La panne mondiale met en lumière le déficit de souveraineté et de résilience numériques.
Le 19 juillet, une mise à jour de CrowdStrike a mis hors service d’innombrables systèmes Microsoft, perturbant les vols, les cabinets médicaux, les services bancaires et bien d’autres choses encore dans le monde entier. L’impact incroyable de cette panne montre l’importance de la résilience numérique, en particulier dans le secteur public. La décentralisation et la diversité des infrastructures et des technologies sont les seuls moyens d’y parvenir de manière crédible.
L’incroyable impact de la panne CrowdStrike-Microsoft
Le site d’information satirique allemand Der Postillion a noté que les télécopieurs n’étaient pas touchés et que le secteur public allemand n’avait donc rien à craindre, mais les effets ont été ressentis partout.
Many politicians have already come out with statements about digital resiliency. In the Netherlands the minister of Justice noted there should be plans to deal with the fall-out of events like this. “Concentrating production can concentrate risk, so that a single natural disaster or disruption has cascading effects,” US Federal Trade Commission chair Lina Khan wrote in a series of posts on X.
Législation existante et à venir
Il existe un certain nombre d’initiatives législatives visant à protéger la résilience des infrastructures. On peut citer par exemple la loi sur la résilience opérationnelle numérique (DORA) pour le secteur financier, qui entrera en vigueur en 2025, et la loi sur la résilience cybernétique (CRA) pour les technologies grand public. La directive sur la sécurité des réseaux et des systèmes d’information (NIS) vise spécifiquement la protection et la résilience des infrastructures critiques et des services numériques, en imposant des mesures de sécurité et le signalement des incidents.
Aux États-Unis, la loi fédérale sur la gestion de la sécurité de l’information (FISMA) oblige les agences fédérales à mettre en œuvre un programme de sécurité de l’information, y compris des mesures visant à atténuer l’impact des pannes informatiques. En outre, le cadre du National Institute of Standards and Technology (NIST) fournit des lignes directrices pour l’amélioration de la cybersécurité des infrastructures critiques.
Mais aucune de ces réglementations ne semble s’attaquer efficacement aux risques liés à la centralisation des technologies de l’information. Cela signifie que la souveraineté numérique et la résilience du secteur public, ainsi que des hôpitaux, des banques et d’autres infrastructures critiques, continuent d’être gravement menacées. Une monoculture de services fournis par une poignée de grandes entreprises technologiques menace la continuité des services en cas d’erreurs, de cyber-attaques et de conflits politiques.
Solutions
Bien qu’il ne s’agisse que d’une erreur, une cyberattaque soutenue aurait des conséquences bien plus dévastatrices, sans parler des attaques contre les infrastructures physiques. Les câbles sous-marins sont incroyablement vulnérables et, en 2021, la Russie a également montré que les satellites pouvaient être abattus par des fusées.
La clé de la résilience numérique est la décentralisation et l’hétérogénéité. En fin de compte, tous les systèmes informatiques tombent en panne un jour ou l’autre. Une dépendance excessive à l’égard d’un seul service constitue donc inévitablement un risque. Même si ce fournisseur est « too big too fail » (trop gros pour faire faillite) et qu’il dispose de tonnes de redondance et de centres de données.
Décentraliser et fédérer
Le secteur public en particulier devrait suivre une stratégie ciblée pour différencier son infrastructure informatique, en réduisant la dépendance à l’égard d’un petit nombre de géants de la technologie.
Tout d’abord, une solide stratégie multifournisseur et multiplateforme peut faire des merveilles contre les cybermenaces. Mais au-delà, les solutions elles-mêmes devraient être moins centralisées.
Les centres de données connectés au niveau mondial peuvent avoir une plus grande capacité à absorber les attaques par déni de service, mais ils sont en même temps plus vulnérables aux erreurs et aux cyberattaques plus avancées. Les technologies qui sont fondamentalement distribuées et fédérées, plutôt que de s’appuyer sur un point de défaillance unique, offrent un grand avantage.
Avec les solutions sur site, les plateformes les plus critiques peuvent même être entièrement isolées, déconnectées de l’internet, soit en permanence, soit en réponse à des attaques. Cela permet de garantir leur disponibilité même dans le pire des cas.
L’Open Source apporte la résilience
Les solutions open source ne sont pas seulement plus robustes face aux menaces constantes en matière de sécurité. Elles offrent également une plus grande transparence dans leur fonctionnement. En cas de problème, les ingénieurs peuvent aller plus loin que dans les solutions à boîte noire, au point de lire simplement le code ou même de le modifier pour y ajouter des informations supplémentaires afin de traquer les problèmes. Les correctifs proposés par des fournisseurs comme Crowdstrike, s’ils étaient open source, pourraient être examinés de près avant d’être déployés.
Plus important encore, l’accès à leur source et la connaissance plus largement distribuée de leur base de code signifient que les produits open source peuvent être corrigés en cas d’urgence, même sans l’aide du fournisseur.
Il existe des solutions aux risques et aux dommages économiques causés par notre dépendance à l’égard de quelques grands fournisseurs de technologie. Il est temps de prendre des décisions.
Webinaire : Comment le Schleswig-Holstein (État fédéré allemand) et Nextcloud collaborent pour un lieu de travail souverain
Le Schleswig-Holstein transforme son administration d’état en adoptant des solutions open-source, avec un accent particulier sur la plateforme de collaboration Nextcloud Hub. Retrouvez notre webinaire avec Felix Gebauer, chef de programme et chef de projet à l’administration de l’État du Schleswig-Holstein.
Regarder le webinaire