Le 29 mai 2025, SentinelOne, acteur majeur de la cybersécurité, a subi une interruption de service internationale due à une faille logicielle critique. Cette panne a affecté la capacité des clients d’entreprise à gérer leurs opérations de sécurité, bien que les utilisateurs fédéraux soient restés épargnés. Selon l’analyse publiée par l’entreprise, l’origine réside dans un dysfonctionnement de leur système de contrôle d’infrastructure, alors en phase de transition vers une nouvelle architecture cloud.
Une transition vers le cloud qui tourne court
SentinelOne a entrepris une refonte ambitieuse de son infrastructure, adoptant les fondations du code infrastructurel (Infrastructure as Code, IaC) afin de moderniser ses processus et automatiser la gestion des configurations réseau. Ce changement, destiné à accroître la résilience et la souplesse des systèmes, repose sur des composants largement déployés dans les environnements cloud modernes.
Mais cette mutation technique a exposé une faiblesse inattendue. Lors de la création d’un nouveau compte utilisateur, une ancienne composante du système – conçue pour être bientôt désactivée – a mal interprété des différences de configuration perçues comme des erreurs, déclenchant une série de modifications automatiques. Ce mécanisme a supprimé les routes réseau critiques et les règles DNS essentielles au bon fonctionnement des services.
Un impact majeur sur les entreprises
L’effet domino de cette suppression de configuration s’est immédiatement fait sentir. L’incident a empêché les clients d’entreprise d’accéder au tableau de bord de gestion SentinelOne et aux données de surveillance des menaces. Les équipes de sécurité ont perdu toute visibilité sur leurs terminaux, actifs et identités, limitant drastiquement leur capacité à réagir en cas d’incident.
Malgré cette perte de contrôle centralisé, les agents installés localement sur les terminaux ont continué de fonctionner. Les appareils sont restés protégés contre les cybermenaces, et SentinelOne affirme qu’aucun système client n’a été compromis. Les systèmes de gestion des identités et de visualisation des vulnérabilités, en revanche, ont été temporairement inaccessibles.
Réactivité et rétablissement partiel
La société a identifié rapidement l’origine du problème et amorcé des procédures de rétablissement. À 19h41 UTC le même jour, l’essentiel des services était restauré. SentinelOne a tenu à clarifier qu’il ne s’agissait ni d’une attaque ni d’un incident de sécurité : aucune donnée client n’a été compromise.
L’entreprise a également précisé que ses équipes poursuivent l’audit complet de l’incident et procèdent à des ajustements du système automatisé afin d’éviter toute récidive.
L’importance d’une communication de crise maîtrisée
Ce genre d’incident révèle la fragilité inhérente à l’automatisation des infrastructures et souligne la nécessité d’un canal de communication indépendant en cas de rupture de service généralisée. Privées d’informations claires pendant plusieurs heures, certaines organisations clientes ont exprimé leur frustration face à l’absence de mises à jour fréquentes.
SentinelOne reconnaît cet enjeu de transparence et affirme travailler à améliorer ses dispositifs de communication et de supervision, afin de limiter les impacts d’éventuelles interruptions futures.
Le prix de l’innovation technologique
Ce que révèle l’incident de SentinelOne dépasse la défaillance technique ponctuelle : il illustre les tensions entre innovation rapide et stabilité opérationnelle. Dans un contexte où les infrastructures de cybersécurité migrent massivement vers le cloud et l’infrastructure définie par logiciel, une faille logique minime dans un module en fin de vie peut générer un effet boule de neige touchant des milliers de clients à l’échelle mondiale.
SentinelOne affirme avoir tiré les leçons de cet événement et poursuit ses efforts pour assurer que les prochaines phases de sa transformation numérique prévoient des garde-fous adaptés.
Conclusion
Aucun système n’est à l’abri d’un dysfonctionnement, même dans les enceintes les mieux sécurisées. L’incident du 29 mai chez SentinelOne rappelle que la fiabilité opérationnelle repose autant sur la qualité des systèmes techniques que sur leur gouvernance, leurs processus de validation et la capacité des équipes à gérer l’imprévu.
Alors que les outils de cybersécurité deviennent plus intelligents et autonomes, leur complexité croissante exige des mécanismes de contrôle renforcés pour éviter que les systèmes censés prévenir les incidents n’en deviennent eux-mêmes l’origine.
[…] a récemment intercepté ce qui est désormais considérée comme la plus puissante attaque DDoS de l’histoire. Avec un pic à 7,3 térabits par seconde, cette offensive numérique a marqué un […]