Le National Institute of Standards and Technology (NIST) est une agence fédérale au sein du ministère du Commerce des États-Unis. Les responsabilités du NIST comprennent l'établissement de normes et de directives relatives aux technologies de l'information et de l'informatique pour les agences fédérales. Cependant, comme le NIST publie et tient à jour des ressources clés pour la gestion des risques de cybersécurité applicables à toute entreprise, de nombreuses organisations du secteur privé considèrent la conformité à ces normes et directives comme une priorité absolue.
Plusieurs publications spéciales du NIST comportent des contrôles spécifiques qui exigent que les organisations établissent et mettent en œuvre des processus pour identifier, évaluer et gérer les risques liés à la chaîne d'approvisionnement. Ces publications spéciales du NIST comprennent :
Les lignes directrices du NIST se complétant les unes les autres, les organisations qui se standardisent sur une publication spéciale peuvent procéder à un recoupement avec les autres, ce qui revient à répondre à plusieurs exigences à l'aide d'un seul cadre. La plateforme de gestion des risques des tiers Prevalent peut être utilisée pour répondre aux exigences du NIST en matière de renforcement de la sécurité de la chaîne d'approvisionnement.
Ce billet explique chaque publication spéciale du NIST et fait correspondre les capacités de Prevalent à ces cadres.
Contrôles de la gestion des risques de la chaîne d'approvisionnement dans SP 800-53 Rev. 5
Les contrôles de la sécurité de la chaîne d'approvisionnement et de la confidentialité des données ont évolué au fil des révisions de la norme SP 800-53. Par exemple, dans la norme SP 800-53 Rev. 4, la protection de la chaîne d'approvisionnement était couverte par un groupe de contrôle plus large sur l'acquisition de systèmes et de services. Ce contrôle unique portait sur la nécessité d'identifier les vulnérabilités tout au long du cycle de vie d'un système d'information et d'y répondre par une stratégie et des contrôles. Il encourage les organisations à acquérir et à fournir des solutions tierces pour mettre en œuvre des mesures de sécurité. Elle exige également des organisations qu'elles examinent et évaluent les fournisseurs et leurs produits avant de s'engager, afin d'avoir une meilleure visibilité de la chaîne d'approvisionnement.
Reconnaissant le nombre croissant de violations de données liées à des fournisseurs tiers et d'autres événements de sécurité, la norme SP 800-53 Rev. 5 élargit et affine les directives relatives à la sécurité et à la confidentialité de la chaîne d'approvisionnement en établissant un groupe de contrôle entièrement nouveau, SR-Gestion des risques de la chaîne d'approvisionnement. Elle exige également que les organisations développent et planifient la gestion des risques liés à la chaîne d'approvisionnement:
- Utiliser des plans et des politiques de gestion des risques formels pour piloter le processus de gestion de la chaîne d'approvisionnement.
- Mettre l'accent sur la sécurité et la vie privée en collaborant à l'identification des risques et des menaces, et en appliquant des contrôles basés sur la sécurité et la vie privée.
- Exiger la transparence des systèmes et des produits (par exemple, le cycle de vie, la traçabilité et l'authenticité des composants).
- Sensibilisation accrue à la nécessité de pré-évaluer les organisations et d'assurer la visibilité des problèmes et des violations.
Comment SP 800-161 Rev. 1 complète la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité
Le NIST SP 800-53 est considéré comme le fondement sur lequel reposent tous les autres contrôles de cybersécurité. Avec la SP 800-161 Rev. 1, le NIST décrit un cadre complémentaire pour encadrer, évaluer, répondre et surveiller les risques liés à la chaîne d'approvisionnement en matière de cybersécurité. Ensemble, la norme SP 800-53 et les orientations complémentaires de contrôle SP 800-161 présentent un cadre complet pour évaluer et atténuer les risques liés aux fournisseurs.
Exigences en matière de gestion des risques liés à la chaîne d'approvisionnement dans le cadre de cybersécurité v2.0
Le cadre de cybersécurité est une autre publication du NIST qui s'applique à la gestion des risques des tiers et à la sécurité de la chaîne d'approvisionnement. Le cadre s'appuie sur les cadres de sécurité existants, tels que CIS, COBIT, ISA, ISO/IEC et NIST, afin d'éviter de créer une charge excessive sur les organisations pour répondre aux exigences. Le NIST CSF 2.0, publié en février 2024, réorganise les contrôles de gestion des risques liés à la chaîne d'approvisionnement sous une nouvelle fonction appelée "Gouverner". Les sous-catégories spécifiques de gestion des risques liés à la chaîne d'approvisionnement identifiées dans le CSF sont les suivantes :
- GV.SC-01 : Un programme, une stratégie, des objectifs, des politiques et des processus de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement sont établis et approuvés par les parties prenantes de l'organisation.
- GV.SC-02 : Les rôles et responsabilités en matière de cybersécurité des fournisseurs, des clients et des partenaires sont établis, communiqués et coordonnés en interne et en externe.
- GV.SC-03 : La gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement est intégrée dans les processus de gestion, d'évaluation et d'amélioration des risques liés à la cybersécurité et à l'entreprise.
- GV.SC-04 : Les fournisseurs sont connus et classés par ordre de priorité en fonction de leur criticité.
- GV.SC-05 : Les exigences relatives à la prise en compte des risques de cybersécurité dans les chaînes d'approvisionnement sont établies, hiérarchisées et intégrées dans les contrats et autres types d'accords conclus avec les fournisseurs et les autres tiers concernés.
- GV.SC-06 : La planification et la diligence raisonnable sont effectuées pour réduire les risques avant de nouer des relations formelles avec des fournisseurs ou d'autres tiers.
- GV.SC-07 : Les risques posés par un fournisseur, ses produits et services et d'autres tiers sont compris, enregistrés, hiérarchisés, évalués, pris en compte et contrôlés tout au long de la relation.
- GV.SC-08 : Les fournisseurs concernés et les autres tiers sont inclus dans les activités de planification, de réponse et de récupération en cas d'incident.
- GV.SC-09 : Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées dans les programmes de cybersécurité et de gestion des risques de l'entreprise, et leurs performances sont contrôlées tout au long du cycle de vie des produits et services technologiques.
- GV.SC-10 : Les plans de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement comprennent des dispositions relatives aux activités qui se déroulent après la conclusion d'un partenariat ou d'un accord de service.
Respect des directives NIST SP 800-53r5 et NIST 800-161r1 sur la cybersécurité de la chaîne d'approvisionnement grâce à la plateforme Prevalent
Prevalent peut aider à répondre aux exigences des tiers dans le NIST SP 800-53r5 Security and Privacy Controls for Federal Information Systems and Organizations ainsi que dans le NIST 800-161r1 Cybersecurity Supply Chain Risk Management Practices avec une plateforme automatisée pour gérer le processus d'évaluation des risques du fournisseur et déterminer la conformité du fournisseur avec la sécurité informatique, les exigences réglementaires et la confidentialité des données.
Avec la plateforme de gestion des risques liés aux tiersPrevalent , vous pouvez :
- Suivre et analyser en permanence les menaces observables de l'extérieur pour les fournisseurs et d'autres tiers, et compléter et valider les données de contrôle de la sécurité communiquées par les fournisseurs pour tenir compte des évaluations de contrôle CA-2 (1) | Évaluations spécialisées, CA-2 (3) | Évaluations de contrôle | Exploitation des résultats des organisations externes, et SA-4 (7) Surveillance du système | Connaissance intégrée de la situation.
- Révéler les incidents de tiers cyber pour 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces ; et plus de 50 sites de collage d'informations d'identification ayant fait l'objet d'une fuite - ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités pour tenir compte de la surveillance continue CA-7 (3) | Analyse des tendances, du programme de sensibilisation aux menaces PM-16, de la stratégie de surveillance continue PM-31, du processus d'acquisition SA-4 (3) | Plan de surveillance continue des contrôles et des alertes, avis et directives de sécurité SI-5.
- Identifier et atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation pour tenir compte du CP-2 (7) Plan d'urgence | Coordination avec les fournisseurs de services externes, de l' IR-4 (3) Traitement des incidents | Coordination de la chaîne d'approvisionnement, de l' IR-6 (1) Signalement des incidents | Coordination de la chaîne d'approvisionnement et de l' IR-8 Plan de réponse aux incidents.
- Automatiser la gestion du cycle de vie des contrats pour s'assurer que les principales clauses contractuelles relatives à la réponse aux incidents sont en place, et que les niveaux de service et les délais de réponse sont gérés de manière à respecter les accords de surveillance des incidents IR-5 et de notification SR-8.
- Évaluer les contrôles des partenaires de la chaîne d'approvisionnement à l'aide de plus de 750 modèles d'enquête d'évaluation des risques normalisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquête personnalisée et un questionnaire qui adapte les réponses à n'importe quelle réglementation ou cadre de conformité pour prendre en compte CA-2 (3) Évaluations de la sécurité des organisations externes, RA-1 Politique et procédures, RA-3 Évaluation des risques, RA-7 Réponse aux risques et SR-6 Évaluations et examens des fournisseurs.
- Catégoriser et hiérarchiser tous les fournisseurs à l'aide de critères multiples pour tenir compte de l'analyse de criticité RA-9 et de l'inventaire des fournisseurs SR-13.
- Fournir un accès instantané à des milliers de profils de risques de fournisseurs complets, conformes aux normes de l'industrie, offrant des informations en temps réel sur la sécurité, la réputation et les finances, afin de répondre aux exigences du processus d'acquisition SA-9 et des stratégies, outils et méthodes d'acquisition SR-5.
- Définissez et documentez votre programme TPRM pour tenir compte des politiques et procédures SR-1 et des contrôles et processus de la chaîne d'approvisionnement SR-3.
- Améliorez continuellement votre programme TPRM et assurez-vous qu'il est agile et flexible pour s'adapter au plan de gestion des risques de la chaîne d'approvisionnement SR-2.
Respect du cadre du NIST pour l'amélioration de la cybersécurité des infrastructures critiques
Framework (CSF) v2.0 Exigences des tiers
Avec la plateforme de gestion des risques pour les tiersPrevalent , vous pouvez :
- Définissez et documentez votre programme de gestion des risques liés aux tiers grâce à des services professionnels spécialisés. Obtenez un plan clair qui tienne compte de la stratégie du programme, des rôles et des responsabilités, et de l'intégration dans la stratégie plus large de gestion des risques de l'entreprise, tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout pour aborder la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-01, GV.SC-02, GV.SC-03, et GV.SC-09).
- Centraliser, profiler, hiérarchiser et évaluer les risques inhérents à tous les tiers, ce qui constitue une première étape essentielle dans les phases d'intégration et de hiérarchisation du cycle de vie des fournisseurs, afin d'assurer la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-04).
- Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des principales clauses dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-05).
- Centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans une solution unique qui permet une vérification préalable des contrats dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-06).
- Utiliser une solution globale pour évaluer et surveiller tous les aspects de la sécurité de l'information en rapport avec les contrôles de sécurité des partenaires de la chaîne d'approvisionnement, dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-07).
- Identifier les incidents de sécurité des fournisseurs tiers, y répondre, en rendre compte et en atténuer l'impact dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-08).
- Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-10).
Prochaines étapes de la mise en conformité avec le NIST
Le NIST exige une gestion et un suivi rigoureux des risques liés à la sécurité de la chaîne d'approvisionnement des tiers. Les SP 800-53r5, SP 800-161r1 et le CSF v2.0 précisent que :
- une politique de gestion des risques doit être mise en place
- les contrôles de sécurité doivent être sélectionnés
- une politique doit être codifiée dans les accords avec les fournisseurs, le cas échéant.
- les fournisseurs doivent être évalués, gérés et audités en fonction des exigences et des contrôles.
Prevalent offre une plateforme unifiée avec des fonctionnalités de conformité NIST qui vous permettent d'auditer efficacement les contrôles de sécurité des fournisseurs. Pour obtenir une liste complète des exigences du NIST en matière de gestion des risques de la chaîne d'approvisionnement et savoir comment les fonctionnalités de Prevalent s'articulent, lisez la liste de contrôle de la conformité des tiers au NIST ou demandez une démonstration dès aujourd'hui. Pour savoir comment la gestion des risques des tiers s'applique à plus de 50 autres réglementations, téléchargez lemanuel de conformité aux cadres de cybersécurité ( ).