Le monde a rapidement appris que la société de cybersécurité CrowdStrike était à lorigine dune panne technologique mondiale dévastatrice vendredi dernier. Cependant, déterminer qui paiera les dommages pourrait prendre beaucoup plus de temps.
Ce qui semble être la « plus grande panne informatique de lhistoire », causée par quelques lignes de mauvais code de CrowdStrike lors dune « mise à jour de contenu » logicielle, a entraîné lannulation de plus de 5 000 vols commerciaux dans le monde entier et perturbé des secteurs allant des ventes au détail aux livraisons de colis et aux procédures hospitalières. Les coûts en termes de revenus perdus et de temps de travail du personnel sont considérables.
Le problème a été causé par quelques bouts de mauvais code de CrowdStrike dans une « mise à jour du contenu » du logiciel. Malheureusement, il a fallu beaucoup plus de temps pour réparer l’erreur que pour la provoquer, et il pourrait s’écouler plusieurs jours avant que tous les systèmes ne reviennent à la normale.
Dans un message publié sur les réseaux sociaux dimanche en fin de journée, CrowdStrike a déclaré qu’un « nombre important » des quelque 8,5 millions d’appareils concernés étaient de nouveau en ligne et opérationnels. L’entreprise s’est excusée pour la perturbation :
« CrowdStrike continue de se concentrer sur la restauration de tous les systèmes dès que possible. Sur les quelque 8,5 millions d’appareils Windows qui ont été touchés, un grand nombre sont de nouveau en ligne et opérationnels.
« En collaboration avec nos clients, nous avons testé une nouvelle technique pour accélérer la restauration des systèmes touchés. Nous sommes en train de mettre en place un système d’opt-in pour cette technique. Nous progressons de minute en minute.
« Nous sommes conscients de l’impact profond que cette situation a eu sur tout le monde. Nous savons que nos clients, nos partenaires et leurs équipes informatiques travaillent sans relâche et nous leur en sommes profondément reconnaissants. Nous nous excusons pour les perturbations que cela a engendrées. Notre objectif est clair : restaurer chaque système dès que possible ».
CrowdStrike a présenté ses excuses, mais n’a pas indiqué s’il avait l’intention de dédommager les clients concernés. Interrogée par les médias, la société n’a pas répondu à la question de savoir si elle prévoyait d’indemniser ses clients.
Les experts disent qu’ils s’attendent à ce qu’il y ait des demandes de rémunération et très probablement des poursuites judiciaires. « Si vous êtes un avocat de CrowdStrike, vous n’allez probablement pas profiter du reste de votre été », a déclaré Dan Ives, analyste technologique chez Wedbush Securities
Des coûts qui pourraient « facilement dépasser le milliard de dollars »
Les experts s’accordent à dire qu’il est trop tôt pour évaluer avec précision le coût de la panne mondiale d’Internet survenue vendredi. Mais ces coûts pourraient facilement dépasser le milliard de dollars, selon Patrick Anderson, PDG d’Anderson Economic Group, un cabinet de recherche du Michigan spécialisé dans l’estimation du coût économique d’événements tels que les grèves et autres interruptions d’activité.
Son entreprise estime que le récent piratage de CDK Global, une société de logiciels au service des concessionnaires automobiles américains, a atteint la barre du milliard de dollars. Si cette panne a duré beaucoup plus longtemps, environ trois semaines, elle s’est limitée à un secteur d’activité restreint.
« Cette panne affecte beaucoup plus de consommateurs et d’entreprises, allant du désagrément à de graves perturbations et entraînant des coûts qu’ils ne pourront pas récupérer facilement », a-t-il déclaré. Anderson a ajouté que les coûts pourraient être particulièrement importants pour les compagnies aériennes, en raison du manque à gagner lié aux vols annulés et des coûts supplémentaires de main-d’uvre et de carburant pour les avions qui ont volé, mais qui ont subi des retards importants.
Malgré la position dominante de CrowdStrike dans le domaine de la cybersécurité, son chiffre d’affaires annuel est légèrement inférieur à 4 milliards de dollars.
Selon un expert, CrowdStrike pourrait toutefois bénéficier de protections juridiques dans les contrats conclus avec ses clients afin de se prémunir contre toute responsabilité. « Je suppose que les contrats les protègent », a déclaré James Lewis, chercheur au Center for Strategic and International Studies.
