L'annonce, le week-end dernier, de la violation de la chaîne d'approvisionnement de SolarWinds a sans aucun doute soulevé des questions quant à l'impact que cela pourrait avoir sur votre entreprise. Afin d'aider la communauté à comprendre son exposition, Prevalent a dressé une liste de 7 questions essentielles à poser aux tiers afin d'évaluer leur réaction à cet incident. Vous trouverez ci-dessous les questions et quelques réponses possibles pour mesurer les niveaux de risque et comprendre les perturbations potentielles causées par des tiers.
Questionnaire SolarWinds sur l'impact des violations de données par des tiers
| 1. L'organisation a-t-elle été touchée par la récente cyberattaque du malware « Sunburst » de SolarWinds ? | a. Oui
b. Non |
| 2. Quelle est la nature de l'impact de cette cyberattaque sur l'organisation ? | a. Impact significatif sur notre réseau, nos opérations informatiques ou nos produits de sécurité : la cyberattaque a entraîné l'arrêt ou l'indisponibilité des systèmes ou des infrastructures. Il y a eu perte de confidentialité ou d'intégrité des données.
b. Impact important sur notre réseau, nos opérations informatiques ou nos produits de sécurité : la disponibilité du service a été périodiquement interrompue et certains systèmes risquent de s'arrêter périodiquement. Perte partielle de confidentialité ou d'intégrité des données. c. Faible impact sur notre réseau, nos opérations informatiques ou nos produits de sécurité : aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou inexistante de la disponibilité des services. d. La cyberattaque n'a eu que peu ou pas d'impact sur notre réseau, nos opérations informatiques ou nos produits de sécurité. |
| 3. Cela affecte-t-il les services essentiels fournis aux clients ? | a. Oui
b. Non |
| 4. L'organisation dispose-t-elle d'un plan d'enquête et d'intervention en cas d'incident ? | a. L'organisation dispose d'une politique documentée en matière de gestion des incidents.
b. La politique de gestion des incidents comprend des règles relatives au signalement des incidents et des faiblesses en matière de sécurité de l'information. c. Un plan d'intervention en cas d'incident est élaboré dans le cadre de l'enquête et de la reprise après incident. d. La planification de la réponse aux incidents comprend des procédures d'escalade vers les parties internes et des procédures de communication vers les clients. |
| 5. Qui est la personne à contacter pour obtenir des réponses à des questions supplémentaires ? | Ligne 3, colonne 2 |
| 6. L'organisation a-t-elle modifié les contrôles existants ou mis en place de nouveaux contrôles afin de résoudre et d'atténuer l'impact de la cyberattaque sur ses activités ? | a. Des contrôles ont été identifiés et mis en œuvre afin d'atténuer l'impact de la cyberattaque.
b. Des mesures de contrôle ont été identifiées et sont actuellement mises en œuvre afin d'atténuer l'impact de la cyberattaque. c. L'organisation a identifié les contrôles qui doivent être mis à jour ou mis en œuvre, mais cela n'a pas encore été fait. d. Les contrôles n'ont pas été mis en œuvre ou ne peuvent pas l'être. |
| 7. Si les contrôles ne peuvent être mis en œuvre, l'organisation est-elle en mesure de mettre en place des contrôles ou des méthodes compensatoires pour éviter de futures cyberattaques ? | a. Des contrôles compensatoires ou des méthodes de contournement ont été mis en place, ce qui a permis d'atténuer l'impact causé par la cyberattaque.
b. L'organisation n'a pas identifié ou n'est pas en mesure de mettre en œuvre des contrôles compensatoires pour atténuer l'impact causé par la cyberattaque. |
Chers clients Prevalent, nous mettons à jour votre plateforme afin d'y inclure le questionnaire ci-dessus. De plus, Prevalent n'utilise pas SolarWinds et n'est donc pas exposé au risque de cyberattaque Orion.
Nous espérons que ces questions vous faciliteront un peu la tâche face à cette perturbation potentielle. Une fois que la situation se sera calmée, n'oubliez pas que Prevalent propose une plateforme tierce de gestion des risques qui comprend plus de 60 modèles de questionnaires destinés à vous aider à automatiser les tâches fastidieuses d'évaluation des fournisseurs. En attendant, toute l'équipe de Prevalent vous souhaite, ainsi qu'à votre équipe et à vos familles, une bonne santé pour la nouvelle année.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
