Panne de Microsoft
Panne de Microsoft

Après la panne de Microsoft : L'impact persistant et les perspectives globales sur la planification de la continuité des activités (BCP)

Vivian Susko |

À la suite de ce qui pourrait être l'une des pannes informatiques mondiales les plus étendues de l'histoire, les organisations se concentrent à nouveau sur la lutte contre les anciennes vulnérabilités qui peuvent avoir des effets en cascade.

Ce n'est pas la seule panne informatique qui fait la une des journaux, mais elle pourrait bien être la plus importante de l'histoire récente. Tout a commencé lorsqu'une mise à jour logicielle de routine a provoqué l'échec d'une mise à jour du système destinée à protéger les utilisateurs contre les vulnérabilités cybernétiques.

La semaine dernière, les utilisateurs de Microsoft Windows se sont trouvés dans l'impossibilité d'accéder à diverses applications et services, ce qui a entraîné d'importantes perturbations des processus commerciaux dans tous les secteurs, des terminaux d'aéroports aux centres commerciaux en passant par les banques du monde entier. Même la Bourse de Londres et le département de la sécurité du New Hampshire ont signalé des interruptions de service.

Pour la plupart des utilisateurs de PC, la panne sera probablement réparée par une nouvelle mise à jour logicielle, que certains effectueront automatiquement et d'autres manuellement. Mais pour tous, la panne de Microsoft est un rappel brutal de la nécessité de mettre en place des stratégies de continuité des activités plus solides et des tactiques de gestion des risques des tiers (TPRM).

L'impact mondial persistant de la panne de Microsoft

L'ampleur et la portée de l'impact de la panne ont été considérables, y compris, mais sans s'y limiter :

  • Interruptions de la ligne 911
  • Interruptions de la diffusion
  • Vols au sol

L'effet en cascade d'une seule mise à jour logicielle a mis en évidence les facteurs de risque interconnectés et tiers que nous avons vus se complexifier. Ou, comme l'a dit Ciaran Martin, ancien directeur du National Cyber Security Center britannique et professeur à la Blavatnik School of Government de l'Université d'Oxford, dans un article du New York Times, "c'est une illustration très, très inconfortable de la fragilité de l'infrastructure Internet centrale du monde".

Et lorsqu'il ne s'agit pas seulement de cyberattaques externes, mais aussi d'une perturbation du code interne, il peut être difficile de savoir où chercher en premier. Les appels proviennent de l'intérieur et de l'extérieur de la maison, mais ce n'est pas le moment de raccrocher ou de se cacher dans un coin. Au contraire, il est temps de mieux maîtriser la gestion des risques liés aux tiers, les dépendances opérationnelles, les stratégies de remédiation et le plan de continuité des activités.

Rappels et leçons tirées de la planification de la continuité des activités (PCA)

L'objectif de votre plan de continuité des activités est toujours de minimiser l'impact sur les opérations, les employés et les clients pendant et après un désastre ou une perturbation importante. Il doit prendre en compte les éléments suivants et être prêt à y répondre :

  1. Temps d'arrêt du système : Avez-vous un plan en place si l'accès aux applications et aux services perturbe les activités quotidiennes de nombreuses entreprises, entraînant des retards, une baisse de la productivité et des pertes potentielles ?
  2. Atteinte à la réputation : Pouvez-vous communiquer de manière transparente et efficace lors de tels incidents afin de maintenir la confiance des clients et des parties prenantes ?
  3. Conformité réglementaire : Pouvez-vous démontrer votre diligence et votre préparation aux régulateurs ?

Éléments clés du PCA : Commencez votre planification ici

Votre plan de continuité des activités doit comporter trois éléments fondamentaux :

  1. L'évaluation des risques et l'analyse de l'impact sur l'entreprise (BIA) : La panne de Microsoft illustre l'importance de comprendre les dépendances des systèmes informatiques et les retombées potentielles de leur défaillance. Il est essentiel d'identifier les risques potentiels et leur impact en cascade sur les activités de l'entreprise.
  2. Stratégies de rétablissement : L'élaboration de plans visant à rétablir les fonctions de l'entreprise aussi rapidement que possible comprend la mise en place de systèmes de sauvegarde, d'arrangements de travail alternatifs et de plans de communication clairs.
  3. Élaboration et test du plan : L'élaboration d'un plan d'intervention détaillé est la première étape. Vous devez ensuite le tester régulièrement pour vous assurer de son efficacité.

Et n'oubliez pas la gestion des risques liés aux tiers (TPRM) !

Alors que les entreprises font de plus en plus appel à des prestataires externes pour des services critiques, l'identification, l'évaluation et le contrôle des risques associés à cette externalisation deviennent plus nuancés. Gardez une longueur d'avance sur la gestion des risques liés aux tiers avec :

  1. Évaluation des risques liés aux fournisseurs et diligence raisonnable : Évaluer les risques potentiels posés par les fournisseurs tiers et comprendre les profils de risque de tous les fournisseurs impliqués dans votre chaîne d'approvisionnement.
  2. Garanties contractuelles : Veiller à ce que les contrats conclus avec les fournisseurs contiennent des dispositions relatives à la continuité des activités et à la reprise après sinistre. Il s'agit notamment d'accords de niveau de service (SLA) qui précisent les délais de réponse et les processus de remédiation en cas de panne.
  3. Contrôle continu : Contrôler régulièrement les performances et les pratiques de sécurité des fournisseurs tiers. L'évaluation continue permet d'identifier et d'atténuer les risques avant qu'ils ne se matérialisent en problèmes importants.
  4. Planification d'urgence : Malgré des évaluations approfondies des risques et des mesures préventives, des événements imprévus tels que des catastrophes naturelles ou des pannes d'infrastructure peuvent perturber les opérations de tiers et présenter des risques importants pour les organisations. Les professionnels du risque doivent élaborer des plans d'urgence et des stratégies de continuité des activités afin d'atténuer l'impact de ces perturbations. Les plans d'urgence consistent à identifier des fournisseurs alternatifs, à établir des systèmes redondants et à mettre en œuvre des procédures de récupération pour assurer la continuité des opérations en cas de crise.
  5. Planification des liquidités : Tout comme votre plan d'action d'urgence, assurez-vous de ne pas être confronté à des contraintes financières pendant que la production est affectée en allouant des fonds de manière stratégique. Une façon d'y parvenir serait de quantifier ces risques et de simuler la valeur à risque (qui ne devrait pas dépasser votre capacité à supporter les risques).
  6. Communication avec les parties prenantes: Une communication efficace favorise la transparence et la collaboration dans les efforts de gestion des risques des tiers. Les professionnels du risque doivent maintenir des canaux de communication ouverts avec les parties prenantes internes, les fournisseurs tiers, les autorités de régulation et les autres parties concernées. Une communication transparente facilite l'échange d'informations, la prise de conscience des risques et permet de réagir rapidement aux nouvelles menaces ou préoccupations.

Ce que nous avons appris :

En veillant à ce que vos cadres de planification de la continuité des activités et de gestion des risques liés aux tiers soient solides et à jour, vous pouvez atténuer considérablement les risques opérationnels et aider vos équipes à traverser les perturbations de manière efficace. La technologie continue d'évoluer, tout comme les stratégies visant à protéger les activités de l'entreprise contre les événements imprévus.

La conclusion est claire : une planification proactive et une gestion vigilante des risques sont essentielles pour maintenir la résilience des entreprises dans un monde interconnecté.

plaintes pour harcèlement

Notre priorité ? Votre réussite.

Planifiez une démonstration ou renseignez-vous sur les produits, les services et l'engagement de Mitratech.