Directives de sécurité du NERC pour le cycle de vie de la gestion du risque fournisseur

Utilisez ces lignes directrices pour améliorer la gestion globale des risques de sécurité de la chaîne d'approvisionnement cyber pour les organisations d'infrastructures critiques.
Par :
Scott Lang
,
VP, Marketing produit
06 juin 2023
Partager :
Blog nerc vendor risk management 0623

Reconnaissant que de nombreux risques de sécurité cyber pour les infrastructures critiques proviennent de fournisseurs tiers, la North American Electric Reliability Corporation (NERC) a publié un guide de sécurité pour le cycle de vie de la gestion des risques liés aux fournisseurs (Security Guideline for the Vendor Risk Management Lifecycle). Cette directive donne des exemples de risques liés aux fournisseurs et propose des mesures d'atténuation que les organisations doivent prendre en compte lorsqu'elles élaborent leurs plans de gestion des risques de sécurité pour l'ensemble de la chaîne d'approvisionnement cyber - non seulement pour le système électrique en vrac (BES), mais aussi pour d'autres infrastructures critiques telles que les gazoducs, la production, la transmission et la distribution d'électricité, et d'autres domaines.

Ce billet examine les étapes du cycle de vie du risque fournisseur telles qu'identifiées dans les lignes directrices de sécurité du NERC, et passe en revue les meilleures pratiques pour atténuer les risques de cybersécurité pour les infrastructures critiques à chaque étape.

Étapes du cycle de vie du risque fournisseur

Les lignes directrices du NERC en matière de sécurité définissent les étapes suivantes du cycle de vie de la gestion des risques liés aux fournisseurs.

  1. Identification du fournisseur par le biais d'un appel d'offres ou d'une autre manière
  2. Approvisionnement(s) auprès du vendeur
  3. l'installation et l'utilisation du produit ou du service (y compris l'assistance du fournisseur et les correctifs)
  4. Cessation de la relation avec le vendeur

Les lignes directrices suggèrent ensuite que les processus soient documentés dans le plan de gestion des risques de sécurité de la chaîne d'approvisionnement cyber de l'organisation pour les environnements de technologie de l'information (TI) et de technologie opérationnelle (TO) à chaque étape du cycle de vie. Ces étapes sont examinées ci-après.

Atténuer les risques avant la passation de marchés

Le chapitre 1 des lignes directrices précise que "pour décider quels fournisseurs doivent être invités à participer à l'appel d'offres, l'organisation peut prendre en considération les listes d'entités approuvées, les sources de renseignements et les informations accessibles au public (par exemple, l'historique de la gestion des vulnérabilités, l'hygiène des sites web)".

Pour répondre à cette directive, comparez dans un même tableau les données géographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. La centralisation de ces informations en fonction des réponses à l'appel d'offres vous permet d'avoir une vision globale des fournisseurs - à la fois de leur adéquation à l'objectif et de leur adéquation à l'appétence au risque de votre organisation.

Le tableau ci-dessous présente les autres mesures d'atténuation suggérées au chapitre 1.

Mesures d'atténuation suggérées Meilleures pratiques

Recueillir des informations sur les plans d'atténuation du fournisseur pour les risques de sécurité spécifiques à la chaîne d'approvisionnement cyber , à l'aide d'une évaluation ciblée ne contenant que des questions pertinentes.

Utiliser une évaluation personnalisable pour rassembler et corréler les contrôles des fournisseurs afin de déterminer les menaces qui pèsent sur les systèmes et les données, en fonction de la criticité du fournisseur.

Rassemblez les données dans un seul registre des risques avec des rapports de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque.

Inclure les conditions de sécurité de cyber dans le contrat du fournisseur, ou identifier les produits livrables spécifiques à mesurer.

Utiliser une solution de gestion du cycle de vie des contrats qui centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Cette solution permet de s'assurer que les principales dispositions contractuelles, telles que les indicateurs clés de performance (KPI), les indicateurs clés de risque (KRI) et les accords de niveau de service (SLA), sont incluses dans les contrats avec les fournisseurs et appliquées tout au long de la relation.

Fournir des preuves à l'appui, telles que des certifications ou des rapports d'audit établis par des évaluateurs tiers qualifiés.

Demander au vendeur de fournir une nomenclature des logiciels (SBOM) énumérant tous les composants de son logiciel et/ou de son micrologiciel qui ont été développés par des tiers.

Effectuer une évaluation des risques liés à la passation de marchés (PRA).

Atténuer tous les risques élevés identifiés dans l'ARP.

Centraliser les documents, les pièces justificatives et les certifications des fournisseurs dans un profil de fournisseur unique associé aux évaluations des risques des fournisseurs et à un registre central des risques.

Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur.

Évaluation des risques

Le chapitre 2 des lignes directrices de sécurité stipule qu'"une fois qu'une relation avec un fournisseur est établie et que l'organisation a commencé à obtenir des produits ou des services de ce fournisseur, l'organisation a besoin d'un processus permettant d'identifier, d'évaluer et d'atténuer en permanence les risques résiduels et nouveaux posés par le fournisseur". Pour ce faire, le guide propose certaines des étapes présentées dans le tableau suivant.

Mesures d'atténuation suggérées Meilleures pratiques

Posez des questions spécifiques sur la protection de l'accès à distance grâce à l'authentification multifactorielle.

