Cyber Meilleures pratiques en matière de gestion des risques de la chaîne d'approvisionnement (C-SCRM)

Cyber Meilleures pratiques en matière de gestion des risques de la chaîne d'approvisionnement (C-SCRM)

Il est déjà assez fastidieux de trouver des solutions qui répondent aux exigences fonctionnelles et commerciales de votre organisation. L'évaluation de la posture de cybersécurité d'un fournisseur potentiel introduit une complexité et une incertitude supplémentaires dans le processus de sourcing et de sélection.

C'est pourquoi il est essentiel de commencer votre relation avec un fournisseur potentiel en effectuant une vérification préalable au contrat, conformément à vos demandes de renseignements, demandes de propositions et autres processus d'appel d'offres. Les informations relatives à la cybersécurité à rechercher à ce stade précoce de la relation avec le fournisseur doivent inclure les éléments suivants

• Historique des violations de données et divulgations, pour aider à déterminer si le fournisseur est vulnérable aux attaques de cyber .
• les technologies utilisées par des tiers, afin d'obtenir une visibilité sur le risque de concentration technologique et de découvrir des technologies périphériques qui pourraient fournir des voies de retour à votre organisation.

L'intégration de ces informations dans votre processus d'appel d'offres vous permettra de vous assurer non seulement que la solution sélectionnée est adaptée à l'objectif visé, mais aussi que le fournisseur de cette solution n'expose pas votre organisation à des risques inutiles.

Intégrer des exigences de sécurité dans les contrats des fournisseurs

De nombreuses organisations négligent de considérer qu'elles peuvent être en mesure d'imposer des contrôles de cybersécurité dans les contrats. Les accords de niveau de service et autres accords contractuels peuvent obliger les tiers et les quatrièmes parties à mettre en œuvre ou à maintenir des contrôles de cybersécurité pour protéger les données sensibles de votre organisation.

Comprendre les risques profilés, inhérents et résiduels des fournisseurs.

Comprendre les différents types de risques liés aux fournisseurs peut vous permettre de prendre des décisions fondées sur des données quant à la manière d'appliquer les questionnaires sur les risques liés aux fournisseurs, ainsi que de comparer précisément les fournisseurs en fonction du risque mesurable. Sur Prevalent, nous classons le risque fournisseur en trois catégories :

• Risque profilé : le risque profilé s'applique à la catégorie de produits ou de services qu'un fournisseur offre à votre organisation. Par exemple, un fournisseur de services gérés (MSP) ayant accès à votre environnement informatique présente beaucoup plus de risques profilés qu'un entrepreneur de nettoyage.
• Risque inhérent : Le risque inhérent est le niveau de risque que présente un fournisseur avant la mise en œuvre des contrôles de sécurité requis par votre organisation. Le risque inhérent est calculé pour des entreprises spécifiques sur la base d'évaluations des risques et de données de surveillance des risques.
• Risque résiduel : Le risque résiduel est le risque qui subsiste après qu'un fournisseur ait pris des mesures correctives ou d'atténuation. Votre équipe de gestion des risques devra déterminer si les risques résiduels sont acceptables ou non.

Utiliser les questionnaires et référentiels de risques des fournisseurs

Les questionnaires sur les risques liés aux fournisseurs peuvent fournir une visibilité sur les contrôles de sécurité du site cyber d'un fournisseur et contribuer à éviter les violations de conformité. Vous pouvez accélérer considérablement le processus de diligence raisonnable des fournisseurs en adaptant vos questionnaires en fonction du risque inhérent et en faisant correspondre les réponses aux réglementations de cybersécurité applicables à votre organisation.

Vous devriez également envisager de segmenter les questionnaires en fonction du secteur, du niveau de service et/ou du niveau d'accès au système. Par exemple, un fournisseur de logiciels peut avoir besoin d'un questionnaire très différent de celui d'un entrepreneur en chauffage, ventilation et climatisation. L'utilisation efficace des questionnaires sur le risque fournisseur peut simplifier la conformité, rationaliser l'intégration des fournisseurs et fournir une visibilité sur la chaîne d'approvisionnement étendue.

L'utilisation d'une plateforme de gestion des risques tierce peut contribuer à automatiser le processus et à réduire le temps nécessaire à l'évaluation des fournisseurs. En outre, l'abonnement à un réseau de renseignements sur les risques liés aux fournisseurs est un moyen rentable d'accéder à des milliers d'évaluations déjà réalisées et de donner plus d'ampleur à la recherche, à la sélection, à l'intégration et à l'évaluation des risques inhérents.

