Fastly, un service de réseau de diffusion de contenu largement utilisé par les éditeurs Web, a subi une panne le 8 juin 2021 qui a eu des conséquences mondiales, touchant les principaux sites d'information, Amazon et même les sites Web du gouvernement britannique. Bien qu'elle ne soit pas liée à la cybersécurité, cette panne illustre néanmoins pourquoi les organisations qui dépendent de tiers pour fournir des services essentiels doivent évaluer en permanence les pratiques de résilience opérationnelle de ces fournisseurs.
Éléments essentiels d'un plan de résilience opérationnelle pour les tiers
Au minimum, un questionnaire tiers sur la résilience des entreprises devrait évaluer :
- Continuité des opérations – Veiller à ce que les fonctions essentielles d'une organisation puissent continuer à être exercées dans diverses situations d'urgence.
- Communication de crise – Sensibilisation à un type spécifique de menace, à son ampleur, à ses conséquences potentielles et aux comportements spécifiques à adopter pour réduire cette menace.
- Protection des infrastructures critiques – Protéger les services essentiels au fonctionnement de l'entreprise.
- Contingences liées aux systèmes d'information – Planification de la restauration des services après une interruption.
- Réponse et gestion des incidents – Identification, élimination et récupération après des menaces de cybersécurité.
- Reprise après sinistre – Récupération et protection de l'infrastructure informatique d'une entreprise.
10 questions à poser à tous les fournisseurs de services essentiels pour garantir la résilience de votre entreprise
Afin de déterminer une base de référence en matière de pratiques de résilience commerciale, Prevalent recommande aux organisations d'exiger de tous leurs fournisseurs essentiels qu'ils répondent aux 10 questions suivantes. Ces questions sont destinées à servir de point de départ ; les réponses doivent dicter les prochaines étapes et les points faibles du plan de résilience commerciale du fournisseur doivent être traités immédiatement.
| Questions | Réponses potentielles |
|---|---|
| 1) Votre organisation dispose-t-elle d'un plan de résilience opérationnelle ? Parmi les propositions suivantes, lesquelles s'appliquent ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Nous disposons d'un plan de résilience opérationnelle documenté ou similaire. b) Le plan est révisé au moins une fois par an ou à la suite de changements importants. c) Le plan a un responsable officiel. d) Le plan est communiqué et mis à la disposition de tous les représentants concernés. |
| 2) Quels sont les aspects suivants qui sont inclus dans le plan de résilience opérationnelle ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Critères d'activation b) Rôles et responsabilités c) Impact sur les services fournis d) Test régulier des mesures de résilience e) Personnel f) Systèmes et actifs g) Installations h) Processus de communication i) Chaîne d'approvisionnement et logistique j) Contrôles de sécurité |
| 3) L'organisation a-t-elle identifié des chaînes d'appel pour les parties internes et externes ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Notre plan de résilience opérationnelle comprend des chaînes d'appel. b) Nos chaînes d'appel identifient les personnes à contacter ainsi que le moment et la fréquence des communications avec les parties externes. c) Nous avons identifié les rôles chargés de communiquer avec notre personnel interne si l'organisation était touchée par une panne. d) Nous avons identifié les rôles chargés de communiquer avec nos clients si l'organisation était touchée par une panne. e) Nous avons identifié les rôles chargés de communiquer avec nos tiers si l'organisation était touchée par une panne. |
| 4) Parmi les éléments suivants, lesquels s'appliquent à la description de l'approche adoptée par votre organisation pour réaliser des analyses d'impact sur les activités ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Des analyses d'impact ont été réalisées sur tous les systèmes, actifs et fonctions. b) Les niveaux d'impact ont été déterminés à l'issue du processus d'analyse d'impact. c) Des objectifs de temps de reprise (RTO) ont été définis, le cas échéant. d) Des objectifs de point de reprise (RPO) ont été définis, le cas échéant. e) Des tests des RTO et des RPO sont effectués régulièrement. |
| 5) Votre organisation dispose-t-elle d'un plan dédié en cas de panne du système ? Si ce n'est pas le cas, votre organisation est-elle en train d'en créer un ?
