Panne Web de Fastly : Pourquoi la résilience des entreprises tierces est importante

Utilisez ces 10 questions comme base de référence pour évaluer les processus de résilience commerciale de vos fournisseurs critiques.
Par :
Scott Lang
,
VP, Marketing produit
09 juin 2021
Partager :
Blog fastly outage 0621

Le 8 juin 2021, Fastly, un service de réseau de diffusion de contenu largement utilisé par les éditeurs Web, a connu une panne qui a eu des conséquences mondiales : de grands sites d'information, Amazon et même les sites Web du gouvernement britannique ont été touchés. Bien qu'elle ne soit pas liée à la cybersécurité, cette panne illustre pourquoi les organisations qui font appel à des tiers pour fournir des services essentiels doivent continuellement évaluer les pratiques de résilience de ces fournisseurs.

Éléments essentiels d'un plan de résilience des entreprises tierces

Au minimum, un questionnaire tiers sur la résilience des entreprises doit évaluer :

  • Continuité des opérations - Garantir que les fonctions essentielles à la mission d'une organisation puissent continuer à être exécutées dans un large éventail de situations d'urgence.
  • Communication de crise - Sensibilisation à un type spécifique de menace, à son ampleur, aux résultats potentiels et aux comportements spécifiques pour réduire la menace.
  • Protection des infrastructures critiques - Protection des services essentiels au fonctionnement de l'entreprise.
  • Les contingences des systèmes d'information - Planification de la restauration des services après une perturbation.
  • Réponse et gestion des incidents - Identifier, éliminer et récupérer les menaces de cybersécurité.
  • Reprise après sinistre - Récupération et protection de l'infrastructure informatique d'une entreprise.

10 questions sur la résilience des entreprises à poser à tous les fournisseurs de services essentiels

Pour déterminer une base de référence des pratiques de résilience des entreprises, Prevalent recommande aux organisations de demander à tous leurs fournisseurs critiques de répondre aux 10 questions suivantes. Ces questions sont censées être un point de départ ; les réponses doivent dicter les prochaines étapes et les parties vulnérables du plan de résilience des entreprises du fournisseur doivent être traitées immédiatement.

Questions Réponses potentielles

1) Votre organisation a-t-elle mis en place un plan de résilience des entreprises ? Lesquels des éléments suivants s'appliquent ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Nous disposons d'un plan documenté de résilience de l'entreprise ou d'un plan similaire.
b) Le plan est révisé au moins une fois par an ou à la suite de changements importants.
c) Le plan a un propriétaire officiel.
d) Le plan est communiqué et disponible pour tous les représentants nécessaires.

2) Parmi les aspects suivants, lesquels sont inclus dans le plan de résilience de l'entreprise ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Critères d'activation
b) Rôles et responsabilités
c) Impact sur les services fournis
d) Tests réguliers des mesures de résilience
e) Personnel
f) Systèmes et actifs
g) Installations
h) Processus de communication
i) Chaîne d'approvisionnement et logistique
j) Contrôles de sécurité

3) L'organisation a-t-elle identifié des arbres d'appel pour les parties internes et externes ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Notre plan de résilience des entreprises comprend des arbres d'appel de communication.
b) Nos arbres d'appel identifient les personnes à contacter ainsi que l'heure et la fréquence des communications pour les parties externes.
c) Nous avons identifié les rôles responsables de la communication avec notre personnel interne si l'organisation est touchée par une panne.
d) Nous avons identifié les rôles responsables de la communication avec nos clients en cas de panne de l'organisation.
e) Nous avons identifié les rôles responsables de la communication avec nos tiers en cas de panne de l'organisation.

4) Lesquels des éléments suivants sont applicables pour décrire l'approche de votre organisation en matière d'évaluation de l'impact sur les entreprises ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Des évaluations d'impact ont été réalisées sur tous les systèmes, actifs et fonctions.
b) Des notes d'impact ont été déterminées à l'issue du processus d'évaluation d'impact.
c) Des objectifs de temps de récupération (RTO) ont été définis, le cas échéant.
d) Des objectifs de points de reprise (RPO) ont été définis, le cas échéant.
e) Les RTO et RPO sont régulièrement testés.

