NERC Security Guideline for the Supply Chain Cyber Security Risk Management Lifecycle (Lignes directrices de la NERC en matière de sécurité pour le cycle de vie de la gestion des risques de sécurité de la chaîne d'approvisionnement)
En réponse à des attaques préjudiciables à la chaîne d'approvisionnement telles que celles de SolarWinds, Kaseya et Colonial Pipeline, la North American Electric Reliability Corporation (NERC) a publié une directive de sécurité pour le cycle de vie de la gestion des risques de sécurité de la chaîne d'approvisionnement Cyber . Cette directive recommande aux organisations d'infrastructures critiques, telles que les services publics d'électricité, les fournisseurs de gaz naturel et autres, d'identifier, d'évaluer et d'atténuer les risques liés à la sécurité de la chaîne d'approvisionnement cyber pour leurs actifs technologiques opérationnels (OT) critiques. Les perturbations des systèmes OT, telles que celles provoquées par les incidents de la chaîne d'approvisionnement, peuvent entraîner des pannes des services publics et avoir des répercussions négatives de grande ampleur sur la société dans son ensemble.
Ce billet examine les étapes clés de l'identification, de l'évaluation et de l'atténuation des risques de sécurité de la chaîne d'approvisionnement cyber , conformément aux lignes directrices de sécurité du NERC, et passe en revue les meilleures pratiques pour réduire les risques pour les infrastructures critiques.
Identification des risques
Le chapitre 1 des lignes directrices précise que "le premier objectif de l'organisation dans le cadre du processus de gestion des risques de sécurité de la chaîne d'approvisionnement cyber est d'identifier les risques pour ses biens OT critiques qui pourraient avoir un impact élevé ou une forte probabilité de compromission, en fonction du fournisseur".
Pour répondre à cette ligne directrice, construire :
- Une méthodologie de notation à deux axes basée sur la probabilité de compromission et l'impact sur l'organisation, créant une matrice de type carte thermique dans laquelle les risques sont représentés.
- Règles automatisées permettant d'attribuer des notes si la réponse d'un fournisseur à une question d'évaluation n'atteint pas un seuil de risque acceptable, ce qui permet d'intégrer les risques dans la matrice.
- Rapport pour trier les risques en fonction de la note la plus élevée dans la matrice.
- Mesures correctives personnalisées à recommander au fournisseur pour atténuer le risque.
Mais avant cela, il convient de procéder à une évaluation du profilage et de la hiérarchisation afin de suivre et de quantifier les risques inhérents à tous les fournisseurs. À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer et hiérarchiser les fournisseurs (y compris identifier ceux qui sont jugés critiques), fixer des niveaux appropriés de diligence supplémentaire à partir de cette base de référence et déterminer la portée des évaluations continues.
Évaluation des risques
Le chapitre 2 des lignes directrices de sécurité stipule que "Une fois que l'organisation a identifié les risques, elle doit évaluer ses fournisseurs afin de déterminer le degré de risque qu'ils représentent par rapport à chaque risque identifié ; dans la plupart des cas, l'évaluation des fournisseurs sera effectuée au moyen d'un questionnaire".
Pour répondre à ces exigences, automatisez les évaluations des risques afin d'étendre la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques de la chaîne d'approvisionnement à chaque étape du cycle de vie des fournisseurs. Tirez parti d'une bibliothèque qui comprend des centaines de modèles d'évaluation standardisés, avec des capacités de personnalisation, un flux de travail intégré et des mesures correctives pour tout automatiser, de la collecte et de l'analyse de l'enquête à l'évaluation des risques et à la création de rapports. Veillez à ce que la plateforme d'évaluation choisie comprenne des évaluations spécifiques pour les rapports sur les infrastructures critiques et les meilleures pratiques, telles que le cadre du National Institute of Standards and Technology (NIST) pour l'amélioration de la cybersécurité des infrastructures critiques.
Dans le cadre du processus d'évaluation des risques, il convient de suivre et d'analyser en permanence les menaces externes qui pèsent sur les fournisseurs en surveillant l'Internet et le "dark web" à la recherche de menaces et de vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification divulguées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données d'atteintes à la protection des données.
Une capacité importante à ce stade est de corréler les résultats de la surveillance continue avec les réponses de l'évaluation afin de valider les contrôles. Il n'est pas possible d'y parvenir en utilisant des feuilles de calcul pour l'évaluation des risques ou des outils hétéroclites pour la surveillance de la sécurité sur le site cyber .
Atténuer les risques
Le chapitre 3 des lignes directrices recommande à l'organisation de demander au fournisseur d'atténuer les risques identifiés lors de l'évaluation. L'objectif de l'atténuation des risques devrait être de ramener leur valeur à un niveau acceptable afin de réduire la probabilité et/ou l'impact du risque.