Conseil supplémentaire : Lors de la conception de vos questionnaires d'évaluation des risques liés aux fournisseurs, incluez des questions sur les quatrième et nième parties afin d'obtenir une visibilité des risques plus profondément dans la chaîne d'approvisionnement. Même si votre tierce partie dispose de solides contrôles de cybersécurité, l'un de ses fournisseurs peut toujours déclencher une violation de données qui aura finalement un impact sur votre organisation.

Pratiquez la surveillance continue tout au long de votre chaîne d'approvisionnement Cyber

La pratique d'une surveillance continue des tiers peut vous aider à identifier les nouvelles vulnérabilités, les violations de données et autres risques de sécurité affectant les fournisseurs. La surveillance vous permet de rester à l'affût des risques qui peuvent apparaître entre les évaluations périodiques basées sur des questionnaires. Une solution solide de surveillance des risques cyber peut fournir des renseignements provenant de forums criminels, de pages oignons, de forums d'accès spéciaux du dark web, de flux de menaces, de sites de pâte, de communautés de sécurité, de dépôts de codes, de bases de données de vulnérabilités et d'autres sources.

En plus de fournir une alerte précoce sur les incidents potentiels qui pourraient avoir un impact sur votre organisation, la surveillance continue peut valider si les contrôles signalés dans les réponses d'évaluation d'un fournisseur sont en place et fonctionnent comme prévu.

Ne pas oublier les quatrième et neuvième parties

Contrairement aux biens matériels, il peut être difficile de savoir comment les informations de votre entreprise sont stockées et partagées tout au long de votre chaîne d'approvisionnement étendue. Chaque organisation de votre chaîne d'approvisionnement cyber travaille probablement avec des dizaines, voire des centaines de sociétés de logiciels, de sous-traitants informatiques et d'autres tiers, dont plusieurs pourraient avoir accès aux informations de votre entreprise. La dernière chose qu'un RSSI ou un DSI souhaite entendre est que l'organisation a été exposée à une violation de données en raison de la négligence d'un fournisseur tiers.

Vous trouverez ci-dessous quelques bonnes pratiques que vous pouvez utiliser pour évaluer et atténuer le risque de quatrième partie.

Identifier les fournisseurs essentiels à la mission de votre chaîne d'approvisionnement Cyber

La mise en place d'un programme C-SCRM efficace nécessite de hiérarchiser les risques liés aux fournisseurs sur lesquels il faut se concentrer. L'organisation moyenne travaille avec d'innombrables tiers, quatrièmes et nièmes parties. Il est impossible de trouver tous les risques dans la chaîne d'approvisionnement étendue de chaque fournisseur. Lorsque vous cherchez à obtenir une visibilité sur votre chaîne d'approvisionnement de quatrième et de nième partie cyber , commencez par vous concentrer sur les fournisseurs les plus importants en fonction de leur score de risque inhérent. Lorsque vous établissez des priorités, tenez compte des éléments suivants

• Quel est le niveau d'accès du fournisseur aux données réglementées telles que PII, PFI, PHI et, le cas échéant, aux informations classifiées ou non classifiées contrôlées ?
• Le vendeur est-il un fournisseur de logiciels ? Si oui, où héberge-t-il les données de l'organisation et quels sont les contrôles de sécurité du centre de données ?
• Le fournisseur a-t-il mis en place son propre programme de gestion du risque de la chaîne d'approvisionnement cyber ? Si oui, est-il en mesure de produire un rapport sur le risque de sa chaîne d'approvisionnement cyber ?
• L'organisation fonde-t-elle ses programmes de sécurité de l'information et de gestion des risques liés aux tiers sur des cadres largement acceptés?

Cartographie de votre chaîne d'approvisionnement étendue Cyber

L'élaboration d'une carte complète de votre chaîne d'approvisionnement, avec ses dépendances et sa hiérarchisation des risques, peut vous permettre d'obtenir la visibilité dont vous avez besoin pour prendre des décisions efficaces en matière d'atténuation des risques. Tout d'abord, vous devez vous assurer que vous recueillez les données nécessaires. Les questions concernant les quatrième et neuvième parties de votre chaîne d'approvisionnement étendue doivent figurer dans tous les questionnaires d'évaluation des risques liés aux fournisseurs.

Une fois que vous avez une bonne compréhension de votre écosystème de tiers et de quatrième partie, vous pouvez identifier les fournisseurs qui peuvent présenter des points de défaillance uniques ou des niveaux inacceptables de risque pour la sécurité des informations. Voici quelques suggestions de remédiation si une quatrième ou une Nième partie est jugée à haut risque :

• Demande de mise à jour de votre contrat avec le tiers concerné afin de limiter le partage des données ou l'accès à l'infrastructure informatique avec le tiers à haut risque.
• Demander des informations supplémentaires sur les contrôles de sécurité et l'infrastructure de la quatrième partie.
• Envisager d'autres fournisseurs tiers lorsque les contrats doivent être renouvelés.
• Travailler avec le service interne associé au tiers pour mettre en place des mesures de protection et limiter le partage des données sensibles.
• Effectuez une surveillance continue de la quatrième partie pour réduire le risque d'une compromission qui pourrait finalement affecter votre organisation.

