Orientations du NCSC pour la sécurité de la chaîne d'approvisionnement Cyber et la gestion des risques liés aux tiers

NCSC Supply Chain Cyber Security Guidance Étape 1 : Avant de commencer

Selon le guide du NCSC, l'objectif de l'étape 1 est d'"acquérir des connaissances sur l'approche de votre propre organisation en matière de gestion des risques de sécurité sur le site cyber ". Cette phase de planification initiale comprend les étapes suivantes.

Comprendre les risques auxquels votre organisation est confrontée

Selon une étude récente du secteur, 45 % des organisations ont été victimes d'une violation des données ou de la vie privée d'un tiers au cours des 12 derniers mois. Répondez à ces questions clés :

• Votre organisation peut-elle rester résiliente face à une perturbation de la chaîne d'approvisionnement cyber ?
• Pouvez-vous identifier la cible d'un attaquant cyber ? S'agit-il de données ?
• Pouvez-vous identifier le chemin d'attaque le plus probable pour un attaquant cyber ?

Si la réponse à l'une de ces questions est "non", vous devez évaluer les points faibles de votre chaîne d'approvisionnement cyber et élaborer un plan pour atténuer ces risques.

Déterminer qui doit être impliqué dans les décisions relatives à la sécurité de la chaîne d'approvisionnement cyber

Les participants peuvent être des représentants des équipes chargées des achats et de l'approvisionnement, de la gestion des risques, de la sécurité et de l'informatique, du service juridique et de la conformité, ainsi que de la confidentialité des données. La raison pour laquelle autant d'équipes doivent être impliquées dans le processus de gestion des risques de la chaîne d'approvisionnement cyber est que chaque département a tendance à se concentrer sur les risques qui lui importent. Par exemple :

• Les équipes chargées de la sécurité informatique et de la protection de la vie privée doivent déterminer quels contrôles sont en place pour protéger les données et l'accès aux systèmes, si le fournisseur a été victime d'une violation, quel en a été l'impact et s'il existe un risque excessif de la part de tierces parties.
• Les équipes chargées de la passation des marchés peuvent le faire si les antécédents financiers ou de crédit du fournisseur soulèvent des inquiétudes, ou si le fournisseur a un problème de réputation.
• Les équipes juridiques et de conformité voudront savoir si le fournisseur a été signalé pour des questions de confidentialité des données, d'environnement, de responsabilité sociale et de gouvernance, de corruption ou de sanctions.
• Les équipes de gestion des risques voudront savoir si le fournisseur se trouve dans une région sujette aux catastrophes naturelles ou à l'instabilité géopolitique.

Tout d'abord, établissez une matrice RACI pour définir qui, au sein de l'organisation, est concerné :

• Responsable de la gestion des risques
• Responsables des résultats
• Consulté avec
• Tenu informé du processus et des résultats

Enfin, il faut obtenir l'adhésion des cadres supérieurs et du conseil d'administration :

• Présenter une vue consolidée de l'exposition actuelle de l'organisation aux risques de la chaîne d'approvisionnement
• Communiquer l'état actuel des risques et les efforts de réduction
• Identifier les domaines dans lesquels un soutien de l'exécutif est nécessaire

Évaluer les risques

Une façon courante de catégoriser les risques est d'utiliser une "carte thermique" qui mesure les risques sur deux (2) axes : La probabilité d'occurrence et l'impact sur les opérations. Naturellement, les risques qui obtiennent une note élevée sur les deux axes (par exemple, le quadrant supérieur droit) doivent être considérés comme plus prioritaires que les risques qui obtiennent une note plus basse.

Étape 2 du guide du NCSC : élaborer une approche pour évaluer la sécurité de la chaîne d'approvisionnement Cyber

L'étape 2 consiste à "créer une approche reproductible et cohérente pour évaluer la sécurité du site cyber de vos fournisseurs". Cette étape implique

• Savoir quels actifs l'organisation doit protéger ;
• Définir les contrôles de sécurité idéaux pour protéger le bien ; et
• Déterminer comment évaluer les fournisseurs et traiter les cas de non-conformité.

Avant de créer le profil de sécurité du fournisseur, il convient d'examiner les risques inhérents auxquels il expose l'entreprise. Tenez compte de ce cadre pour calculer le risque inhérent :

• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

En s'appuyant sur les résultats de cette évaluation des risques inhérents, votre équipe peut automatiquement classer et profiler les fournisseurs, établir des clauses contractuelles spécifiques pour faire respecter les normes, fixer des niveaux appropriés de diligence supplémentaire, déterminer la portée des évaluations continues et définir des mesures correctives en cas de non-conformité.

Pour assurer le suivi de la conformité aux exigences de sécurité, envisagez de normaliser les évaluations par rapport à Cyber Essentials, ISO ou d'autres cadres de contrôle de la sécurité de l'information communément adoptés.

Guide du NCSC Étape 3 : Appliquer l'approche aux nouvelles relations avec les fournisseurs

À l'étape 3, les orientations du NCSC recommandent d'intégrer "de nouvelles pratiques de sécurité tout au long du cycle de vie du contrat des nouveaux fournisseurs, depuis la passation des marchés et la sélection des fournisseurs jusqu'à la clôture du contrat". Il s'agit de contrôler le respect des dispositions contractuelles et de sensibiliser l'équipe à ses responsabilités tout au long du processus.

