La panne informatique mondiale révèle l’hyper-dépendance aux services de «cloud»
AFP|Publié le 19 juillet 2024(AP Photo)
La panne informatique mondiale causée vendredi par une mise à jour logicielle sur les systèmes de Microsoft révèle l’hyper dépendance de l’économie à une poignée de services de cloud (informatique à distance), au point de paralyser des industries en cas de bogue.
«Je pense que c’est un avant-goût des effets potentiels de la dépendance du secteur financier et de tous les secteurs de l’économie à l’égard d’une poignée de sociétés de cloud et d’autres systèmes informatiques clés», a réagi Rohit Chopra, directeur d’une agence fédérale américaine chargée de la protection des consommateurs en matière financière.
«Il n’y a qu’une poignée de grandes sociétés de cloud sur lesquelles repose une grande partie de l’économie, et nous allons donc devoir nous pencher sérieusement sur la question», a-t-il ajouté sur la chaîne CNBC.
Des banques aux compagnies aériennes, médias et hôpitaux, la plupart des grandes organisations publiques et privées utilisent un mélange de serveurs en propre et de services de cloud, qui permettent d’héberger à distance des montagnes de données informatiques et de les analyser.
Trois groupes américains dominent largement ce secteur: Amazon, pionnier du cloud, détenait 31% des parts de marché mondiales fin 2023, talonné par Microsoft (26%) et enfin Google (10%), selon Canalys.
C’est ainsi qu’une mise à jour mineure, mais défectueuse envoyée par CrowdStrike, une société de cybersécurité peu connue, a mis à genoux vendredi, entre autres, des aéroports, le système d’accréditation des Jeux olympiques de Paris 2024 et un service d’urgences médicales aux Pays-Bas.
«Équilibre» à trouver
Ces sociétés ont été affectées parce qu’elles dépendent du système d’exploitation de Microsoft pour fonctionner, et que la nouvelle version du logiciel de CrowdStrike s’est révélée incompatible avec Windows.
«Nous sommes profondément désolés pour les problèmes que nous avons causés aux clients, aux voyageurs et à toutes les personnes concernées», a déclaré George Kurtz, le directeur général de CrowdStrike, sur la chaîne NBC.
Microsoft a imputé les problèmes au logiciel tiers, mais de nombreux experts mettent en garde contre le fait qu’un tout petit nombre de groupes contrôlent l’infrastructure informatique du monde entier.
«Les systèmes ou les entreprises qui dépendent entièrement de Microsoft vont continuer à avoir des soucis», a indiqué à l’AFP Michael Daniel, ancien coordinateur de la cybersécurité à la Maison-Blanche et actuel directeur de la Cyber Threat Alliance.
«Comment trouver un équilibre entre les avantages d’avoir tout le monde sur le même système d’exploitation et le risque de concentration que cela pose?»
La dépendance aux géants du cloud n’est pas nouvelle, elle se manifeste notamment quand des entreprises se retrouvent à la merci de pirates informatiques qui ont réussi à s’introduire dans leurs infrastructures numériques.
La transition vers le cloud «permet de rationaliser les opérations», explique Callie Guenther, de l’entreprise de cybersécurité Critical Start.
Au quotidien, les serveurs à distance ont rendu possibles des mises à jour instantanées d’un très grand nombre d’ordinateurs, par exemple.
Concentration
Mais cela «crée également des risques systémiques où les pannes et les failles de sécurité peuvent avoir des conséquences étendues».
Elle insiste sur la nécessité pour les organisations d’avoir des plans d’urgence et de diversifier leurs fournisseurs pour atténuer les risques.
«Le cloud et la consolidation des services (de cybersécurité) augmentent la dépendance à l’égard d’un nombre réduit de fournisseurs, ce qui amplifie l’impact en cas de défaillance unique», détaille-t-elle.
De nombreuses grandes entreprises de cybersécurité, dont CrowdStrike, vantent les avantages de la consolidation, comme de réunir différents outils de sécurité sur une seule plateforme, pour améliorer l’efficacité et réduire les coûts et les risques de failles.
Mais «la consolidation récente du marché de la cybersécurité a augmenté le risque que des problèmes (comme la panne de vendredi) se reproduisent», constate Graham Steel, directeur des produits de cybersécurité chez SandBox AQ.
Les sociétés dominantes du cloud renforcent la tendance en investissant massivement dans leurs propres solutions de sécurité.
Google essaie ainsi de racheter Wiz, une start-up de cybersécurité new-yorkaise, selon la presse américaine. À 23 milliards de dollars américains, ce serait l’acquisition la plus coûteuse jamais effectuée par le géant de l’internet.
Encore faudra-t-il que les autorités de la concurrence approuvent la transaction. Le gouvernement de Joe Biden et l’Union européenne tentent depuis des années de freiner la concentration du pouvoir au sein des grands groupes technologiques.