Veuillez sélectionner une seule réponse. |
a) Oui, nous avons élaboré un plan de reprise après sinistre dans le cadre de notre planification globale de la résilience de l'entreprise. b) Non, nous n'avons pas élaboré de plan de reprise après sinistre, mais nous sommes en train d'en créer un. c) Non, nous n'avons pas élaboré de plan de reprise après sinistre et nous ne sommes pas en train d'en créer un. |
| 6) Le plan de gestion des incidents de votre organisation tient-il compte de la réponse à d'éventuelles pannes non liées à la cybersécurité ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Nous disposons d'un plan de gestion des incidents officiellement documenté. b) Notre plan de gestion des incidents comprend l'identification, la réponse, l'escalade et la reprise des services à la suite d'un incident. c) Notre plan de gestion des incidents comprend des méthodes pour traiter les événements potentiels non liés à la cybersécurité. d) Notre plan de gestion des incidents fournit au personnel des conseils sur la manière d'identifier et de signaler les pannes potentielles. |
| 7) À quel niveau hiérarchique au sein de votre organisation les décisions relatives à la continuité et à la planification des interruptions sont-elles prises ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Les décisions relatives à la planification de la continuité sont prises au niveau du conseil d'administration. b) Les décisions relatives à la planification de la continuité sont prises par une personne responsable de la continuité des activités. c) Les décisions sont prises uniquement au niveau local (par exemple, au niveau d'un site spécifique). d) Les décisions sont prises par des fonctions individuelles. e) La responsabilité des décisions relatives à la planification de la continuité n'a pas été attribuée au sein de l'organisation. |
| 8) En cas de panne, les accords de niveau de service (SLA) conclus avec les clients seront-ils ajustés en fonction de l'impact de la panne ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Nous ajusterons nos accords de niveau de service (SLA) pour tous les services critiques et non critiques qui ont été affectés, sur la base de notre analyse d'impact sur l'activité. b) Nous ajusterons nos accords de niveau de service (SLA) uniquement pour les services critiques qui ont été affectés, sur la base de notre analyse d'impact sur l'activité. c) Nous ajusterons nos accords de niveau de service (SLA) pour tous les services critiques ou non critiques qui ont été affectés, sur la base de notre analyse d'impact sur l'activité. d) Nous avons examiné les SLA avec nos clients et, d'après notre analyse d'impact sur les activités, il n'y aura aucune dégradation du service. |
| 9) Quel est le délai prévu par votre organisation pour fournir des informations précises et actualisées aux clients si les services sont affectés ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Nous communiquons initialement avec nos clients dès l'activation de notre plan en cas de panne. b) Nous communiquons régulièrement pendant toute la durée de l'interruption des services. c) Nous communiquons en permanence avec nos clients lorsque des changements ont une incidence sur notre capacité à fournir des produits et services. |
| 10) Parmi les processus suivants, lesquels votre organisation a-t-elle mis en place pour les communications publiques ?
Veuillez sélectionner toutes les réponses qui s'appliquent. |
a) Une déclaration publique est mise à disposition. b) Des mises à jour régulières sont fournies aux clients et prospects. c) Les exigences en matière de communication publique sont déterminées et mises en œuvre conformément à un processus de triage formel. d) Nous surveillons les communications publiques des tiers et de la chaîne d'approvisionnement. |
Prochaines étapes
Une panne chez un fournisseur essentiel ouune quatrième partie peut avoir un effet domino sur la capacité de votre organisation à fournir des produits et des services, mettant en péril vos revenus, la satisfaction de vos clients et bien plus encore. Commencez à évaluer les processus de vos tiers essentiels en matière de réponse aux crises grâce à nos ressources gratuites sur la résilience des entreprises ou contactez-nous pour une session stratégique.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
