Cambridge Cyber InternationalCambridge CyberInternati
nal

DORA · Operational resilience

Quand une mise à jour a cloué le monde au sol : la panne CrowdStrike comme cas d'école DORA

2026-06-11 · CCI Editorial · 4 min

Grille monoligne de postes de travail sous un bus de mise à jour orange; un bloc contigu de machines marquées en rouge comme défaillantes. Légende : une dépendance, chaque poste, 8,5 millions de machines hors service.

Un seul fichier défectueux a mis 8,5 millions de machines Windows hors service, cloué des avions au sol et gelé des salles de marché. Sous DORA, la question n'est plus « à qui la faute ? » mais « où était votre simulation ? »

Le 19 juillet 2024, une mise à jour de contenu défectueuse d'un agent de sécurité très largement déployé a rendu environ 8,5 millions de systèmes Windows incapables de démarrer en quelques heures. Des compagnies aériennes ont immobilisé leurs flottes, des hôpitaux sont revenus au papier, et des institutions financières ont découvert qu'un seul fichier tiers pouvait accomplir ce qu'aucun attaquant n'avait réussi. Pas d'adversaire, pas de logiciel malveillant, pas d'intrusion : c'est précisément ce qui en fait le cas d'école de résilience le plus net de la décennie.

L'incident

Un éditeur, un fichier de configuration, une diffusion mondiale. La mise à jour a atteint chaque machine exécutant l'agent pratiquement au même instant, et le mode de défaillance était total : écran bleu, redémarrage en boucle, intervention manuelle poste par poste. L'échelle a transformé un défaut logiciel en phénomène météorologique d'infrastructure.

La lecture réglementaire

Le règlement européen sur la résilience opérationnelle numérique (DORA) ne tire aucun réconfort de l'absence d'attaquant. Son exigence centrale : que la perturbation des TIC, malveillante ou non, soit anticipée, supportée et surmontée. Trois de ses piliers sont directement engagés : le risque lié aux tiers (le composant défaillant siégeait au plus profond de presque toutes les chaînes d'approvisionnement, souvent sous le niveau de visibilité contractuelle), les tests de résilience numérique (les scénarios doivent couvrir les perturbations sévères mais plausibles; la défaillance simultanée d'un agent de poste était plausible, sévère, et presque nulle part simulée), et la déclaration d'incidents (les institutions avaient des heures, pas des jours, pour comprendre et qualifier leur propre exposition).

Ce que le calcul aurait changé

La dépendance était connaissable : un inventaire complet montre le même agent sur chaque poste, un point unique de défaillance corrélée. Le rayon d'impact était calculable : une simulation Monte-Carlo sur cet inventaire, celle que DORA-MAST exécute pour les entités financières et cVaR pour toute industrie, chiffre en termes de perte financière le scénario « l'agent de confiance tombe partout à la fois », transformant une inquiétude vague en nombre présentable au conseil. Et la reprise est plus rapide quand les preuves sont à portée de main : les institutions qui savaient exactement quelles machines exécutaient quelle version se sont relevées en heures; celles qui reconstituaient leur parc depuis des tableurs ont mis des jours.

Prédire, simuler, remédier à l'avance : rien de tout cela n'exigeait de la voyance. Il fallait un inventaire, un modèle, et la volonté de calculer le scénario malheureux avant de le vivre.

La plupart des institutions touchées n'ont pas manqué de chance. Elles ont manqué de modèle.

The CCI angle

Solutions referenced: DORA-MAST · cVaR · EviGensee the products or talk to a practitioner.

← All analyses