Débloquez gratuitement l’Editor’s Digest
Roula Khalaf, rédactrice en chef du FT, sélectionne ses histoires préférées dans cette newsletter hebdomadaire.
Les entreprises du monde entier se remettent encore de l’une des plus grandes pannes informatiques de leur histoire. Vendredi, un problème informatique causé par une mise à jour logicielle défectueuse de CrowdStrike, un fournisseur américain de sécurité numérique, a affecté 8,5 millions d’appareils Microsoft Windows. Des vols ont été annulés, des rendez-vous hospitaliers ont été reportés et plusieurs chaînes d’information ont cessé d’émettre. Un correctif a été rapidement déployé et de nombreux services ont repris. Il faudra peut-être du temps pour que tous les ordinateurs affectés soient réinitialisés.
Le bilan sera de plus en plus clair, mais beaucoup se réjouissent du fait qu’il ne s’agisse que d’un dysfonctionnement technique et non d’un problème plus difficile à résoudre, comme une cyberattaque. Néanmoins, le fait qu’une simple mise à jour de logiciel puisse provoquer un tel chaos à l’échelle mondiale devrait servir de signal d’alarme.
Les pannes, les piratages informatiques et les violations de données constituent une menace croissante à mesure que l’économie mondiale se numérise et s’interconnecte. Les ordinateurs et Internet sont déjà à la base de tout, des bourses aux véhicules électriques en passant par le chauffage central.
La concentration des logiciels et du matériel entre les mains de quelques fournisseurs aggrave la situation. De nombreuses entreprises technologiques ont tendance à développer de larges bases de clients, ce qui leur permet de collecter davantage de données, de bénéficier d’économies d’échelle et d’améliorer leurs services. Mais ces effets de réseau exposent également les utilisateurs à des points de défaillance uniques. Trois entreprises – Google, Amazon et Microsoft – représentent les deux tiers du marché des fournisseurs de cloud. CrowdStrike détient près d’un cinquième du marché de la cybersécurité des terminaux.
Il est essentiel de renforcer la résilience. Tout d’abord, les entreprises et les gouvernements doivent comprendre leurs risques. CrowdStrike et Microsoft sont tous deux réputés. Mais lorsqu’une organisation dépend trop d’un fournisseur individuel, il existe toujours un risque, aussi minime soit-il, de voir ses processus s’effondrer.
Deuxièmement, une fois les vulnérabilités cartographiées, les organisations doivent intégrer la redondance dans leurs opérations et élaborer des plans d’urgence pour garantir que les fonctions critiques puissent continuer à fonctionner dans les pires scénarios. Cela implique de diversifier leur infrastructure informatique en ayant plusieurs fournisseurs de cybersécurité, de systèmes d’exploitation ou de cloud. L’air gapping, où de grands systèmes informatiques interconnectés sont soutenus par des réseaux distincts plus petits, est une autre option. Les déploiements progressifs des mises à jour sont également judicieux. Ces stratégies sont particulièrement importantes pour les services et secteurs gouvernementaux critiques, notamment la santé, l’énergie et la finance.
Troisièmement, une collaboration plus étroite entre les secteurs public et privé est essentielle. Les entreprises bénéficient de l’accès à des réseaux numériques sécurisés, ainsi qu’aux services publics qui en dépendent. Cela signifie qu’il devrait y avoir un intérêt commun à partager des informations sur les violations, les vulnérabilités et les tests de résistance. Le coût du changement de fournisseur informatique, l’interopérabilité et la capacité des nouveaux entrants à être compétitifs doivent également faire l’objet d’un suivi efficace. Mais la coopération entre les régulateurs et les entreprises technologiques est importante pour garantir que toute réglementation soit ciblée et n’entrave pas l’innovation.
Les points de défaillance uniques se cachent également plus largement dans nos économies mondialisées et fortement interconnectées. La pandémie a montré à quel point de nombreuses entreprises étaient devenues trop dépendantes des chaînes d’approvisionnement liées à la Chine, qui soutenaient leurs modèles de livraison « juste à temps » extrêmement efficaces. La semaine dernière, les actions des plus grands fabricants de puces électroniques du monde ont chuté après les commentaires du candidat républicain à la présidence, Donald Trump, selon lesquels Taïwan – une source principale de production de puces électroniques – devrait financer sa propre défense contre la Chine. En avril Le FMI a mis en garde contre la menace croissante des cyberattaques pour la stabilité financière.
La logique de cartographie, de constitution de plans d’urgence et de collaboration est valable pour atténuer la plupart des risques concentrés. Le problème logiciel de vendredi dernier nous rappelle de manière cruciale qu’il est essentiel de renforcer la résilience de nos systèmes économiques physiques et numériques et qu’il ne faut pas la reporter. Cela aura un coût, mais apportera l’avantage de nous assurer contre des menaces encore plus coûteuses.