Le 8 juin 2021, Fastly, un service de réseau de diffusion de contenu largement utilisé par les éditeurs Web, a connu une panne qui a eu des conséquences mondiales : de grands sites d'information, Amazon et même les sites Web du gouvernement britannique ont été touchés. Bien qu'elle ne soit pas liée à la cybersécurité, cette panne illustre pourquoi les organisations qui font appel à des tiers pour fournir des services essentiels doivent continuellement évaluer les pratiques de résilience de ces fournisseurs.
Au minimum, un questionnaire tiers sur la résilience des entreprises doit évaluer :
Pour déterminer une base de référence des pratiques de résilience des entreprises, Prevalent recommande aux organisations de demander à tous leurs fournisseurs critiques de répondre aux 10 questions suivantes. Ces questions sont censées être un point de départ ; les réponses doivent dicter les prochaines étapes et les parties vulnérables du plan de résilience des entreprises du fournisseur doivent être traitées immédiatement.
Questions | Réponses potentielles |
---|---|
1) Votre organisation a-t-elle mis en place un plan de résilience des entreprises ? Lesquels des éléments suivants s'appliquent ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Nous disposons d'un plan documenté de résilience de l'entreprise ou d'un plan similaire. |
2) Parmi les aspects suivants, lesquels sont inclus dans le plan de résilience de l'entreprise ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Critères d'activation |
3) L'organisation a-t-elle identifié des arbres d'appel pour les parties internes et externes ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Notre plan de résilience des entreprises comprend des arbres d'appel de communication. |
4) Lesquels des éléments suivants sont applicables pour décrire l'approche de votre organisation en matière d'évaluation de l'impact sur les entreprises ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Des évaluations d'impact ont été réalisées sur tous les systèmes, actifs et fonctions. |
5) Votre organisation dispose-t-elle d'un plan d'interruption de système dédié ? Si non, votre organisation est-elle en train d'en créer un ? Veuillez choisir une seule réponse. |
a) Oui, nous avons élaboré un plan d'interruption de service, dans le cadre de notre planification générale de la résilience de l'entreprise. |
6) Le plan de gestion des incidents de votre organisation prend-il en compte la réponse à des pannes potentielles noncyber ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Nous disposons d'un plan de gestion des incidents formellement documenté. |
7) A quel niveau de votre organisation sont prises les décisions concernant la planification de la continuité et des pannes ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Les décisions concernant le plan de continuité sont gérées au niveau du conseil d'administration. |
8) En cas de panne, les accords de niveau de service (SLA) avec les clients seront-ils ajustés en fonction de l'impact de la panne ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Nous ajusterons nos SLA pour tous les services critiques et non critiques qui ont été affectés, sur la base de notre analyse d'impact sur les affaires. |
9) Quel est le calendrier de votre organisation pour fournir des informations précises et à jour aux clients si les services sont affectés ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Nous fournissons une communication initiale à nos clients lors de l'activation de notre plan d'interruption de service. |
10) Parmi les processus suivants, lesquels votre organisation a-t-elle mis en place pour les communications publiques ? Veuillez sélectionner tous les éléments qui s'appliquent. |
a) Une déclaration publique est mise à disposition. |
La panne d'un fournisseur critique ou d'unequatrième partie peut avoir un effet domino sur la capacité de votre propre organisation à fournir des produits et des services, avec des risques pour le chiffre d'affaires, la satisfaction des clients et plus encore. Commencez à évaluer les processus de vos tiers critiques pour répondre aux crises avec nos ressources gratuites sur la résilience des entreprises ou contactez-nous pour une session de stratégie.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024