Le 19 juillet, une mise à jour de CrowdStrike a mis hors service d’innombrables systèmes Microsoft, perturbant les vols, les cabinets médicaux, les services bancaires et bien d’autres choses encore dans le monde entier. L’impact incroyable de cette panne montre l’importance de la résilience numérique, en particulier dans le secteur public. La décentralisation et la diversité des infrastructures et des technologies sont les seuls moyens d’y parvenir de manière crédible.
Le site d’information satirique allemand Der Postillion a noté que les télécopieurs n’étaient pas touchés et que le secteur public allemand n’avait donc rien à craindre, mais les effets ont été ressentis partout.
Many politicians have already come out with statements about digital resiliency. In the Netherlands the minister of Justice noted there should be plans to deal with the fall-out of events like this. “Concentrating production can concentrate risk, so that a single natural disaster or disruption has cascading effects,” US Federal Trade Commission chair Lina Khan wrote in a series of posts on X.
Il existe un certain nombre d’initiatives législatives visant à protéger la résilience des infrastructures. On peut citer par exemple la loi sur la résilience opérationnelle numérique (DORA) pour le secteur financier, qui entrera en vigueur en 2025, et la loi sur la résilience cybernétique (CRA) pour les technologies grand public. La directive sur la sécurité des réseaux et des systèmes d’information (NIS) vise spécifiquement la protection et la résilience des infrastructures critiques et des services numériques, en imposant des mesures de sécurité et le signalement des incidents.
Aux États-Unis, la loi fédérale sur la gestion de la sécurité de l’information (FISMA) oblige les agences fédérales à mettre en œuvre un programme de sécurité de l’information, y compris des mesures visant à atténuer l’impact des pannes informatiques. En outre, le cadre du National Institute of Standards and Technology (NIST) fournit des lignes directrices pour l’amélioration de la cybersécurité des infrastructures critiques.
Mais aucune de ces réglementations ne semble s’attaquer efficacement aux risques liés à la centralisation des technologies de l’information. Cela signifie que la souveraineté numérique et la résilience du secteur public, ainsi que des hôpitaux, des banques et d’autres infrastructures critiques, continuent d’être gravement menacées. Une monoculture de services fournis par une poignée de grandes entreprises technologiques menace la continuité des services en cas d’erreurs, de cyber-attaques et de conflits politiques.
Bien qu’il ne s’agisse que d’une erreur, une cyberattaque soutenue aurait des conséquences bien plus dévastatrices, sans parler des attaques contre les infrastructures physiques. Les câbles sous-marins sont incroyablement vulnérables et, en 2021, la Russie a également montré que les satellites pouvaient être abattus par des fusées.
La clé de la résilience numérique est la décentralisation et l’hétérogénéité. En fin de compte, tous les systèmes informatiques tombent en panne un jour ou l’autre. Une dépendance excessive à l’égard d’un seul service constitue donc inévitablement un risque. Même si ce fournisseur est « too big too fail » (trop gros pour faire faillite) et qu’il dispose de tonnes de redondance et de centres de données.
Le secteur public en particulier devrait suivre une stratégie ciblée pour différencier son infrastructure informatique, en réduisant la dépendance à l’égard d’un petit nombre de géants de la technologie.
Tout d’abord, une solide stratégie multifournisseur et multiplateforme peut faire des merveilles contre les cybermenaces. Mais au-delà, les solutions elles-mêmes devraient être moins centralisées.
Les centres de données connectés au niveau mondial peuvent avoir une plus grande capacité à absorber les attaques par déni de service, mais ils sont en même temps plus vulnérables aux erreurs et aux cyberattaques plus avancées. Les technologies qui sont fondamentalement distribuées et fédérées, plutôt que de s’appuyer sur un point de défaillance unique, offrent un grand avantage.
Avec les solutions sur site, les plateformes les plus critiques peuvent même être entièrement isolées, déconnectées de l’internet, soit en permanence, soit en réponse à des attaques. Cela permet de garantir leur disponibilité même dans le pire des cas.
Les solutions open source ne sont pas seulement plus robustes face aux menaces constantes en matière de sécurité. Elles offrent également une plus grande transparence dans leur fonctionnement. En cas de problème, les ingénieurs peuvent aller plus loin que dans les solutions à boîte noire, au point de lire simplement le code ou même de le modifier pour y ajouter des informations supplémentaires afin de traquer les problèmes. Les correctifs proposés par des fournisseurs comme Crowdstrike, s’ils étaient open source, pourraient être examinés de près avant d’être déployés.
Plus important encore, l’accès à leur source et la connaissance plus largement distribuée de leur base de code signifient que les produits open source peuvent être corrigés en cas d’urgence, même sans l’aide du fournisseur.
Il existe des solutions aux risques et aux dommages économiques causés par notre dépendance à l’égard de quelques grands fournisseurs de technologie. Il est temps de prendre des décisions.
Le Schleswig-Holstein transforme son administration d’état en adoptant des solutions open-source, avec un accent particulier sur la plateforme de collaboration Nextcloud Hub. Retrouvez notre webinaire avec Felix Gebauer, chef de programme et chef de projet à l’administration de l’État du Schleswig-Holstein.
Regarder le webinaire
La Nextcloud Conference n'est pas un événement comme les autres - c'est un rendez-vous communautaire qui rassemble les passionnés de Nextcloud, les contributeurs, les développeurs, les utilisateurs et les experts de l'industrie du monde entier.
En savoir plus
Nous vous présentons une mise à jour majeure de l'assistant Nextcloud IA, ainsi que de nouvelles informations sur notre collaboration avec plusieurs grands fournisseurs d'hébergement tels que IONOS et OVHcloud pour vous proposer des options d'IA en tant que service !
En savoir plus
Bechtle et Nextcloud ont annoncé aujourd'hui une plateforme de collaboration entièrement administrée pour le secteur public, qui ne nécessite pas d'appel d'offres et peut être déployée immédiatement.
En savoir plus
Découvrez comment passer de ownCloud à Nextcloud. Notre outil d'aide à la migration fournit des informations sur le processus de migration et vous aide à effectuer la transition en douceur.
En savoir plus
Au cours de la dernière année, l'IA est devenue un sujet à la mode. Il y a de l'engouement, mais aussi du fondement. Il y a du positif et du négatif. Nous voulons vous offrir le positif, pas le négatif, et ignorer le battage médiatique ! […]
En savoir plus
Maintenance update 29.0.6 for Nextcloud Hub 8 is here! Read an update summary here and access full changelog on the website.
En savoir plusAugust maintenance updates 28.0.9 and 29.0.5 for Nextcloud Hub are here! Read an update summary here and access full changelog on the website.
En savoir plus
Discover how the Deutsche Lebens-Rettungs-Gesellschaft uses Nextcloud to provide water safety to all!
En savoir plus