Utilisez un questionnaire qui ne pose que des questions pertinentes.

Prévoir des questionnaires distincts pour les fournisseurs de technologies de l'information et les fournisseurs de technologies de l'information et de la communication.

Envisagez des certifications telles que ISO 27001 ou SOC2.

Automatisez l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux fournisseurs à chaque étape du cycle de vie de ces derniers.

Tirez parti d'une bibliothèque qui comprend des centaines de modèles d'évaluation standardisés - y compris des questionnaires qui ciblent les domaines IT et OT - avec des capacités de personnalisation et des flux de travail et de remédiation intégrés pour tout automatiser, de la collecte et de l'analyse de l'enquête à l'évaluation des risques et à la création de rapports.

Si le fournisseur n'est pas en mesure de réaliser une évaluation standardisée ou s'il n'en a pas la volonté, il convient d'intégrer les certifications ISO ou les rapports SOC 2 dans le registre central des risques afin de gérer les risques liés à ce fournisseur parallèlement aux risques résultant des évaluations d'autres fournisseurs.

Validez les résultats de l'évaluation grâce à des informations continues sur les menaces ( cyber ). La consolidation de tous les renseignements dans un "panneau de verre unique" optimisera vos efforts d'analyse des risques.

Aligner votre programme de TPRM sur les 14 normes de l'industrie

Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.

Lire la suite
Ressources présentées manuel de conformité normes industrielles

Atténuer les risques pendant l'utilisation du produit ou du service

Le chapitre 3 des lignes directrices recommande à l'organisation de demander au fournisseur d'atténuer les risques identifiés lors de l'évaluation. L'objectif de l'atténuation des risques devrait être de ramener leur valeur à un niveau acceptable afin de réduire la probabilité et/ou l'impact du risque.

Les lignes directrices précisent que cela peut se faire par le biais d'un appel d'offres ou d'une mise en œuvre contractuelle, mais que les mesures correctives requises sont également un moyen important de mise en œuvre post-contractuelle. Le tableau ci-dessous présente quelques mesures d'atténuation sélectionnées dans les lignes directrices.

Mesures d'atténuation suggérées Meilleures pratiques

Inclure dans l'appel d'offres un libellé identifiant les risques de sécurité et les mesures d'atténuation que le fournisseur doit prendre pour y faire face.

Centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs. Cela permettra de s'assurer que les fournisseurs sont sélectionnés sur la base de mesures de sécurité essentielles ( cyber ).

Inclure dans le contrat des clauses documentant l'engagement du fournisseur à mettre en œuvre des contrôles de sécurité spécifiques, prévoir la possibilité pour l'organisation d'examiner les progrès réalisés par le fournisseur et définir des méthodes de communication future sur ces questions.

Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. En gérant les contrats d'approvisionnement de cette manière, vous vous assurez que les clauses de sécurité et les mesures d'exécution appropriées sont intégrées dans le contrat.

Définir des mesures correctives spécifiques.

Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur.

Vérification de l'atténuation des risques

Le chapitre 4 des lignes directrices exige de vérifier que le vendeur respecte les politiques et les mesures d'atténuation. Les actions possibles sont celles qui figurent dans le tableau suivant.

Mesures d'atténuation suggérées Meilleures pratiques

Documenter et communiquer au fournisseur l'écart de performance, le service attendu et les conditions contractuelles applicables ou l'engagement documenté.

Personnalisez les enquêtes pour faciliter la collecte et l'analyse des données nécessaires sur les performances et les contrats dans un registre des risques unique. Identifiez les principaux attributs contractuels relatifs aux accords de niveau de service ou aux performances, renseignez ces exigences dans une plateforme centrale et assignez des tâches à vous et à votre fournisseur à des fins de suivi.

Communiquer au vendeur que les mesures de performance seront prises en compte dans la notation ou l'évaluation future des nouveaux achats de produits ou de services.

Mesurez de manière centralisée les KPI et KRI des fournisseurs par rapport à vos exigences en les extrayant automatiquement du contrat du fournisseur.

Proposer des recommandations de remédiation pour s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante.

Évaluer la possibilité de mettre fin à la relation avec le fournisseur.

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, tirez parti d'enquêtes et de flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité avec les lois pertinentes, les paiements finaux, et plus encore.

Achat, résiliation et transition

Le chapitre 5 de la ligne directrice passe en revue les procédures requises pour mettre fin à une relation avec un fournisseur, y compris celles figurant dans le tableau ci-dessous.

Mesures d'atténuation suggérées Meilleures pratiques

Identifier et atténuer les risques associés à la résiliation ou à la transition (par exemple, détention d'informations sensibles).

Dresser l'inventaire des informations sensibles que le fournisseur détient sur les systèmes et réseaux de l'organisation et exiger de lui qu'il atteste que toutes les informations ont été supprimées.

Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation.

  • Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.

  • Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.

  • Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.

  • Prenez des mesures concrètes pour réduire le risque lié aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.

  • Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.

Prochaines étapes : Respecter les directives de sécurité du NERC pour le cycle de vie de la gestion du risque fournisseur

Les directives de sécurité du NERC pour le cycle de vie de la gestion du risque fournisseur fournissent des recommandations fondamentales pour atténuer les risques de cybersécurité introduits dans votre organisation d'infrastructure critique. Pour obtenir de l'aide dans la mise en œuvre de ces meilleures pratiques, planifiez une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo