresses IP et les noms de domaine, et des contrles sont dsormais effectus pour s’assurer que les donnes prives des clients ne sont pas envoyes au mauvais client.
Plusieurs personnes ont galement cit des problmes avec le service Falcon LogScale de CrowdStrike, qui dcouvre les problmes de scurit et de fiabilit dans les systmes d’un client. L’une d’entre elles a rappel au moins deux cas o de mauvaises mises jour de LogScale ont brivement dsactiv ses alertes en temps rel qui avertissent les clients d’activits potentiellement malveillantes, ce que certains des ingnieurs qui ont labor les mises jour ont reproch lors de runions internes tenues dans des dlais serrs. CrowdStrike a ni ces cas, affirmant qu’elle n’a pas connaissance d’une mauvaise mise jour o les alertes ont t perdues et n’ont pas t reues par les clients. L’entreprise a galement dclar que le service n’tait pas conu pour alerter les clients de violations potentielles de donnes en temps rel . Il est plutt conu pour liminer rapidement les menaces grce une dtection en temps rel et une recherche ultra-rapide , selon le site Web de l’entreprise.
Les ingnieurs n’ont dispos que de deux mois pour effectuer un travail qui aurait normalement pris un an
Un autre ex-employ a dclar que CrowdStrike avait prcipit le lancement en 2022 de son service de chasse aux menaces sur le cloud, appel Falcon OverWatch Cloud Threat Hunting, dans le cadre duquel les professionnels de la scurit de l’entreprise recherchent des comportements suspects qui pourraient indiquer une violation sur les installations cloud des clients, telles qu’Amazon Web Services. Les ingnieurs et les chasseurs de menaces n’ont dispos que de deux mois pour effectuer un travail qui aurait normalement pris un an, selon un ancien cadre suprieur qui a travaill sur le projet. Lorsque le service a t lanc, il ne disposait pas des outils internes utiliss par les chasseurs de menaces pour surveiller de prs les systmes en nuage des clients ; les employs ont fini par rpondre aux alertes des systmes de scurit existants au moins jusqu’ l’t dernier, soit environ une anne entire aprs le lancement du service.
L’ancien cadre suprieur a dclar que CrowdStrike a galement utilis du personnel qui avait t form pour surveiller les systmes informatiques des clients – comme les ordinateurs portables et les ordinateurs de bureau – et leur a demand de rechercher des menaces dans les installations cloud sans exiger de nouvelle formation.
AWS est une bte, et il faut un personnel trs spcial pour pouvoir le faire , a-t-il dclar. CrowdStrike a pris des gens qui taient comme des flics, cherchant des menaces au sol toute la journe, et leur a demand de piloter un avion et de chercher des menaces dans le ciel .
CrowdStrike a confirm qu’il avait utilis des ingnieurs existants au lieu d’embaucher une nouvelle quipe de chasseurs de menaces dans le cloud . Il s’agissait d’un nouveau service, a expliqu l’entreprise, il n’y avait pas de chasseurs de menaces dans le cloud expriments, et il n’aurait pas t possible d’embaucher des personnes ayant une formation spcifique dans un domaine qui n’existait pas avant que CrowdStrike ne le dveloppe . Et pourtant, le SANS Institute donne des cours et des confrences sur la scurit du cloud depuis au moins 2020, soit plus de deux ans avant le lancement du service de CrowdStrike.
Toute dclaration impliquant que les employs de CrowdStrike n’ont pas t forms pour faire leur travail est fausse , a dclar CrowdStrike. L’entreprise a confirm qu’elle n’imposait pas de nouvelles formations, mais qu’elle les offrait tous ceux qui le souhaitaient. Les employs suivent rgulirement des formations adaptes leur poste .
Limportance du contrle qualit
Laffaire CrowdStrike souligne limportance cruciale du contrle qualit dans le dveloppement de logiciels, en particulier dans le domaine de la cyberscurit. Les entreprises doivent trouver un quilibre entre rapidit et qualit pour viter des catastrophes similaires lavenir. Le contrle qualit ne doit pas tre peru comme un obstacle linnovation, mais comme une garantie de la fiabilit et de la scurit des produits.
Sources : Semafor, CrowdStrike
Et vous ?
Quels mcanismes de contrle qualit pensez-vous que les entreprises de cyberscurit devraient mettre en place pour viter des incidents similaires ?
Comment les entreprises peuvent-elles quilibrer la pression pour innover rapidement avec la ncessit de garantir des produits de haute qualit ?
Selon vous, quelles sont les responsabilits des entreprises de cyberscurit lorsquelles dcouvrent des failles dans leurs produits ?
Comment les clients peuvent-ils se protger contre les risques potentiels lis aux mises jour logicielles dfectueuses ?
Pensez-vous que les rgulateurs devraient imposer des normes de contrle qualit plus strictes aux entreprises de cyberscurit ? Pourquoi ou pourquoi pas ?
Quels sont les impacts long terme sur la rputation dune entreprise aprs une panne informatique majeure ?
Comment les entreprises peuvent-elles regagner la confiance des clients aprs un incident de cette ampleur ?