5) Votre organisation dispose-t-elle d'un plan d'interruption de système dédié ? Si non, votre organisation est-elle en train d'en créer un ?

Veuillez choisir une seule réponse.

a) Oui, nous avons élaboré un plan d'interruption de service, dans le cadre de notre planification générale de la résilience de l'entreprise.
b) Non, nous n'avons pas élaboré de plan d'interruption de service, mais nous sommes en train d'en créer un.
c) Non, nous n'avons pas élaboré de plan d'interruption de service et nous ne sommes pas en train d'en créer un.

6) Le plan de gestion des incidents de votre organisation prend-il en compte la réponse à des pannes potentielles noncyber ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Nous disposons d'un plan de gestion des incidents formellement documenté.
b) Notre plan de gestion des incidents comprend l'identification, la réponse, l'escalade et le rétablissement des services après un incident.
c) Notre plan de gestion des incidents comprend des méthodes pour traiter les événements potentiels noncyber .
d) Notre plan de gestion des incidents fournit au personnel des conseils sur la manière d'identifier et de signaler les pannes potentielles.

7) A quel niveau de votre organisation sont prises les décisions concernant la planification de la continuité et des pannes ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Les décisions concernant le plan de continuité sont gérées au niveau du conseil d'administration.
b) Les décisions concernant le plan de continuité sont gérées par une personne responsable de la continuité des opérations.
c) Les décisions sont prises au niveau local uniquement (par exemple, au niveau du site).
d) Les décisions sont prises par des fonctions individuelles.
e) La responsabilité des décisions concernant le plan de continuité n'a pas été attribuée au sein de l'organisation.

8) En cas de panne, les accords de niveau de service (SLA) avec les clients seront-ils ajustés en fonction de l'impact de la panne ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Nous ajusterons nos SLA pour tous les services critiques et non critiques qui ont été affectés, sur la base de notre analyse d'impact sur les affaires.
b) Nous ajusterons nos ANS pour les seuls services critiques qui ont été touchés, en fonction de notre analyse de l'impact sur les affaires.
c) Nous ajusterons nos SLA pour tous les services critiques ou non critiques qui ont été affectés, sur la base de notre analyse d'impact sur les affaires.
d) Nous avons revu les SLA avec les clients et il n'y aura aucune dégradation du service sur la base de notre analyse de l'impact sur les affaires.

9) Quel est le calendrier de votre organisation pour fournir des informations précises et à jour aux clients si les services sont affectés ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Nous fournissons une communication initiale à nos clients lors de l'activation de notre plan d'interruption de service.
b) Nous assurons une communication régulière pendant toute la durée de l'interruption des services.
c) Nous fournissons une communication continue à nos clients lorsque des changements ont un impact sur notre capacité à fournir des produits et des services.

10) Parmi les processus suivants, lesquels votre organisation a-t-elle mis en place pour les communications publiques ?

Veuillez sélectionner tous les éléments qui s'appliquent.

a) Une déclaration publique est mise à disposition.
b) Des mises à jour régulières sont fournies aux clients et aux prospects.
c) Les besoins en communication publique sont déterminés et réalisés conformément à un processus de triage formel.
d) Nous surveillons les communications publiques des tiers et de la chaîne d'approvisionnement.

Prochaines étapes

La panne d'un fournisseur critique ou d'unequatrième partie peut avoir un effet domino sur la capacité de votre propre organisation à fournir des produits et des services, avec des risques pour le chiffre d'affaires, la satisfaction des clients et plus encore. Commencez à évaluer les processus de vos tiers critiques pour répondre aux crises avec nos ressources gratuites sur la résilience des entreprises ou contactez-nous pour une session de stratégie.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo