Depuis le 2 février 2024, des classeurs Excel macro‑activés (.XLSM/.XLSB) s’enregistrent très lentement sur les partages réseau. Voici une analyse claire, des correctifs éprouvés et une procédure pas‑à‑pas pour rétablir des sauvegardes instantanées.
Vue d’ensemble
Vous constatez une forte latence (voire un gel momentané) lors de l’enregistrement de classeurs XLSM ou XLSB vers un partage réseau. La barre de progression d’Excel reste affichée longtemps et l’opération est jusqu’à 10× plus lente. Les classeurs XLSX, eux, s’enregistrent normalement. Selon les environnements, une latence plus discrète peut aussi se produire en local et, chez certains, toucher d’autres applications Office.
Ce comportement a démarré le 2 février 2024 et a coïncidé avec un durcissement de l’analyse Machine Learning « Detect on Write (DOW) » du capteur CrowdStrike Falcon appliquée aux fichiers Office, en particulier ceux qui contiennent des macros ou sont au format macro‑activé. Cette inspection à l’écriture introduit une latence notable pour XLSM/XLSB sur disque et sur réseau, y compris parfois pour des fichiers qui ont déjà contenu des macros.
Cause la plus probable
La cause retenue dans la majorité des cas documentés est une mise à jour du capteur CrowdStrike Falcon ayant renforcé DOW (Detect on Write) pour les documents Office. Concrètement :
- À chaque écriture d’un fichier Office, DOW déclenche une analyse ML plus lourde sur les formats XLSM/XLSB (et parfois sur des fichiers ayant historiquement contenu des macros), ce qui ralentit la sauvegarde.
- Les XLSX ne déclenchent pas la même profondeur d’inspection, expliquant leur vitesse normale.
- Rétrograder Office (même vers des builds de 2023) ne change rien : le goulot est EDR/antivirus, pas Office.
Correctifs validés
Désactiver temporairement « Detect on Write » (DOW)
But : confirmer immédiatement l’implication de DOW et rétablir des temps d’enregistrement normaux pendant que vous planifiez le correctif définitif.
- Emplacement dans la console Falcon : Endpoint Security → Prevention Policies → Type : Next‑Gen Antivirus → Catégorie : On Write → couper le toggle « Detect on Write ».
- Périmètre recommandé : commencer par le serveur de fichiers impacté (ou un petit groupe d’hôtes pilote), puis étendre si nécessaire.
- Effet : retour quasi immédiat (2–3 minutes de propagation typiques), sans redémarrage requis.
- Bonnes pratiques : limiter dans le temps et en périmètre, documenter l’écart de sécurité, préparer la remise en conformité.
Mettre à jour le capteur CrowdStrike
But : corriger la régression et conserver la protection DOW à l’état activé.
- Version corrective : déployer 7.07.17807.0 (publiée le week‑end précédant le 20 février 2024) ou ultérieure.
- Procédure : valider la version sur un petit anneau de postes/serveurs, surveiller la télémétrie, puis généraliser.
- Après mise à jour : réactiver DOW et vérifier l’absence de régression des performances.
Playbook express
- Mesurer : notez les temps d’enregistrement pour le même classeur en XLSM/XLSB et en XLSX, sur réseau puis en local.
- Basculer DOW sur OFF sur le serveur de fichiers (ou un groupe pilote).
- Attendre 2–3 min et retester. Si les temps reviennent à la normale → cause confirmée.
- Déployer le capteur ≥ 7.07.17807.0 (ou plus récent).
- Réactiver DOW, puis surveiller pendant 24–48 h.
Symptômes & signaux utiles
- Les XLSX s’enregistrent normalement.
- Des XLSM restent lents même après suppression des macros (le format macro‑activé suffit à déclencher l’analyse).
- Rétrograder Office n’améliore pas la situation.
- Un cas de quarantaine/perte de
PERSONAL.XLSBa été signalé : vérifier la quarantaine CrowdStrike et restaurer si nécessaire. - Latence perceptible aussi en local et parfois sur d’autres apps Office pour certains environnements.
Tableau : lecture rapide des symptômes
| Symptôme | Indice | Action recommandée |
|---|---|---|
| XLSM/XLSB très lents sur réseau | Inspection DOW à l’écriture | Couper DOW sur le serveur de fichiers, retester |
| XLSX rapides | Pas d’analyse lourde ML | Utiliser temporairement XLSX si possible |
| Pas d’amélioration après rétrograde Office | Cause hors Office | Focaliser sur EDR (politique/agent) |
Perte de PERSONAL.XLSB | Quarantaine EDR | Vérifier et restaurer depuis la quarantaine |
Contournements et atténuations
- Enregistrer en .XLSX quand c’est possible (supprimer/éviter les macros, ou isoler le code en complément).
- Travailler en local puis copier vers le partage (efficacité variable selon les sites).
- Limiter le périmètre de désactivation DOW (uniquement les hôtes/serveurs réellement impactés et pour une durée courte).
Procédure de diagnostic détaillée
Comparer formats et emplacements
- Ouvrir un classeur de test avec quelques feuilles et formules.
- Enregistrer en XLSM puis en XLSX sur le partage réseau (même chemin).
- Répéter les deux enregistrements en local (ex. :
C:\Temp). - Noter les temps : typiquement, seul XLSM/XLSB est anormalement lent sur réseau.
Tester l’effet de DOW
- Basculer DOW = OFF sur le serveur de fichiers ou sur un groupe pilote.
- Attendre la propagation 2–3 min.
- Répéter exactement les quatre tests ci‑dessus et comparer.
Vérifier la quarantaine CrowdStrike
Si des fichiers personnels comme PERSONAL.XLSB semblent « disparaître », contrôler la quarantaine de l’EDR et restaurer si besoin (puis ajouter des exclusions ciblées si votre politique le permet).
Mesurer objectivement
Pour objectiver les écarts, vous pouvez chronométrer les enregistrements :
' VBA - Macro de benchmark simple
Sub BenchSaveExcel()
Dim t As Double, dt As Double, p As String
Dim base As String: base = Environ$("TEMP")
Dim net As String: net = "\\serveur\partage\tests" ' <-- à adapter
Application.ScreenUpdating = False
Application.DisplayAlerts = False
```
' Préparation d'un classeur éphémère
Workbooks.Add
Range("A1:D5000").Formula = "=RAND()"
' Test XLSM réseau
t = Timer
ActiveWorkbook.SaveAs Filename:=net & "\test.xlsm", FileFormat:=52 ' xlOpenXMLWorkbookMacroEnabled
dt = Timer - t
Debug.Print "XLSM réseau (s) = " & Format(dt, "0.00")
' Test XLSX réseau
t = Timer
ActiveWorkbook.SaveAs Filename:=net & "\test.xlsx", FileFormat:=51 ' xlOpenXMLWorkbook
dt = Timer - t
Debug.Print "XLSX réseau (s) = " & Format(dt, "0.00")
' Test XLSM local
t = Timer
ActiveWorkbook.SaveAs Filename:=base & "\test.xlsm", FileFormat:=52
dt = Timer - t
Debug.Print "XLSM local (s) = " & Format(dt, "0.00")
' Test XLSX local
t = Timer
ActiveWorkbook.SaveAs Filename:=base & "\test.xlsx", FileFormat:=51
dt = Timer - t
Debug.Print "XLSX local (s) = " & Format(dt, "0.00")
Application.DisplayAlerts = True
Application.ScreenUpdating = True
MsgBox "Vérifiez la fenêtre Exécution (Ctrl+G) pour les temps."
```
End Sub Attendu : les temps pour XLSX restent bas, tandis que XLSM explose sur réseau quand DOW est activé.
Vérifier et déployer la version du capteur
Comment contrôler la version côté Windows
Sans entrer dans des chemins de registre spécifiques à vos déploiements, le plus fiable côté poste/serveur est de lire la version du binaire de service :
# PowerShell - version du service CrowdStrike Windows Sensor
$svc = Get-Service -Name CSFalconService -ErrorAction SilentlyContinue
if ($svc) {
$path = (Get-Process -Name CSFalconService -ErrorAction SilentlyContinue).Path
if (-not $path) {
$path = (Get-WmiObject win32_service -Filter "Name='CSFalconService'").PathName -replace '"',''
}
if (Test-Path $path) {
(Get-Item $path).VersionInfo | Select-Object FileVersion,ProductVersion,FileName
} else {
Write-Host "Service détecté, mais chemin binaire introuvable."
}
} else {
Write-Host "Service CSFalconService non trouvé."
}
Vérifiez que la version rapportée est ≥ 7.07.17807.0. Si elle est inférieure, planifiez la mise à jour via votre outil de déploiement ou la console Falcon.
Stratégie de déploiement conseillée
- Pilote : 10–20 machines représentatives (1–2 serveurs de fichiers + 10 postes).
- Anneau 1 : tous les serveurs de fichiers et postes des équipes IT.
- Anneau 2 : déploiement progressif par site/bureau.
- Validation : après chaque anneau, vérifier que XLSM sur réseau est revenu à la normalité (objectif : <2 s pour 2–5 Mo), sans explosion d’alertes.
