Reconnaissant que de nombreux risques de sécurité cyber pour les infrastructures critiques proviennent de fournisseurs tiers, la North American Electric Reliability Corporation (NERC) a publié un guide de sécurité pour le cycle de vie de la gestion des risques liés aux fournisseurs (Security Guideline for the Vendor Risk Management Lifecycle). Cette directive donne des exemples de risques liés aux fournisseurs et propose des mesures d'atténuation que les organisations doivent prendre en compte lorsqu'elles élaborent leurs plans de gestion des risques de sécurité pour l'ensemble de la chaîne d'approvisionnement cyber - non seulement pour le système électrique en vrac (BES), mais aussi pour d'autres infrastructures critiques telles que les gazoducs, la production, la transmission et la distribution d'électricité, et d'autres domaines.
Ce billet examine les étapes du cycle de vie du risque fournisseur telles qu'identifiées dans les lignes directrices de sécurité du NERC, et passe en revue les meilleures pratiques pour atténuer les risques de cybersécurité pour les infrastructures critiques à chaque étape.
Les lignes directrices du NERC en matière de sécurité définissent les étapes suivantes du cycle de vie de la gestion des risques liés aux fournisseurs.
Les lignes directrices suggèrent ensuite que les processus soient documentés dans le plan de gestion des risques de sécurité de la chaîne d'approvisionnement cyber de l'organisation pour les environnements de technologie de l'information (TI) et de technologie opérationnelle (TO) à chaque étape du cycle de vie. Ces étapes sont examinées ci-après.
Le chapitre 1 des lignes directrices précise que "pour décider quels fournisseurs doivent être invités à participer à l'appel d'offres, l'organisation peut prendre en considération les listes d'entités approuvées, les sources de renseignements et les informations accessibles au public (par exemple, l'historique de la gestion des vulnérabilités, l'hygiène des sites web)".
Pour répondre à cette directive, comparez dans un même tableau les données géographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. La centralisation de ces informations en fonction des réponses à l'appel d'offres vous permet d'avoir une vision globale des fournisseurs - à la fois de leur adéquation à l'objectif et de leur adéquation à l'appétence au risque de votre organisation.
Le tableau ci-dessous présente les autres mesures d'atténuation suggérées au chapitre 1.
Mesures d'atténuation suggérées | Meilleures pratiques |
---|---|
Recueillir des informations sur les plans d'atténuation du fournisseur pour les risques de sécurité spécifiques à la chaîne d'approvisionnement cyber , à l'aide d'une évaluation ciblée ne contenant que des questions pertinentes. |
Utiliser une évaluation personnalisable pour rassembler et corréler les contrôles des fournisseurs afin de déterminer les menaces qui pèsent sur les systèmes et les données, en fonction de la criticité du fournisseur. Rassemblez les données dans un seul registre des risques avec des rapports de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque. |
Inclure les conditions de sécurité de cyber dans le contrat du fournisseur, ou identifier les produits livrables spécifiques à mesurer. |
Utiliser une solution de gestion du cycle de vie des contrats qui centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Cette solution permet de s'assurer que les principales dispositions contractuelles, telles que les indicateurs clés de performance (KPI), les indicateurs clés de risque (KRI) et les accords de niveau de service (SLA), sont incluses dans les contrats avec les fournisseurs et appliquées tout au long de la relation. |
Fournir des preuves à l'appui, telles que des certifications ou des rapports d'audit établis par des évaluateurs tiers qualifiés. Demander au vendeur de fournir une nomenclature des logiciels (SBOM) énumérant tous les composants de son logiciel et/ou de son micrologiciel qui ont été développés par des tiers. Effectuer une évaluation des risques liés à la passation de marchés (PRA). Atténuer tous les risques élevés identifiés dans l'ARP. |
Centraliser les documents, les pièces justificatives et les certifications des fournisseurs dans un profil de fournisseur unique associé aux évaluations des risques des fournisseurs et à un registre central des risques. Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur. |
Le chapitre 2 des lignes directrices de sécurité stipule qu'"une fois qu'une relation avec un fournisseur est établie et que l'organisation a commencé à obtenir des produits ou des services de ce fournisseur, l'organisation a besoin d'un processus permettant d'identifier, d'évaluer et d'atténuer en permanence les risques résiduels et nouveaux posés par le fournisseur". Pour ce faire, le guide propose certaines des étapes présentées dans le tableau suivant.
