L’extension de Terraform au-delà des frontières organisationnelles nécessite un équilibre minutieux entre standardisation et flexibilité. Grâce à des structures d’équipe claires, une gouvernance bien pensée, des processus CI/CD automatisés et un support d’outillage approprié, il est possible de gérer efficacement des infrastructures complexes à locataires multiples. Avec ces bases solides, vous pouvez étendre votre pratique de Terraform d’équipes individuelles à l’ensemble de l’organisation, tout en garantissant cohérence, sécurité et efficacité.

Cet article est la première partie d’une série sur la conception de la gestion multi-locataires en tant qu’Infrastructure-as-Code dans des infrastructures de grande envergure.

Le 19 juillet 2024, une panne informatique majeure, due à une mise à jour défectueuse de la plateforme Falcon de CrowdStrike, a entraîné des perturbations généralisées dans divers secteurs, notamment le trafic aérien, les hôpitaux et les agences gouvernementales. Cette plateforme est censée renforcer la sécurité en bloquant les attaques en temps réel. Pour cela, des points de mesure sont profondément intégrés dans le système serveur, nécessitant les privilèges administratifs les plus élevés sur ces systèmes eux-mêmes. Cette approche est déjà discutable en soi, mais une autre surface d'attaque a été ajoutée : ces capteurs, intégrés en profondeur dans les processus du système pour la surveillance de la sécurité, recevaient leurs mises à jour via un système de distribution mondial contrôlé par CrowdStrike - mis en place avec la bonne intention d'assurer une couverture de sécurité globale cohérente, sans dépendre de l'initiative des clients.

Une telle approche centralisée ne pose évidemment aucun problème tant qu'elle fonctionne et ne provoque pas de dysfonctionnements. Mais c'est précisément ce qui s'est produit - une mise à jour défectueuse a été largement déployée sur des systèmes serveurs fonctionnant sous Microsoft Windows. En raison de l'intégration profonde dans les systèmes, une bibliothèque défectueuse (sensorsvc.dll) a entraîné des erreurs critiques du noyau connues sous le nom de Blue Screens, et ce "Single Point of Failure" a transformé l'objectif d'une couverture de sécurité cohérente en une panne globale. Les compagnies aériennes ont été particulièrement touchées - environ 1 500 vols ont été annulés -, ainsi que les banques, le commerce de détail et le secteur de la santé. La mise à jour a été retirée, mais les systèmes serveurs ont dû être réparés manuellement en mode sans échec. Cet incident a mis en évidence les vulnérabilités des systèmes de distribution de mises à jour centralisés et les réactions en chaîne qu'un tel "Single Point of Failure" peut provoquer.

Un autre aspect a également été mis en lumière : les conséquences de l'absence de mesures fondamentales pour se prémunir contre les pannes. Il s'agit notamment d'une surveillance robuste de l'état des services avec des basculements automatisés, de mécanismes permettant de limiter le Blast Radius et de capacités avancées de reprise après sinistre. Les clients qui avaient anticipé ces risques ont simplement pu activer leurs systèmes de secours. Mais peu y avaient pensé. Pourtant, ces principes architecturaux deviennent de plus en plus indispensables pour les systèmes critiques pour l'activité.