Dans une déclaration soulignant les leçons à tirer de la mise à jour logicielle bâclée de l'entreprise américaine de cybersécurité CrowdStrike qui a provoqué un chaos mondial en juillet, la Financial Conduct Authority (FCA) a déclaré que les problèmes de tiers non réglementés étaient la principale cause des incidents opérationnels signalés entre 2022 et 2023.
La plate-forme Falcon, technologie de base très prisée de CrowdStrike, détecte les menaces malveillantes et y répond. Mais une panne survenue le 19 juillet a entraîné des annulations de vols dans le monde entier et a touché des secteurs tels que les banques, les soins de santé, les médias et les chaînes hôtelières.
La FCA, qui s'est entretenue avec les entreprises au sujet de l'incident pour en comprendre l'impact, a déclaré que le préjudice subi par les consommateurs avait été minime. Elle a toutefois précisé que les entreprises avaient jusqu'au mois de mars 2025 pour s'assurer qu'elles pouvaient résister à de tels événements.
Elle a invité les entreprises à envisager une série de mesures, notamment en s'assurant que les scénarios de test sont adéquats, en améliorant les contrôles des risques des tiers et en veillant à ce que les contrats définissent clairement les responsabilités en matière de surveillance des services, de notification des incidents et de mises à jour pendant et après les incidents.
"Nous encourageons toutes les entreprises, quelle que soit la manière dont elles ont été affectées par l'incident CrowdStrike, à tenir compte de ces leçons afin d'améliorer leur capacité à répondre et à se remettre de perturbations futures", a déclaré la FCA.