Réévaluer périodiquement le risque lié aux fournisseurs

Les risques émergent et évoluent constamment. Il ne suffit donc pas de limiter les fournisseurs essentiels à une seule évaluation des risques à un moment donné. Veillez à réévaluer le risque à plusieurs reprises tout au long du cycle de vie du contrat pour vous assurer que le risque résiduel n'a pas augmenté au-delà des niveaux acceptables. Voici quelques questions à considérer :

• Votre programme C-SCRM réalise-t-il des évaluations des risques tout au long du cycle de vie du contrat ou seulement une fois au début ?
• L'étendue et la fréquence des évaluations des risques sont-elles déterminées en fonction des résultats du processus d'intégration des fournisseurs ?
• Êtes-vous en mesure d'intégrer efficacement les changements dans le profil de risque résiduel des fournisseurs dans votre flux de travail plus large de gestion des risques liés aux tiers ?
• Évaluez-vous les risques liés aux quatrième et neuvième parties dans le cadre de vos évaluations standard des risques ?

Mettre en œuvre un plan de réponse aux incidents des fournisseurs

Premeditatio malorum - en latin, "la préméditation des maux et des ennuis qui peuvent survenir". Ou, pour le dire plus simplement - prévoyez le pire ! Les événements indésirables du fournisseur cyber se produiront. Toutefois, le niveau de préparation de votre organisation à ces événements peut faire la différence entre une perturbation grave et une perturbation légère.

La gestion efficace des incidents (GI) et le C-SCRM vont de pair. Par exemple, l'identification de vos troisième, quatrième et nième parties permet une gestion efficace des incidents - sachant que la moitié des incidents proviennent des fournisseurs. Les contrats des fournisseurs et des sous-traitants doivent inclure des exigences de notification de la GI/rupture dans un délai fixe (par exemple, 24 heures) après l'identification d'un incident majeur. La validation des processus et des contacts de GI de vos fournisseurs, ainsi que des tests périodiques, peuvent contribuer à garantir la disponibilité opérationnelle pour répondre aux incidents et les résoudre.

Faire preuve de diligence lors de l'intégration.

De nombreuses entreprises consacrent beaucoup de temps à la vérification préalable des fournisseurs, aux questionnaires sur les risques et à l'établissement des exigences de conformité, mais ne prévoient pas la fin de la relation, moment où de nombreux risques de sécurité se produisent. C'est pourquoi l'intégration des fournisseurs est tout aussi importante que leur intégration. Si l'on ne réussit pas à se débarrasser des fournisseurs, à s'assurer que les données sensibles ont été détruites et que l'accès aux technologies de l'information a été révoqué, il peut en résulter.. :

• Problèmes de conformité si un contrat a expiré et que le fournisseur a toujours accès aux systèmes informatiques.
• Violations potentielles des données si un fournisseur a stocké les PII ou PHI de vos employés ou clients
• Les menaces d'initiés lorsque les employés du contractant conservent l'accès aux données et aux systèmes.

Ressources C-SCRM

Il existe plusieurs ressources sur la gestion des risques de la chaîne d'approvisionnement sur le site cyber que vous pouvez consulter lorsque vous élaborez ou évaluez votre programme. Les ressources les plus importantes sont celles publiées par le National Institute of Standards and Technology (NIST) et d'autres agences gouvernementales, organismes de réglementation et groupes industriels privés. Voici quelques ressources utiles :

NIST Special Publication 800-161 r1 : Pratiques de gestion des risques de la chaîne d'approvisionnement en cybersécurité pour les systèmes et les organisations

NIST SP 800-161 est un cadre de gestion des risques de la chaîne d'approvisionnement cyber qui peut aider votre organisation à construire et à faire mûrir son programme C-SCRM. Le NIST 800-161 fournit des conseils détaillés sur la manière d'intégrer un programme C-SCRM dans votre stratégie plus large de gestion des risques d'entreprise et couvre les facteurs de réussite essentiels pour la mise en place d'un programme C-SCRM efficace. Les contrôles du NIST 800-161 sont répartis en 20 familles allant du contrôle d'accès aux incidents et aux réponses.

Cadre d'exposition aux risques du NIST C-SCRM

L'annexe A du NIST SP 800-161 Rev 1 comprend un cadre d'exposition aux risques avec des conseils détaillés pour l'identification de scénarios de menace potentiels pour la chaîne d'approvisionnement. Le NIST définit un scénario de menace comme "un ensemble d'événements de menace discrets associés à une source de menace potentielle ou existante identifiée spécifique ou à des sources de menace multiples, partiellement ordonnés dans le temps". Le cadre d'exposition aux risques du NIST vous permet d'identifier et d'attribuer des risques à divers scénarios de menaces pour la chaîne d'approvisionnement, et d'intégrer ces résultats dans votre approche plus large d'évaluation des risques par des tiers.

Modèles de C-SCRM du NIST

L'annexe D du NIST 800-161 r1 fournit plusieurs modèles pour documenter votre programme C-SCRM, notamment les plans de mise en œuvre, les initiatives de conformité, les objectifs stratégiques, les rôles et les responsabilités, et les étapes de mise en œuvre. Ces modèles sont très utiles pour définir un nouveau programme C-SCRM ou pour améliorer votre programme existant à l'aide de documents justificatifs.

Guide de la chaîne d'approvisionnement en matière de sécurité logicielle du NIST

Le NIST a publié son guide de la chaîne d'approvisionnement en matière de sécurité logicielle en réponse aux exigences de l'Executive Order (EO) 14028 Section 4E sur l'amélioration de la cybersécurité de la nation. Le document s'adresse aux agences fédérales, mais bon nombre des mêmes pratiques peuvent être utilisées par les entreprises qui cherchent à atténuer les risques liés à cyber dans leurs chaînes d'approvisionnement étendues.

Mesures de sécurité pour les "logiciels critiques pour l'OT".

Security Measures for EO Critical Software est un autre document du NIST créé en réponse à l'Executive Order 14028. Le NIST définit les logiciels critiques EO comme suit :

... tout logiciel qui possède, ou a des dépendances logicielles directes avec, un ou plusieurs composants ayant au moins un de ces attributs :

• est conçu pour être exécuté avec des privilèges élevés ou des privilèges de gestion ;
• a un accès direct ou privilégié aux réseaux ou aux ressources informatiques ;
• est conçu pour contrôler l'accès aux données ou aux technologies opérationnelles ;
• remplit une fonction critique pour la confiance ; ou,
• fonctionne en dehors des limites normales de confiance avec un accès privilégié. (Source :)

Le document sur les mesures de sécurité est principalement destiné aux agences fédérales, mais il peut facilement être réutilisé par les entités du secteur privé. Le document identifie les catégories de logiciels qui doivent être considérées comme "critiques pour l'OT", ce qui peut vous aider à signaler les fournisseurs potentiellement à haut risque lors de l'étape de profilage et de hiérarchisation.

Directives du NIST sur les normes minimales pour la vérification des logiciels par les développeurs

Ce document du NIST énonce des directives spécifiques à l'intention des agences fédérales pour vérifier la sécurité des logiciels utilisés. Il comprend les techniques de vérification suivantes, qui doivent servir de base à l'identification des risques :

• Modélisation des menaces pour identifier les problèmes de sécurité au niveau de la conception.
• Tests automatisés pour la cohérence et pour minimiser l'effort humain
• Analyse du code statique pour révéler les bogues
• Outils heuristiques pour rechercher d'éventuels secrets codés en dur
• Utilisation de contrôles et de protections intégrés
• "Cas de test "boîte noire
• Cas de tests structurels basés sur le code
• Cas de test historiques
• Fuzzing
• Scanners d'applications Web, le cas échéant
• Adresser le code inclus (bibliothèques, paquets, services)

Directives HHS C-SCRM

Le ministère américain de la santé et des services sociaux a publié une présentation sur la maturation d'un programme C-SCRM. La présentation donne un aperçu de haut niveau des meilleures pratiques C-SCRM basées sur le NIST et couvre les contrôles spécifiques et les familles de contrôles qui devraient être mis en œuvre dans le cadre d'un programme C-SCRM holistique.

Vous êtes préoccupé par Cyber la gestion des risques de la chaîne d'approvisionnement ? Prevalent Nous pouvons vous aider.

Le risque lié aux tiers cyber connaît une croissance exponentielle. Prevalent fournit une plateforme facile à utiliser qui vous permet d'automatiser les questionnaires d'évaluation du risque fournisseur, d'attribuer des scores de risque aux fournisseurs, de surveiller le risque et les changements au fil du temps, ainsi que de gérer le risque fournisseur et d'en rendre compte. L'utilisation d'une plateforme TPRM dédiée peut automatiser le cycle de vie de la gestion du risque fournisseur et permettre à votre équipe de se concentrer sur la réduction du risque organisationnel. Pour voir comment Prevalent peut vous aider à gérer le risque lié à la chaîne d'approvisionnement, demandez une démonstration dès aujourd'hui.