Les lignes directrices précisent que cela peut se faire par le biais d'un appel d'offres ou d'une mise en œuvre contractuelle, mais que les mesures correctives requises sont également un moyen important de mise en œuvre post-contractuelle. Le tableau ci-dessous présente quelques mesures d'atténuation sélectionnées dans les lignes directrices.
| Mesures d'atténuation suggérées | Meilleures pratiques |
|---|---|
|
Inclure dans l'appel d'offres un libellé identifiant les risques de sécurité et les mesures d'atténuation que le fournisseur doit prendre pour y faire face. |
Centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs. Cela permettra de s'assurer que les fournisseurs sont sélectionnés sur la base de mesures de sécurité essentielles ( cyber ). |
|
Inclure dans le contrat des clauses documentant l'engagement du fournisseur à mettre en œuvre des contrôles de sécurité spécifiques, prévoir la possibilité pour l'organisation d'examiner les progrès réalisés par le fournisseur et définir des méthodes de communication future sur ces questions. |
Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. En gérant les contrats d'approvisionnement de cette manière, vous vous assurez que les clauses de sécurité et les mesures d'exécution appropriées sont intégrées dans le contrat. |
|
Définir des mesures correctives spécifiques. |
Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur. |
Achats et installations
Le chapitre 4 des lignes directrices exige que des mesures d'atténuation des risques de sécurité de la chaîne d'approvisionnement cyber soient envisagées tout au long du cycle de vie d'un produit ou d'un service afin de réduire le niveau de risque qui a été initialement évalué comme étant élevé. Cela nécessitera une évaluation de base des risques au début du processus de passation de marché, suivie par :
- Profilage, hiérarchisation et notation du risque inhérent de tous les fournisseurs afin de vous permettre de vous concentrer sur les fournisseurs critiques.
- Évaluer et contrôler en permanence les fournisseurs sur la base des résultats de l'évaluation des risques inhérents de base.
- Mesurer le respect des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) contractuels.
- Analyser les risques, prendre des mesures correctives et établir des rapports conformément aux meilleures pratiques du secteur.
Mise à jour du plan de gestion des risques
Le chapitre 5 des lignes directrices suggère que le plan de gestion des risques de sécurité de la chaîne d'approvisionnement cyber soit mis à jour au moins une fois par an. Il s'agira d'identifier les nouveaux risques, de réévaluer les fournisseurs et de revoir les mesures d'atténuation en conséquence - les tâches décrites aux chapitres 1 à 3 étant répétées si nécessaire.
Pour optimiser votre programme afin de prendre en compte l'ensemble du cycle de vie du risque fournisseur, mettez-le à jour en permanence :
- Réglementer les politiques, les normes, les systèmes et les processus pour protéger les systèmes
- Rôles et responsabilités de l'organisation (par exemple, RACI)
- Inventaires et criticité des fournisseurs
- Règles et seuils d'évaluation des risques basés sur la tolérance au risque de votre organisation
- Méthodes d'évaluation et de suivi basées sur la criticité des fournisseurs
- Cartographie de la quatrième et de la troisième partie pour comprendre l'écosystème étendu des fournisseurs
- Sources de données de surveillance continue de la sécurité cyber
- Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
- Conformité et exigences de rapports contractuels par rapport aux niveaux de service
- Exigences en matière de réponse aux incidents
- Rapports sur les risques et les parties prenantes internes
- Stratégies d'atténuation des risques et de remédiation
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Prochaines étapes : Respecter les directives de sécurité du NERC pour la chaîne d'approvisionnement Cyber Cycle de vie de la gestion des risques de sécurité
Les directives de sécurité du NERC pour le cycle de vie de la gestion des risques de sécurité de la chaîne d'approvisionnement Cyber fournissent des recommandations fondamentales pour atténuer les risques de sécurité cyber introduits dans votre organisation d'infrastructure critique. Pour obtenir de l'aide dans la mise en œuvre de ces meilleures pratiques, planifiez une démonstration dès aujourd'hui.
Tout commence ici
Vous êtes prêt à découvrir comment Prevalent peut soulager votre programme TPRM ? Demandez une démonstration gratuite et sans engagement dès aujourd'hui.
Demandez une démo-
Règles de divulgation de la SEC en matière de cybersécurité : 9 questions clés à poser aux tiers
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
-
NIST CSF 2.0 : Implications pour votre programme de gestion des risques liés aux tiers
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
-
Cadre NIST de protection de la vie privée pour la gestion des risques liés aux tiers
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024
-
Prêt pour une démonstration ?
- Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
- Demander une démo