Lewis renvoie à une affaire jugée jeudi en faveur de SolarWinds, une autre société de logiciels. Un juge a rejeté les accusations de la Securities and Exchange Commission contre SolarWinds liées à un piratage russe d’agences du gouvernement fédéral à la fin de l’année 2020. Lewis a déclaré que dans cette affaire, SolarWinds était uniquement accusé de ne pas avoir divulgué les vulnérabilités de son système face à un piratage extérieur, et non d’avoir causé des dommages par ses propres actions. La société a néanmoins obtenu un non-lieu.
Selon Mark Friedlander, porte-parole de l’Insurance Information Institute, les entreprises touchées par la panne risquent de découvrir que l’assurance traditionnelle contre les pertes d’exploitation ne les couvrira pas. En effet, ces polices exigent généralement que les biens de l’entreprise aient subi des dommages physiques pour que les demandes d’indemnisation soient prises en compte. Il existe un type de police distinct pour les pannes informatiques, connu sous le nom de police d’interruption du réseau d’entreprise, en vertu de laquelle les demandes d’indemnisation peuvent être payées. Mais ces polices ne couvrent parfois que les piratages malveillants et excluent les problèmes informatiques non malveillants comme celui-ci.
Qu’en est-il des clients ? Vont-ils rester dans le navire ?
On ne sait pas non plus combien de clients CrowdStrike pourrait perdre à cause de la journée de vendredi. Ives, de Wedbush Securities, estime que moins de 5 % de ses clients pourraient aller voir ailleurs. « Il s’agit d’un acteur tellement bien implanté que s’éloigner de CrowdStrike serait un pari », a-t-il déclaré.
Il sera difficile, et non sans coûts supplémentaires, pour de nombreux clients de passer de CrowdStrike à un concurrent. Mais le véritable coup dur pour CrowdStrike pourrait être une atteinte à sa réputation qui rendrait difficile la conquête de nouveaux clients. « Aujourd’hui, CrowdStrike devient un nom familier, mais pas dans le bon sens, et cela prendra du temps pour se calmer », a déclaré Ives.
Le PDG de CrowdStrike, George Kurtz, a déclaré dans une interview accordée vendredi matin à CNBC que l’entreprise s’était concentrée sur la résolution des problèmes persistants et que, jusqu’à présent, il pensait que la plupart des clients avaient été compréhensifs. « Mon objectif actuel est de m’assurer que tous les clients sont de nouveau opérationnels », a-t-il déclaré. « Je pense que la plupart des clients comprennent qu’il s’agit d’un environnement complexe et que ces mises à jour de contenu sont nécessaires pour garder une longueur d’avance sur les malfaiteurs.
Mais même si les clients sont compréhensifs, il est probable que les rivaux de CrowdStrike chercheront à utiliser les événements de vendredi pour tenter de les attirer.
« C’est un secteur très concurrentiel. Il y aura des vendeurs de toutes les autres entreprises, … (qui) interviendront et diront : « Cela ne nous est jamais arrivé » », a déclaré Eric O’Neill, expert en cybersécurité et ancien agent de contre-espionnage du FBI. « C’est une excellente entreprise qui fait un travail important. J’espère qu’elle y survivra. Sinon, les seuls gagnants seront les cybercriminels ».
Source : CrowdStrike
Et vous ?
Qui devrait être tenu responsable des dommages causés par cette panne ? Devrait-il incomber à CrowdStrike, aux compagnies aériennes, aux entreprises touchées ou à une combinaison de ces acteurs ?
Comment les entreprises peuvent-elles se protéger contre de telles pannes à lavenir ? Quelles mesures de sécurité supplémentaires devraient-elles prendre pour éviter des erreurs similaires ?
Quelles sont les implications pour la confiance des consommateurs ? La panne mondiale pourrait-elle affecter la confiance des utilisateurs dans les services en ligne et les entreprises technologiques ?
Devrions-nous revoir notre dépendance à légard de quelques grandes entreprises technologiques ? Comment pouvons-nous diversifier nos solutions pour éviter de futures pannes massives ?
Quelles leçons pouvons-nous tirer de cette situation pour améliorer la cybersécurité à léchelle mondiale ?