Arbre de décision opérationnel
| Constat | Action immédiate | But | Critère de succès |
|---|---|---|---|
| XLSM réseau très lents, XLSX OK | Couper DOW sur serveur de fichiers | Isoler EDR comme cause | Temps d’enregistrement redevenus normaux |
| Déploiement de capteur ancien | Mettre à jour ≥ 7.07.17807.0 | Corriger la régression | Aucun différentiel entre XLSM et XLSX |
Fichier personnel manquant (p.ex. PERSONAL.XLSB) | Contrôler la quarantaine et restaurer | Récupérer l’environnement utilisateur | Fichier restauré et exempté au besoin |
Pourquoi XLSX n’est pas affecté
Les fichiers XLSX ne contiennent pas de code VBA et n’embarquent pas de flux macro. DOW applique donc une politique et une profondeur d’inspection moins coûteuses, ce qui explique des sauvegardes rapides. À l’inverse, XLSM/XLSB activent une analyse ML renforcée, d’où la latence observée.
Ce qui ne sert à rien
- Rétrograder Office : inefficace, puisque le ralentissement est provoqué par l’inspection à l’écriture côté EDR.
- Changer de partage sans toucher à la politique EDR : marginal. Le goulot est à l’écriture, pas dans le protocole réseau en tant que tel.
- Supprimer le code VBA tout en conservant l’extension .xlsm : le simple format peut suffire à déclencher l’analyse.
Modèle de communication de risque
La désactivation temporaire de DOW réduit une couche de détection à l’écriture. Pour compenser :
- Limiter la mesure dans le temps et en périmètre (serveur de fichiers ciblé, groupe pilote).
- Conserver des niveaux anti‑malware adaptés sur le reste des catégories (exécution, on‑read, etc.).
- Renforcer la sensibilisation aux macros et l’usage de sources fiables.
- Réactiver DOW dès que le capteur est mis à jour.
Checklist d’investigation
- Comparer XLSM/XLSB vs XLSX, réseau vs local.
- Tester avec DOW OFF sur un petit groupe pilote (idéalement serveur de fichiers).
- Déployer capteur ≥ 7.07.17807.0.
- Réactiver DOW et surveiller les métriques (temps, alertes, quarantaine).
- Sauvegarder les fichiers macro critiques (ex.
PERSONAL.XLSB).
Métriques de suivi recommandées
- Temps d’enregistrement d’un classeur témoin (XLSM vs XLSX) sur un partage de référence.
- Taux d’alertes/quarantaines liés à Office avant/après changement.
- Version de capteur par anneau de déploiement.
- Incidents utilisateurs liés aux macros après réactivation de DOW.
FAQ
Faut‑il ajouter des exclusions globales pour Excel ?
Non, préférez une mise à jour du capteur et, si besoin, des exclusions ciblées et temporaires.
Pourquoi observe‑t‑on parfois une latence en local ?
Parce que DOW analyse également les écritures sur disque local. L’effet est souvent moins visible qu’en SMB, mais peut exister selon la charge et la taille des fichiers.
Le problème peut‑il toucher d’autres apps Office ?
Oui, des cas isolés signalent une latence à l’écriture pour d’autres produits Office lorsqu’ils manipulent des fichiers contenant du code ou des propriétés déclenchant l’inspection.
Quelles tailles de fichier sont les plus touchées ?
La latence est proportionnelle au volume et au contenu. Même de petits fichiers peuvent être ralentis, mais l’effet devient très visible au‑delà de quelques Mo.
Bonnes pratiques durables
- Instaurer un anneau de pré‑prod EDR pour détecter tôt les régressions de performances.
- Maintenir une suite de tests simple (macro de bench, partage de référence) et une ligne de base par site.
- Documenter un runbook « DOW » avec les étapes de bascule, validation et retour arrière.
- Automatiser la collecte de versions du capteur et des temps d’enregistrement (script planifié hebdomadaire).
Exemple d’attestation de remédiation
Contexte : Lenteur à l’écriture Excel XLSM/XLSB sur partages réseau observée depuis 2024-02-02.
Action : DOW désactivé sur \\SRV-FICHIERS (groupe pilote), puis capteur mis à jour en 7.07.17807.0.
Résultat : Temps d’enregistrement XLSM ramenés de 25–40 s à 2–3 s (XLSX inchangé).
Sécurité : DOW réactivé le JJ/MM/AAAA, aucun pic d’alertes post-réactivation.
Récapitulatif
En une phrase : la lenteur d’enregistrement Excel provient d’un changement CrowdStrike (Detect on Write / ML Office) ; désactivez DOW temporairement pour confirmer et rétablir le service, puis mettez à jour le capteur (≥ 7.07.17807.0) avant de réactiver DOW. En attendant, XLSX reste une alternative rapide.
Annexes : modèles d’exclusion ciblée (optionnel)
Si votre gouvernance sécurité l’autorise, vous pouvez, à titre strictement temporaire, appliquer une exclusion limitée (par répertoire de home utilisateurs ou partages spécifiques). Ne laissez pas ces exclusions en place au‑delà du nécessaire et réévaluez‑les dès l’installation de la version corrective du capteur.
Points d’attention sécurité : toute réduction de couverture DOW doit être documentée, bornée dans le temps et accompagnée d’une surveillance renforcée. Préférez toujours la mise à jour du capteur à une exclusion pérenne.