Ces orientations exigent des organisations qu'elles soient conscientes des risques à chaque étape du cycle de vie des fournisseurs, y compris :

• Effectuer un contrôle préalable au contrat en obtenant des informations sur la cybersécurité ou l'historique des violations de données chez les fournisseurs potentiels avant de prendre des décisions de sélection.
• L'évaluation et la catégorisation des fournisseurs vous permettent de savoir comment les trier et quelle diligence continue est nécessaire.
• Valider les résultats de l'évaluation à l'aide de données de surveillance en temps réel ( cyber )
• Suivi centralisé de tous les contrats et des attributs contractuels liés à la sécurité
• Mesurer l'efficacité des fournisseurs, y compris les indicateurs clés de performance, les indicateurs clés de risque et les accords de niveau de service par rapport aux mesures de conformité, afin de s'assurer que ces fournisseurs respectent les exigences contractuelles.
• Mettre fin aux relations de manière à garantir le respect du contrat, la destruction des données et la vérification des derniers éléments.

Effectuer des évaluations de la cybersécurité des fournisseurs au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, tous les trimestres ou tous les ans). Veiller à ce que les évaluations s'appuient sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves.

Ensuite, il faut suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'internet et le "dark web" à la recherche de menaces et de vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure : les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données sur les violations de données. Corréler toutes les données de surveillance aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Guide du NCSC Étape 4 : Intégrer l'approche dans les contrats existants avec les fournisseurs

À l'étape 4, le NCSC recommande de revoir "vos contrats existants soit au moment du renouvellement, soit plus tôt lorsqu'il s'agit de fournisseurs essentiels". Les orientations supposent un certain niveau de gestion du cycle de vie des contrats et de gestion des indicateurs clés de performance et des indicateurs clés de risque.

Gestion du cycle de vie des contrats

Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses de sécurité appropriées sont incluses.

Les pratiques clés à prendre en compte dans la gestion des contrats avec les fournisseurs sont les suivantes :

• Stockage centralisé des contrats
• Suivi de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Gestion des KPI et des KRI

Une partie importante de l'examen des contrats consiste à mesurer les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR). Pour permettre un examen efficace des KPI et KRI contractuels, il convient de les classer comme suit :

• Les mesures de risque aident à comprendre le risque de faire des affaires avec un fournisseur, ainsi que les mesures d'atténuation associées.
• Les mesures de la menace se recoupent quelque peu avec celles du risque et donnent une vision plus complète et validée du risque.
• Les mesures de conformité permettent de déterminer si les fournisseurs respectent vos exigences en matière de contrôle interne.
• Les mesures de couverture répondent à la question suivante : "Ai-je une couverture complète de l'empreinte de mes fournisseurs et ceux-ci sont-ils hiérarchisés et traités en conséquence ?"

Veillez ensuite à lier les résultats aux dispositions contractuelles afin d'assurer une gouvernance complète du processus.

Enfin, veillez à ce que votre équipe comprenne parfaitement le type d'informations que le conseil d'administration doit voir. Cette approche devrait permettre à votre équipe de

• Présenter une vue consolidée de l'exposition actuelle de l'organisation aux risques liés à la chaîne d'approvisionnement.
• Communiquer l'état actuel des fournisseurs essentiels qui soutiennent les principaux efforts de l'entreprise.
• Montrer les risques inhérents et résiduels à partir des sources de renseignements sur les menaces afin de démontrer les progrès accomplis dans la réduction des risques au fil du temps.
• Identifier les domaines dans lesquels un soutien exécutif est nécessaire

Guide du NCSC Étape 5 : Améliorer en permanence

La dernière étape du guide du NCSC consiste à "affiner périodiquement votre approche au fur et à mesure de l'apparition de nouveaux problèmes afin de réduire la probabilité que des risques soient introduits dans votre organisation par le biais de la chaîne d'approvisionnement".

Suivre et analyser en permanence les menaces externes pour les tiers en surveillant l'internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification divulguées, les bases de données de violations, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.

Les résultats des évaluations et de la surveillance continue doivent être rassemblés dans un registre des risques unique, accompagné d'une carte thermique qui mesure et classe les risques en fonction de leur probabilité et de leur impact. Élaborer des plans de remédiation assortis de recommandations que les fournisseurs peuvent suivre pour réduire les risques résiduels. Mettre en place un forum permettant aux fournisseurs de télécharger des preuves et de communiquer sur des mesures correctives spécifiques, avec une piste d'audit sécurisée permettant de suivre les mesures correctives jusqu'à leur terme.

Prochaines étapes : Télécharger la liste de contrôle complète de la sécurité de la chaîne d'approvisionnement du NCSC Cyber

Les exigences du NCSC peuvent contribuer à fournir une structure et des recommandations de meilleures pratiques pour atténuer les risques d'attaques de cybersécurité de la chaîne d'approvisionnement. Prevalent offre une plateforme centrale et automatisée pour évaluer et surveiller en permanence les risques en accord avec votre programme plus large de gestion des risques de cybersécurité.

Pour en savoir plus sur la manière dont Prevalent peut vous aider, visitez notre page sur les solutions NCSC, téléchargez la liste de contrôle complète de la sécurité de la chaîne d'approvisionnement NCSC Cyber ou contactez Prevalent dès aujourd'hui pour planifier une démonstration personnalisée.