« Bug » mondial Crowdstrike : sortons enfin de la dépendance numérique !

Le 19 juillet dernier, une panne informatique mondiale a mis à terre de nombreux systèmes informatiques essentiels pour la vie économique (aéroports, trains, banques, hôpitaux, etc.), en raison d’un correctif erroné d’un logiciel de cybersécurité de l’éditeur Crowdstrike pour Microsoft Windows. Crowdstrike a corrigé rapidement ce « bug » nécessitant une intervention manuelle sur chaque ordinateur touché. Les entreprises disposant de gros moyens et de procédures pour ce type de crise ont pu rétablir assez vite la situation. Mais les autres mettront des jours, voire des semaines à s’en remettre. Le manque à gagner devrait se chiffrer en milliards de dollars. Ce même jour, les services cloud Microsoft 365 connaissaient des difficultés. Il s’agissait, selon l’éditeur, d’une mauvaise configuration d’une partie des serveurs, sans que l’on sache si celle-ci était liée avec le « bug » de Crowdstrike.

La responsabilité de cette panne mondiale ne peut pas être attribuée à Microsoft. On peut toutefois en tirer trois enseignements :

1. - Le numérique dont le rôle-clé est grandissant dans le fonctionnement de nos sociétés, dépend d’entreprises privées comme Microsoft ou Crowdstrike. Or, celles-ci produisent librement leurs logiciels et ne risquent aucune sanction pour les désordres qu’elles peuvent créer, hormis une chute du cours de leurs actions.
2. Le monopole de Microsoft sur les postes de travail (système d’exploitation, bureautique, collaboration) et dans une moindre mesure sur les serveurs fragilise les systèmes informatiques, y compris les plus critiques.
3. Les cyberattaques des blocs mondiaux et des terroristes provoquent des réflexes de défense qui peuvent s’avérer destructeurs dans les organisations visées, sous la forme de déploiement automatique des correctifs de cybersécurité.

L’Engagement, qui porte un projet politique pour une république sociale, laïque, écologique et souveraine, propose que l’État reprenne la main sur les géants du numérique, principalement américains et chinois, qui font, de fait, la loi sur ce marché. Plusieurs de nos propositions contribueraient à minimiser le risque de tels incidents :

• Diversifier nos fournisseurs d’outils communément utilisés (systèmes d’exploitation, cybersécurité, bureautique, collaboration, moteur de recherche, base de données) ou en passe de l’être (intelligence artificielle). Pour cela, nous pourrions favoriser le développement de solutions souveraines en soutenant les offres existantes de sociétés françaises et européennes ainsi que des projets « open source » existants ou à lancer. S’agissant du financement, en plus d’orienter systématiquement la commande publique vers ce type de solutions, nous pourrions mobiliser les acteurs du secteur (éditeurs, entreprises de services du numérique, directions de services informatiques utilisatrices) grâce à des mesures incitatrices (dispositif de labellisation valorisant à l’export, notation de leur responsabilité sociétale).

• Renforcer nos moyens de cybersécurité. L’État est le garant de la cybersécurité de la société. Il doit renforcer ses actions pour protéger les citoyens, les entreprises et les administrations publiques. Les moyens de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) pourraient donc être renforcés pour protéger les administrations et les entreprises françaises ou étrangères dont l’activité est sensible. Trois mesures pourraient y concourir :

1. N’y autoriser que le déploiement de produits de cybersécurité certifiés par l’ANSSI pour leurs fonctionnalités, leurs processus de développement et de test.
2. Confier à l’ANSSI un rôle de prescription et de contrôle sur les modalités de mise en œuvre de la cybersécurité dans ces structures.
3. Sanctionner pénalement tout manquement aux deux règles précédentes.