À la suite d'une augmentation constante des attaques très médiatisées cyber- résultant des vulnérabilités de la chaîne d'approvisionnement, le National Cyber Security Centre (NCSC) du Royaume-Uni - qui fait partie du GCHQ - a publié des orientations actualisées pour aider les organisations à évaluer efficacement la sécurité cyber de leurs chaînes d'approvisionnement et à s'y fier.
Les dernières orientations, publiées en octobre 2022, visent à aider les organisations à mettre en œuvre les 12 principes de sécurité de la chaîne d'approvisionnement du NCSC, initialement publiés en janvier 2018, comme le montre l'illustration ci-dessous (avec l'aimable autorisation du National Cyber Security Centre, qui fait partie du GCHQ).
Les orientations sont divisées en cinq étapes :
Ce billet examine les cinq étapes du dernier guide du NCSC et identifie les meilleures pratiques pour mettre en œuvre ce guide.
Liste de contrôle de la sécurité de la chaîne d'approvisionnement du NCSC Cyber
Téléchargez cette liste de contrôle de 12 pages pour évaluer votre programme de gestion du risque fournisseur par rapport aux meilleures pratiques recommandées pour la mise en œuvre des orientations du NCSC.
Selon le guide du NCSC, l'objectif de l'étape 1 est d'"acquérir des connaissances sur l'approche de votre propre organisation en matière de gestion des risques de sécurité sur le site cyber ". Cette phase de planification initiale comprend les étapes suivantes.
Selon une étude récente du secteur, 45 % des organisations ont été victimes d'une violation des données ou de la vie privée d'un tiers au cours des 12 derniers mois. Répondez à ces questions clés :
Si la réponse à l'une de ces questions est "non", vous devez évaluer les points faibles de votre chaîne d'approvisionnement cyber et élaborer un plan pour atténuer ces risques.
Les participants peuvent être des représentants des équipes chargées des achats et de l'approvisionnement, de la gestion des risques, de la sécurité et de l'informatique, du service juridique et de la conformité, ainsi que de la confidentialité des données. La raison pour laquelle autant d'équipes doivent être impliquées dans le processus de gestion des risques de la chaîne d'approvisionnement cyber est que chaque département a tendance à se concentrer sur les risques qui lui importent. Par exemple :
Tout d'abord, établissez une matrice RACI pour définir qui, au sein de l'organisation, est concerné :
Enfin, il faut obtenir l'adhésion des cadres supérieurs et du conseil d'administration :
Une façon courante de catégoriser les risques est d'utiliser une "carte thermique" qui mesure les risques sur deux (2) axes : La probabilité d'occurrence et l'impact sur les opérations. Naturellement, les risques qui obtiennent une note élevée sur les deux axes (par exemple, le quadrant supérieur droit) doivent être considérés comme plus prioritaires que les risques qui obtiennent une note plus basse.
L'étape 2 consiste à "créer une approche reproductible et cohérente pour évaluer la sécurité du site cyber de vos fournisseurs". Cette étape implique
Avant de créer le profil de sécurité du fournisseur, il convient d'examiner les risques inhérents auxquels il expose l'entreprise. Tenez compte de ce cadre pour calculer le risque inhérent :
En s'appuyant sur les résultats de cette évaluation des risques inhérents, votre équipe peut automatiquement classer et profiler les fournisseurs, établir des clauses contractuelles spécifiques pour faire respecter les normes, fixer des niveaux appropriés de diligence supplémentaire, déterminer la portée des évaluations continues et définir des mesures correctives en cas de non-conformité.
Pour assurer le suivi de la conformité aux exigences de sécurité, envisagez de normaliser les évaluations par rapport à Cyber Essentials, ISO ou d'autres cadres de contrôle de la sécurité de l'information communément adoptés.
À l'étape 3, les orientations du NCSC recommandent d'intégrer "de nouvelles pratiques de sécurité tout au long du cycle de vie du contrat des nouveaux fournisseurs, depuis la passation des marchés et la sélection des fournisseurs jusqu'à la clôture du contrat". Il s'agit de contrôler le respect des dispositions contractuelles et de sensibiliser l'équipe à ses responsabilités tout au long du processus.
Ces orientations exigent des organisations qu'elles soient conscientes des risques à chaque étape du cycle de vie des fournisseurs, y compris :
Effectuer des évaluations de la cybersécurité des fournisseurs au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, tous les trimestres ou tous les ans). Veiller à ce que les évaluations s'appuient sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves.
Ensuite, il faut suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'internet et le "dark web" à la recherche de menaces et de vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure : les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données sur les violations de données. Corréler toutes les données de surveillance aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.
À l'étape 4, le NCSC recommande de revoir "vos contrats existants soit au moment du renouvellement, soit plus tôt lorsqu'il s'agit de fournisseurs essentiels". Les orientations supposent un certain niveau de gestion du cycle de vie des contrats et de gestion des indicateurs clés de performance et des indicateurs clés de risque.
Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses de sécurité appropriées sont incluses.
Les pratiques clés à prendre en compte dans la gestion des contrats avec les fournisseurs sont les suivantes :
Une partie importante de l'examen des contrats consiste à mesurer les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR). Pour permettre un examen efficace des KPI et KRI contractuels, il convient de les classer comme suit :
Veillez ensuite à lier les résultats aux dispositions contractuelles afin d'assurer une gouvernance complète du processus.
Enfin, veillez à ce que votre équipe comprenne parfaitement le type d'informations que le conseil d'administration doit voir. Cette approche devrait permettre à votre équipe de
La dernière étape du guide du NCSC consiste à "affiner périodiquement votre approche au fur et à mesure de l'apparition de nouveaux problèmes afin de réduire la probabilité que des risques soient introduits dans votre organisation par le biais de la chaîne d'approvisionnement".
Suivre et analyser en permanence les menaces externes pour les tiers en surveillant l'internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification divulguées, les bases de données de violations, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
Les résultats des évaluations et de la surveillance continue doivent être rassemblés dans un registre des risques unique, accompagné d'une carte thermique qui mesure et classe les risques en fonction de leur probabilité et de leur impact. Élaborer des plans de remédiation assortis de recommandations que les fournisseurs peuvent suivre pour réduire les risques résiduels. Mettre en place un forum permettant aux fournisseurs de télécharger des preuves et de communiquer sur des mesures correctives spécifiques, avec une piste d'audit sécurisée permettant de suivre les mesures correctives jusqu'à leur terme.
Les exigences du NCSC peuvent contribuer à fournir une structure et des recommandations de meilleures pratiques pour atténuer les risques d'attaques de cybersécurité de la chaîne d'approvisionnement. Prevalent offre une plateforme centrale et automatisée pour évaluer et surveiller en permanence les risques en accord avec votre programme plus large de gestion des risques de cybersécurité.
Pour en savoir plus sur la manière dont Prevalent peut vous aider, visitez notre page sur les solutions NCSC, téléchargez la liste de contrôle complète de la sécurité de la chaîne d'approvisionnement NCSC Cyber ou contactez Prevalent dès aujourd'hui pour planifier une démonstration personnalisée.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024