Même si votre entreprise investit des ressources importantes dans son programme de sécurité informatique, il peut s'avérer extrêmement difficile de sécuriser votre chaîne d'approvisionnement cyber contre les violations de données de tiers, les attaques par ransomware et d'autres risques de sécurité. Cette tâche est d'autant plus difficile que votre chaîne d'approvisionnement devient plus complexe ou qu'elle repose largement sur des partenariats à l'étranger.
Comment pouvez-vous obtenir une visibilité sur les risques posés par les tierces, quatrièmes et nièmes parties de votre chaîne d'approvisionnement étendue, tout en vous assurant que vos fournisseurs disposent des contrôles de sécurité nécessaires pour protéger votre entreprise ? Cet article vous aidera à démarrer en partageant quelques bonnes pratiques pour mettre en place un programme de gestion des risques de la chaîne d'approvisionnement (C-SCRM) plus efficace et efficient cyber .
Cyber La gestion des risques de la chaîne d'approvisionnement (C-SCRM) est le processus d'identification, d'analyse et d'atténuation des vulnérabilités, des expositions de données et d'autres lacunes de sécurité qui menacent la capacité d'une organisation à fournir des produits et services de technologie de l'information (TI) ou de technologie opérationnelle (TO).
La gestion du risque cyber dans votre chaîne d'approvisionnement exige non seulement de sécuriser votre organisation contre les attaques directes, mais aussi d'atténuer le risque de violations de données par des tiers et des Nième parties qui pourraient perturber votre activité.
Le risque lié à la chaîne d'approvisionnement est désormais une préoccupation du conseil d'administration de nombreuses organisations. Ce n'est pas une surprise, si l'on considère les statistiques suivantes tirées d'une étude récente dePrevalent :
Un programme C-SCRM efficace peut aider votre organisation à prendre des décisions éclairées et à sélectionner des fournisseurs qui prennent la cybersécurité et la conformité au sérieux.
Les rançongiciels sont des logiciels malveillants qui empêchent l'accès aux systèmes informatiques compromis, chiffrent les fichiers sur les systèmes ou menacent de divulguer des données sensibles volées à moins que de l'argent ne soit versé à l'attaquant. Si les rançongiciels existent depuis des décennies, les progrès technologiques ont permis aux acteurs criminels d'atteindre de nouveaux niveaux d'échelle et de sophistication. Au lieu de cibler principalement les PME pour leur extorquer de petites sommes, comme ils le faisaient dans le passé, les attaquants ciblent désormais les grandes entreprises qui sont les chevilles ouvrières des chaînes d'approvisionnement mondiales.
Il n'est pas surprenant que les ransomwares aient été un sujet d'actualité majeur. Un exemple lié au C-SCRM est la brèche de Kaseya de l'année dernière, qui a entraîné des attaques de ransomware contre des milliers d'entreprises par le biais de l'outil de surveillance et de gestion à distance (RMM) de la société.
L'utilisation de logiciels présentant des vulnérabilités connues ou une mauvaise visibilité sur les pratiques de sécurité d'un fournisseur de logiciels peut exposer votre organisation à des perturbations importantes, à des violations de données et à des temps d'arrêt. Prenons l'exemple de la faille SolarWinds, qui a laissé des milliers d'organisations et d'entités gouvernementales exposées à des acteurs malveillants pendant des mois.
L'accès physique et virtuel aux technologies de l'information est l'un des moyens les plus évidents de compromettre la chaîne d'approvisionnement. De nombreuses entreprises ont été piratées par des sous-traitants qui, au départ, semblaient présenter de faibles niveaux de risque. Cependant, comme ces sous-traitants avaient un accès physique aux installations et aux systèmes informatiques, des acteurs malveillants ont pu les utiliser comme chevaux de Troie pour accéder aux clients de l'entreprise.
Souvent, les cybercriminels ne volent pas directement des données lorsqu'ils exploitent les comptes de messagerie ou les réseaux d'une entreprise. Au lieu de cela, ils vendent les noms d'utilisateur et les mots de passe compromis sur le dark web contre des bitcoins ou d'autres crypto-monnaies. Cela réduit les risques pour les criminels puisqu'ils peuvent immédiatement monnayer les informations d'identification volées sans avoir à pénétrer dans les comptes individuels.
Récemment, des groupes de ransomware opérant sur le dark web ont commencé à publier des informations sur leurs victimes afin de faire pression sur l'organisation victime pour qu'elle paie une rançon. La surveillance de ces forums et blogs peut permettre de détecter rapidement des violations potentielles de données susceptibles d'affecter les données partagées tout au long de votre chaîne d'approvisionnement.
Selon une étude récente dePrevalent , 55 % des organisations ont signalé une violation de la conformité liée à un manque de surveillance de la part de tiers. On attend de plus en plus des entreprises qu'elles sécurisent les informations personnelles identifiables (IPI) en leur sein et qu'elles s'assurent de manière proactive que les tiers sécurisent les données des clients et d'autres informations sensibles. Les réglementations applicables sont les suivantes CCPAGDPR, CMMC, PCI DSS, et plusieurs autres.
La boîte à outils pour la résilience de la chaîne d'approvisionnement
Basé sur les pratiques de la norme ISO 22301, le kit d'outils pour la résilience de la chaîne d'approvisionnement offre un accès instantané à des conseils d'experts, des modèles personnalisables et des feuilles de travail structurées.
Il est déjà assez fastidieux de trouver des solutions qui répondent aux exigences fonctionnelles et commerciales de votre organisation. L'évaluation de la posture de cybersécurité d'un fournisseur potentiel introduit une complexité et une incertitude supplémentaires dans le processus de sourcing et de sélection.
C'est pourquoi il est essentiel de commencer votre relation avec un fournisseur potentiel en effectuant une vérification préalable au contrat, conformément à vos demandes de renseignements, demandes de propositions et autres processus d'appel d'offres. Les informations relatives à la cybersécurité à rechercher à ce stade précoce de la relation avec le fournisseur doivent inclure les éléments suivants
L'intégration de ces informations dans votre processus d'appel d'offres vous permettra de vous assurer non seulement que la solution sélectionnée est adaptée à l'objectif visé, mais aussi que le fournisseur de cette solution n'expose pas votre organisation à des risques inutiles.
De nombreuses organisations négligent de considérer qu'elles peuvent être en mesure d'imposer des contrôles de cybersécurité dans les contrats. Les accords de niveau de service et autres accords contractuels peuvent obliger les tiers et les quatrièmes parties à mettre en œuvre ou à maintenir des contrôles de cybersécurité pour protéger les données sensibles de votre organisation.
Comprendre les différents types de risques liés aux fournisseurs peut vous permettre de prendre des décisions fondées sur des données quant à la manière d'appliquer les questionnaires sur les risques liés aux fournisseurs, ainsi que de comparer précisément les fournisseurs en fonction du risque mesurable. Sur Prevalent, nous classons le risque fournisseur en trois catégories :
Les questionnaires sur les risques liés aux fournisseurs peuvent fournir une visibilité sur les contrôles de sécurité du site cyber d'un fournisseur et contribuer à éviter les violations de conformité. Vous pouvez accélérer considérablement le processus de diligence raisonnable des fournisseurs en adaptant vos questionnaires en fonction du risque inhérent et en faisant correspondre les réponses aux réglementations de cybersécurité applicables à votre organisation.
Vous devriez également envisager de segmenter les questionnaires en fonction du secteur, du niveau de service et/ou du niveau d'accès au système. Par exemple, un fournisseur de logiciels peut avoir besoin d'un questionnaire très différent de celui d'un entrepreneur en chauffage, ventilation et climatisation. L'utilisation efficace des questionnaires sur le risque fournisseur peut simplifier la conformité, rationaliser l'intégration des fournisseurs et fournir une visibilité sur la chaîne d'approvisionnement étendue.
L'utilisation d'une plateforme de gestion des risques tierce peut contribuer à automatiser le processus et à réduire le temps nécessaire à l'évaluation des fournisseurs. En outre, l'abonnement à un réseau de renseignements sur les risques liés aux fournisseurs est un moyen rentable d'accéder à des milliers d'évaluations déjà réalisées et de donner plus d'ampleur à la recherche, à la sélection, à l'intégration et à l'évaluation des risques inhérents.
Conseil supplémentaire : Lors de la conception de vos questionnaires d'évaluation des risques liés aux fournisseurs, incluez des questions sur les quatrième et nième parties afin d'obtenir une visibilité des risques plus profondément dans la chaîne d'approvisionnement. Même si votre tierce partie dispose de solides contrôles de cybersécurité, l'un de ses fournisseurs peut toujours déclencher une violation de données qui aura finalement un impact sur votre organisation.
La pratique d'une surveillance continue des tiers peut vous aider à identifier les nouvelles vulnérabilités, les violations de données et autres risques de sécurité affectant les fournisseurs. La surveillance vous permet de rester à l'affût des risques qui peuvent apparaître entre les évaluations périodiques basées sur des questionnaires. Une solution solide de surveillance des risques cyber peut fournir des renseignements provenant de forums criminels, de pages oignons, de forums d'accès spéciaux du dark web, de flux de menaces, de sites de pâte, de communautés de sécurité, de dépôts de codes, de bases de données de vulnérabilités et d'autres sources.
En plus de fournir une alerte précoce sur les incidents potentiels qui pourraient avoir un impact sur votre organisation, la surveillance continue peut valider si les contrôles signalés dans les réponses d'évaluation d'un fournisseur sont en place et fonctionnent comme prévu.
Contrairement aux biens matériels, il peut être difficile de savoir comment les informations de votre entreprise sont stockées et partagées tout au long de votre chaîne d'approvisionnement étendue. Chaque organisation de votre chaîne d'approvisionnement cyber travaille probablement avec des dizaines, voire des centaines de sociétés de logiciels, de sous-traitants informatiques et d'autres tiers, dont plusieurs pourraient avoir accès aux informations de votre entreprise. La dernière chose qu'un RSSI ou un DSI souhaite entendre est que l'organisation a été exposée à une violation de données en raison de la négligence d'un fournisseur tiers.
Vous trouverez ci-dessous quelques bonnes pratiques que vous pouvez utiliser pour évaluer et atténuer le risque de quatrième partie.
La mise en place d'un programme C-SCRM efficace nécessite de hiérarchiser les risques liés aux fournisseurs sur lesquels il faut se concentrer. L'organisation moyenne travaille avec d'innombrables tiers, quatrièmes et nièmes parties. Il est impossible de trouver tous les risques dans la chaîne d'approvisionnement étendue de chaque fournisseur. Lorsque vous cherchez à obtenir une visibilité sur votre chaîne d'approvisionnement de quatrième et de nième partie cyber , commencez par vous concentrer sur les fournisseurs les plus importants en fonction de leur score de risque inhérent. Lorsque vous établissez des priorités, tenez compte des éléments suivants
L'élaboration d'une carte complète de votre chaîne d'approvisionnement, avec ses dépendances et sa hiérarchisation des risques, peut vous permettre d'obtenir la visibilité dont vous avez besoin pour prendre des décisions efficaces en matière d'atténuation des risques. Tout d'abord, vous devez vous assurer que vous recueillez les données nécessaires. Les questions concernant les quatrième et neuvième parties de votre chaîne d'approvisionnement étendue doivent figurer dans tous les questionnaires d'évaluation des risques liés aux fournisseurs.
Une fois que vous avez une bonne compréhension de votre écosystème de tiers et de quatrième partie, vous pouvez identifier les fournisseurs qui peuvent présenter des points de défaillance uniques ou des niveaux inacceptables de risque pour la sécurité des informations. Voici quelques suggestions de remédiation si une quatrième ou une Nième partie est jugée à haut risque :
Les risques émergent et évoluent constamment. Il ne suffit donc pas de limiter les fournisseurs essentiels à une seule évaluation des risques à un moment donné. Veillez à réévaluer le risque à plusieurs reprises tout au long du cycle de vie du contrat pour vous assurer que le risque résiduel n'a pas augmenté au-delà des niveaux acceptables. Voici quelques questions à considérer :
Premeditatio malorum - en latin, "la préméditation des maux et des ennuis qui peuvent survenir". Ou, pour le dire plus simplement - prévoyez le pire ! Les événements indésirables du fournisseur cyber se produiront. Toutefois, le niveau de préparation de votre organisation à ces événements peut faire la différence entre une perturbation grave et une perturbation légère.
La gestion efficace des incidents (GI) et le C-SCRM vont de pair. Par exemple, l'identification de vos troisième, quatrième et nième parties permet une gestion efficace des incidents - sachant que la moitié des incidents proviennent des fournisseurs. Les contrats des fournisseurs et des sous-traitants doivent inclure des exigences de notification de la GI/rupture dans un délai fixe (par exemple, 24 heures) après l'identification d'un incident majeur. La validation des processus et des contacts de GI de vos fournisseurs, ainsi que des tests périodiques, peuvent contribuer à garantir la disponibilité opérationnelle pour répondre aux incidents et les résoudre.
De nombreuses entreprises consacrent beaucoup de temps à la vérification préalable des fournisseurs, aux questionnaires sur les risques et à l'établissement des exigences de conformité, mais ne prévoient pas la fin de la relation, moment où de nombreux risques de sécurité se produisent. C'est pourquoi l'intégration des fournisseurs est tout aussi importante que leur intégration. Si l'on ne réussit pas à se débarrasser des fournisseurs, à s'assurer que les données sensibles ont été détruites et que l'accès aux technologies de l'information a été révoqué, il peut en résulter.. :
Rapport gratuit sur le suivi des risques liés aux fournisseurs
Obtenez gratuitement un rapport Prevalent Vendor Threat Monitor (VTM) pour votre organisation ou un tiers de votre choix.
