Une simple mise à jour logicielle mal maîtrisée a entraîné l’une des plus importantes pannes informatique de l’histoire.
Si le problème est apparu chez l’éditeur de cybersécurité CrowdStrike, il a eu des répercussions massives dans le monde entier, perturbant les systèmes informatiques de secteurs critiques tels que les compagnies aériennes, les banques et les services d’urgence. Cette crise a soulevé une question essentielle pour de nombreuses organisations : comment une simple mise à jour logicielle a-t-elle pu provoquer un tel chaos, et quelles mesures auraient pu en atténuer les effets ?
Voyons pourquoi cet incident met en lumière l’importance d’une gestion des risques tiers plus robuste et d’une résilience numérique renforcée et comment les réglementations émergentes telles que DORA et NIS2 sont devenues une urgence dans ce contexte.
Un contexte de risque qui s’élargit
Les organisations comptent de plus en plus sur des tiers pour stimuler l’innovation et la compétitivité. Cependant, le manque de visibilité sur les troisièmes ou même quatrièmes parties ajoute de la complexité à la gestion des risques et à la résilience opérationnelle, ce qui rend encore plus difficile de prouver sa conformité.
Une seule violation de données ou défaillance peut avoir des conséquences sur l’ensemble de la chaîne d’approvisionnement, affectant les organisations proches ou indirectement liées à un fournisseur. Cela souligne le besoin critique d’identifier et de gérer non seulement les tiers, mais également de faire un suivi des risques focalisé sur les quatrièmes et énièmes parties.
La panne CrowdStrike souligne l’importance de réglementations comme DORA pour renforcer les pratiques de résilience opérationnelle
DORA est une réglementation obligatoire de l’UE conçue pour améliorer la résilience du secteur financier contre les perturbations des TIC (technologies de l’information et de la communication). Elle vient s’ajouter à d’autres réglementations, telles que NIS2, FCA et LkSG, et vise à renforcer la résilience opérationnelle.
Cependant, elle comprend une distinction essentielle : elle inclut le risque tiers sur les TIC dans le cadre de référence global de la gestion des risques : les entités financières et leurs partenaires commerciaux sont maintenant responsables des risques en aval chez les troisièmes, quatrièmes et énièmes parties.
Par exemple, DORA exige des entités financières qu’elles surveillent et supervisent en permanence les prestataires de services tiers pour garantir le respect des engagements contractuels et pour gérer les risques liés à ces engagements. En cas d’incident, elles doivent mettre en place des processus pour gérer et signaler leur fournisseur de service tiers.
Développer sa résilience opérationnelle avec OneTrust
Depuis l’incident CrowdStrike, la résilience opérationnelle numérique est devenue une plus grande priorité. Il a souligné la dépendance croissante envers les fournisseurs tiers dans le monde actuel et la nécessité pour les organisations de renforcer leur résilience en cas de défaillance des systèmes de la chaîne d’approvisionnement numérique.
Les réglementations de l’UE à venir telles que DORA et NIS2 vont commencer à imposer des exigences, avec une obligation de conformité à DORA pour les entités financières d’ici janvier 2025.
OneTrust propose des fonctionnalités robustes qui aident les organisations à centraliser le cycle de vie de la gestion des risques de bout en bout pour identifier, atténuer, surveiller et analyser les risques liés aux tiers et à la chaîne d'approvisionnement tout en pilotant des workflows de passation de marchés éclairés par les risques. Une surveillance continue par le biais de fournisseurs de renseignements sur les risques peut alerter sur les faiblesses dans la gestion des TIC, les violations de données et plus encore chez les tiers et les quatrièmes parties.
La panne CrowdStrike a mis en évidence la nécessité de stratégies de gestion des risques opérationnels tiers plus robustes. Regardez ce webinaire pour explorer les leçons tirées et obtenir des informations exploitables sur la consolidation des défenses de votre organisation et la promotion de la résilience opérationnelle continue.