Mesures d'atténuation suggérées | Meilleures pratiques |
---|---|
Posez des questions spécifiques sur la protection de l'accès à distance grâce à l'authentification multifactorielle. Utilisez un questionnaire qui ne pose que des questions pertinentes. Prévoir des questionnaires distincts pour les fournisseurs de technologies de l'information et les fournisseurs de technologies de l'information et de la communication. Envisagez des certifications telles que ISO 27001 ou SOC2. |
Automatisez l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux fournisseurs à chaque étape du cycle de vie de ces derniers. Tirez parti d'une bibliothèque qui comprend des centaines de modèles d'évaluation standardisés - y compris des questionnaires qui ciblent les domaines IT et OT - avec des capacités de personnalisation et des flux de travail et de remédiation intégrés pour tout automatiser, de la collecte et de l'analyse de l'enquête à l'évaluation des risques et à la création de rapports. Si le fournisseur n'est pas en mesure de réaliser une évaluation standardisée ou s'il n'en a pas la volonté, il convient d'intégrer les certifications ISO ou les rapports SOC 2 dans le registre central des risques afin de gérer les risques liés à ce fournisseur parallèlement aux risques résultant des évaluations d'autres fournisseurs. Validez les résultats de l'évaluation grâce à des informations continues sur les menaces ( cyber ). La consolidation de tous les renseignements dans un "panneau de verre unique" optimisera vos efforts d'analyse des risques. |
Aligner votre programme de TPRM sur les 14 normes de l'industrie
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Le chapitre 3 des lignes directrices recommande à l'organisation de demander au fournisseur d'atténuer les risques identifiés lors de l'évaluation. L'objectif de l'atténuation des risques devrait être de ramener leur valeur à un niveau acceptable afin de réduire la probabilité et/ou l'impact du risque.
Les lignes directrices précisent que cela peut se faire par le biais d'un appel d'offres ou d'une mise en œuvre contractuelle, mais que les mesures correctives requises sont également un moyen important de mise en œuvre post-contractuelle. Le tableau ci-dessous présente quelques mesures d'atténuation sélectionnées dans les lignes directrices.
Mesures d'atténuation suggérées | Meilleures pratiques |
---|---|
Inclure dans l'appel d'offres un libellé identifiant les risques de sécurité et les mesures d'atténuation que le fournisseur doit prendre pour y faire face. |
Centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs. Cela permettra de s'assurer que les fournisseurs sont sélectionnés sur la base de mesures de sécurité essentielles ( cyber ). |
Inclure dans le contrat des clauses documentant l'engagement du fournisseur à mettre en œuvre des contrôles de sécurité spécifiques, prévoir la possibilité pour l'organisation d'examiner les progrès réalisés par le fournisseur et définir des méthodes de communication future sur ces questions. |
Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. En gérant les contrats d'approvisionnement de cette manière, vous vous assurez que les clauses de sécurité et les mesures d'exécution appropriées sont intégrées dans le contrat. |
Définir des mesures correctives spécifiques. |
Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur. |
Le chapitre 4 des lignes directrices exige de vérifier que le vendeur respecte les politiques et les mesures d'atténuation. Les actions possibles sont celles qui figurent dans le tableau suivant.
Mesures d'atténuation suggérées | Meilleures pratiques |
---|---|
Documenter et communiquer au fournisseur l'écart de performance, le service attendu et les conditions contractuelles applicables ou l'engagement documenté. |
Personnalisez les enquêtes pour faciliter la collecte et l'analyse des données nécessaires sur les performances et les contrats dans un registre des risques unique. Identifiez les principaux attributs contractuels relatifs aux accords de niveau de service ou aux performances, renseignez ces exigences dans une plateforme centrale et assignez des tâches à vous et à votre fournisseur à des fins de suivi. |
Communiquer au vendeur que les mesures de performance seront prises en compte dans la notation ou l'évaluation future des nouveaux achats de produits ou de services. |
Mesurez de manière centralisée les KPI et KRI des fournisseurs par rapport à vos exigences en les extrayant automatiquement du contrat du fournisseur. Proposer des recommandations de remédiation pour s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. |
Évaluer la possibilité de mettre fin à la relation avec le fournisseur. |
Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, tirez parti d'enquêtes et de flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité avec les lois pertinentes, les paiements finaux, et plus encore. |
Le chapitre 5 de la ligne directrice passe en revue les procédures requises pour mettre fin à une relation avec un fournisseur, y compris celles figurant dans le tableau ci-dessous.
Mesures d'atténuation suggérées | Meilleures pratiques |
---|---|
Identifier et atténuer les risques associés à la résiliation ou à la transition (par exemple, détention d'informations sensibles). Dresser l'inventaire des informations sensibles que le fournisseur détient sur les systèmes et réseaux de l'organisation et exiger de lui qu'il atteste que toutes les informations ont été supprimées. |
Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation.
|
Les directives de sécurité du NERC pour le cycle de vie de la gestion du risque fournisseur fournissent des recommandations fondamentales pour atténuer les risques de cybersécurité introduits dans votre organisation d'infrastructure critique. Pour obtenir de l'aide dans la mise en œuvre de ces meilleures pratiques, planifiez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024