Il existe plusieurs ressources sur la gestion des risques de la chaîne d'approvisionnement sur le site cyber que vous pouvez consulter lorsque vous élaborez ou évaluez votre programme. Les ressources les plus importantes sont celles publiées par le National Institute of Standards and Technology (NIST) et d'autres agences gouvernementales, organismes de réglementation et groupes industriels privés. Voici quelques ressources utiles :
NIST SP 800-161 est un cadre de gestion des risques de la chaîne d'approvisionnement cyber qui peut aider votre organisation à construire et à faire mûrir son programme C-SCRM. Le NIST 800-161 fournit des conseils détaillés sur la manière d'intégrer un programme C-SCRM dans votre stratégie plus large de gestion des risques d'entreprise et couvre les facteurs de réussite essentiels pour la mise en place d'un programme C-SCRM efficace. Les contrôles du NIST 800-161 sont répartis en 20 familles allant du contrôle d'accès aux incidents et aux réponses.
L'annexe A du NIST SP 800-161 Rev 1 comprend un cadre d'exposition aux risques avec des conseils détaillés pour l'identification de scénarios de menace potentiels pour la chaîne d'approvisionnement. Le NIST définit un scénario de menace comme "un ensemble d'événements de menace discrets associés à une source de menace potentielle ou existante identifiée spécifique ou à des sources de menace multiples, partiellement ordonnés dans le temps". Le cadre d'exposition aux risques du NIST vous permet d'identifier et d'attribuer des risques à divers scénarios de menaces pour la chaîne d'approvisionnement, et d'intégrer ces résultats dans votre approche plus large d'évaluation des risques par des tiers.
L'annexe D du NIST 800-161 r1 fournit plusieurs modèles pour documenter votre programme C-SCRM, notamment les plans de mise en œuvre, les initiatives de conformité, les objectifs stratégiques, les rôles et les responsabilités, et les étapes de mise en œuvre. Ces modèles sont très utiles pour définir un nouveau programme C-SCRM ou pour améliorer votre programme existant à l'aide de documents justificatifs.
Le NIST a publié son guide de la chaîne d'approvisionnement en matière de sécurité logicielle en réponse aux exigences de l'Executive Order (EO) 14028 Section 4E sur l'amélioration de la cybersécurité de la nation. Le document s'adresse aux agences fédérales, mais bon nombre des mêmes pratiques peuvent être utilisées par les entreprises qui cherchent à atténuer les risques liés à cyber dans leurs chaînes d'approvisionnement étendues.
Security Measures for EO Critical Software est un autre document du NIST créé en réponse à l'Executive Order 14028. Le NIST définit les logiciels critiques EO comme suit :
... tout logiciel qui possède, ou a des dépendances logicielles directes avec, un ou plusieurs composants ayant au moins un de ces attributs :
Le document sur les mesures de sécurité est principalement destiné aux agences fédérales, mais il peut facilement être réutilisé par les entités du secteur privé. Le document identifie les catégories de logiciels qui doivent être considérées comme "critiques pour l'OT", ce qui peut vous aider à signaler les fournisseurs potentiellement à haut risque lors de l'étape de profilage et de hiérarchisation.
Ce document du NIST énonce des directives spécifiques à l'intention des agences fédérales pour vérifier la sécurité des logiciels utilisés. Il comprend les techniques de vérification suivantes, qui doivent servir de base à l'identification des risques :
Le ministère américain de la santé et des services sociaux a publié une présentation sur la maturation d'un programme C-SCRM. La présentation donne un aperçu de haut niveau des meilleures pratiques C-SCRM basées sur le NIST et couvre les contrôles spécifiques et les familles de contrôles qui devraient être mis en œuvre dans le cadre d'un programme C-SCRM holistique.
Le risque lié aux tiers cyber connaît une croissance exponentielle. Prevalent fournit une plateforme facile à utiliser qui vous permet d'automatiser les questionnaires d'évaluation du risque fournisseur, d'attribuer des scores de risque aux fournisseurs, de surveiller le risque et les changements au fil du temps, ainsi que de gérer le risque fournisseur et d'en rendre compte. L'utilisation d'une plateforme TPRM dédiée peut automatiser le cycle de vie de la gestion du risque fournisseur et permettre à votre équipe de se concentrer sur la réduction du risque organisationnel. Pour voir comment Prevalent peut vous aider à gérer le risque lié à la chaîne d'approvisionnement, demandez une démonstration dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024