Les arrêts de transport qui ont exposé les risques pour les tiers

Problèmes informatiques et risques liés aux tiers

Toute organisation dépend des autres, mais lorsqu’il s’agit des technologies de l’information, cette dépendance peut faire ou défaire vos opérations. Les fermetures d’American Airlines et de Bane NOR nous rappellent ce qui se passe lorsque vous confiez les rênes de systèmes clés à des fournisseurs tiers.

Pensez à American Airlines. La veille de Noël 2024, un problème lié au matériel de réseau de DXC a provoqué une panne d’une heure, retardant 900 vols et laissant 900 000 passagers bloqués dans 200 aéroports. Il s’agit d’une réaction en chaîne qui a affecté des millions de personnes. De même, Bane NOR, le système ferroviaire norvégien, a dû faire face à une fermeture de 13 heures le jour de Noël en raison d’un simple pare-feu mal configuré. Celui-ci a bloqué la communication entre les trains et le contrôle du trafic, interrompant de fait les opérations dans tout le pays.

Ce sont là des signes de la fragilité des systèmes que nous avons construits, en particulier lorsque la confiance dans des fournisseurs tiers remplace une surveillance complète. Les systèmes informatiques d’aujourd’hui sont interconnectés et présentent des dépendances complexes. Si un élément tombe en panne, c’est tout le système qui peut s’arrêter.

« Chaque décision que vous prenez concernant les fournisseurs informatiques tiers est une décision concernant la résilience de vos opérations ».

Des approches contrastées de la gestion de crise

Lorsque les choses tournent mal, la façon dont vous réagissez définit votre organisation. Ici, nous voyons deux approches très différentes. Bane NOR a opté pour la collaboration et la transparence. Elle a rapidement diagnostiqué le problème de pare-feu, réacheminé le trafic via un autre système et isolé le réseau défectueux. Il est important de noter qu’elle a travaillé en étroite collaboration avec son fournisseur et qu’elle a même loué publiquement ses efforts. C’est ainsi que l’on crée la confiance et que l’on résout les problèmes.

American Airlines ? Pas vraiment. Elle a choisi de pointer du doigt, en blâmant publiquement DXC avant de mener une enquête approfondie. Bien que les émotions aient été vives, et c’est compréhensible, cette approche soulève des questions. La surveillance de DXC était-elle adéquate ? Les équipes internes géraient-elles efficacement les relations avec les fournisseurs ? Le blâme public est rarement une stratégie gagnante. Elle ne résout pas le problème et risque d’aliéner les partenaires sur lesquels vous comptez pour faire fonctionner votre entreprise.

Le contraste est clair. La gestion collaborative des crises renforce la résilience. Le blâme réactif détourne l’attention de la résolution du vrai problème vers la gestion des atteintes à la réputation.

La surveillance des fournisseurs est la responsabilité de tous

Les fournisseurs tiers sont essentiels, mais sans une maintenance régulière et une utilisation prudente, même les meilleurs peuvent échouer. Les problèmes rencontrés par American Airlines et Bane NOR mettent en lumière une vérité universelle : la surveillance des fournisseurs n’est pas négociable.

Prenez DXC, par exemple. L’entreprise travaille avec American Airlines depuis plus de 20 ans, gérant des systèmes existants et les modernisant pour le cloud. Pourtant, un problème de matériel de réseau a perturbé les opérations. DXC était-elle suffisamment préparée, ou y avait-il des lacunes en matière de communication, de formation ou de personnel ? D’un autre côté, American Airlines fournissait-elle les ressources et la supervision dont DXC avait besoin pour réussir ?

Il s’agit de reconnaître que les relations avec les fournisseurs sont des partenariats. Si le fournisseur échoue, c’est souvent à cause de la supervision de l’entreprise. Il est essentiel de faire preuve de diligence, d’évaluer régulièrement les performances et de communiquer clairement. En tant que dirigeants, il nous incombe de veiller à ce que tous les rouages de la machine soient bien huilés et prêts à fonctionner.

Le personnel de vacances et l’importance de la résilience

Parlons maintenant du moment choisi pour l’incident. Les deux incidents se sont produits pendant des vacances importantes, la veille et le jour de Noël, au cours desquelles les opérations se déroulent avec des équipes réduites. S’il est peu probable que les pannes aient été causées par une réduction du personnel, le fait d’avoir moins de personnes disponibles pour diagnostiquer et résoudre les problèmes n’a certainement pas aidé. C’est là que la planification fait toute la différence.

Les vacances ne sont pas une surprise. Elles ont lieu chaque année. Pourtant, de nombreuses organisations continuent d’appliquer des stratégies réactives plutôt que proactives. L’automatisation, la formation polyvalente et l’expertise sur appel sont des moyens simples de s’assurer qu’en cas de problème, ce qui ne manque pas d’arriver, les bonnes personnes sont prêtes à intervenir.

La résilience consiste à gérer les problèmes avec rapidité et précision. De telles perturbations pendant les fêtes sont inévitables si vous ne mettez pas en place des systèmes et des équipes capables de résister à la pression. Si vous pouvez faire face au chaos du jour de Noël, vous pouvez faire face à n’importe quoi.

Principaux enseignements

1. Une surveillance proactive est essentielle : La dépendance à l’égard de fournisseurs informatiques tiers, comme l’ont montré les incidents d’American Airlines et de Bane NOR, souligne la nécessité d’une surveillance rigoureuse des fournisseurs. Les dirigeants doivent donner la priorité à la diligence raisonnable, aux audits réguliers et à la définition claire des responsabilités afin d’atténuer les perturbations.

2. La résolution collaborative des problèmes donne de meilleurs résultats : L’approche coopérative de Bane NOR avec son fournisseur souligne l’importance de maintenir la confiance pendant les crises. Les organisations devraient élaborer des protocoles mettant l’accent sur la collaboration et la communication rapide plutôt que sur le rejet des responsabilités.

3. La planification de la résilience réduit le risque opérationnel : les perturbations liées aux vacances ont montré l’impact des équipes réduites et des réponses non préparées. Les dirigeants devraient investir dans l’automatisation, la formation polyvalente et les plans d’urgence pour les vacances afin de garantir la continuité opérationnelle.

4. Les systèmes doivent être redondants : Les deux cas révèlent comment des points de défaillance uniques, tels qu’un pare-feu mal configuré ou un problème de matériel de réseau, peuvent paralyser les opérations. Les entreprises devraient se concentrer sur les tests complets, la redondance et les mécanismes de sécurité pour l’infrastructure informatique clé.