SentinelOne : une panne de 7 heures liée à une erreur logicielle !
Jeudi 29 mai 2025, une panne mondiale a impactée les clients de SentinelOne pendant 7 heures. La bonne nouvelle, c'est qu'il ne s'agit pas d'un incident de sécurité. Voici ce que l'on sait.
Une panne mondiale d’origine logicielle, pas d'incident de sécurité
La société américaine SentinelOne a connu jeudi dernier une panne mondiale de 7 heures, dont nous connaissons désormais la cause : une erreur logicielle. Même si cet incident a eu un impact sur les services en ligne de SentinelOne, l'éditeur affirme que la sécurité des terminaux est restée intacte malgré les perturbations.
Deux jours après l’événement, SentinelOne a dévoilé les causes de l’incident ayant paralysé ses services. La panne ne résulte pas d’une attaque informatique : "Notre analyse initiale des causes suggère qu’il ne s’agit pas d’un incident de sécurité.", a tenu à rassurer l’entreprise dans une communication adressée à ses clients.
À l'origine de cette panne, une défaillance dans un ancien système de contrôle d’infrastructure, aujourd’hui en cours de décommissionnement. Ce système a été activé par la création d’un nouveau compte, provoquant par erreur la restauration d’une sauvegarde vide de la table de routage AWS Transit Gateway. Par conséquent, des règles de routage et DNS ont été supprimées, ce qui a eu un impact direct sur l'acheminement des flux.
"Une faille logicielle dans la fonction de comparaison de configuration du système de contrôle a mal interprété des différences et appliqué ce qu’elle croyait être l’état de configuration approprié, écrasant ainsi les paramètres réseau précédemment établis .", a précisé SentinelOne. Les services sont en cours de migration vers une nouvelle infrastructure gérée selon les principes de l'Infrastructure as Code.
Des services indisponibles, mais des protections maintenues
Cette interruption a eu un impact immédiat sur les clients de SentinelOne. La gestion des actifs, l’inventaire et les services liés à l’identité ont été inaccessibles pendant plusieurs heures. Par exemple, les portails en ligne n'étaient plus accessibles. Par ailleurs, l’ingestion de données provenant de services tiers a pu être affectée, de même que les alertes MDR (Managed Detection and Response).
Malgré tout, la protection des appareils n'a pas été affaiblie tout au long de cet incident. "Les terminaux des clients sont toujours protégés à ce moment-là, mais les services de réponse managée n’ont pas de visibilité. Le rapport de données de menace est retardé, mais non perdu." - Une latence qui a pu poser problème pour l'analyse des menaces.
Le projet de migration en cours devrait améliorer la résilience de l'infrastructure de SentinelOne et permettre d'éviter ce type d'incidents.
