Le National Institute of Standards and Technology (NIST) est une agence fédérale relevant du ministère du Commerce des États-Unis, chargée notamment d'établir des normes et des lignes directrices relatives à l'informatique et aux technologies de l'information à l'intention des agences fédérales. L'une de ces lignes directrices du NIST est la publication spéciale (SP) 800-161. Actuellement en révision 1 et mise à jour en 2022, la NIST SP 800-161 définit un cadre complémentaire à la NIST SP 800-53 qui permet d'encadrer, d'évaluer, de répondre et de surveiller les risques liés à la chaîne d'approvisionnement en matière de cybersécurité.
Le document SP 800-161 intègre la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM) dans les activités de gestion des risques en appliquant une approche à plusieurs niveaux, spécifique à la C-SCRM. Elle fournit des conseils sur l'élaboration de plans de mise en œuvre de la stratégie C-SCRM, de politiques C-SCRM, de plans C-SCRM et d'évaluations des risques pour les produits et les services. En raison de l'exhaustivité de son sujet, cette norme est devenue un cadre adopté au niveau mondial pour la mise en œuvre et le maintien des contrôles de gestion des risques de la chaîne d'approvisionnement.
Ce billet examine les contrôles de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité applicables dans la famille de contrôles SP 800-53r5 Supply Chain Risk Management (SR) avec des conseils supplémentaires NIST SP 800-161r1. Il identifie les meilleures pratiques que vous pouvez utiliser pour répondre aux exigences du NIST en matière de renforcement de la sécurité de la chaîne d'approvisionnement.
Naviguer dans la gestion des risques de la chaîne d'approvisionnement avec NIST SP 800-161
Téléchargez la liste de contrôle pour la conformité : NIST SP 800-161 et la gestion des risques de la chaîne d'approvisionnement pour comparer votre programme TPRM aux directives NIST relatives aux risques de la chaîne d'approvisionnement.
NOTE : Ce billet inclut uniquement certains contrôles C-SCRM dans la famille de contrôles de la gestion des risques de la chaîne d'approvisionnement (SR). Pour obtenir une liste complète des contrôles, veuillez consulter le guide SP 800-161 dans son intégralité et consulter votre auditeur.
SP 800-53r5 Contrôles spécifiques à la chaîne d'approvisionnement et SP 800-161r1 Orientations pour la gestion des risques de cybersécurité |
Capacités en matière de bonnes pratiques |
Politique et procédures SR-1 Élaborer, documenter et diffuser : Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : ...Les fonctions de l'entreprise, y compris, mais sans s'y limiter, la sécurité de l'information, le service juridique, la gestion des risques et les acquisitions, devraient examiner et approuver l'élaboration de politiques et de procédures C-SCRM ou fournir des orientations aux propriétaires de systèmes pour l'élaboration de procédures C-SCRM spécifiques à ces systèmes. SR-2 Plan de gestion des risques de la chaîne d'approvisionnement a. Élaborer un plan de gestion des risques de la chaîne d'approvisionnement associés à la recherche et au développement, à la conception, à la fabrication, à l'acquisition, à la livraison, à l'intégration, à l'exploitation et à la maintenance, ainsi qu'à l'élimination des systèmes, des composants de systèmes ou des services de systèmes. Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : Les plans C-SCRM décrivent les mises en œuvre, les exigences, les contraintes et les implications au niveau du système. ... Les plans C-SCRM doivent être élaborés en tant que document autonome et n'être intégrés dans les plans de sécurité des systèmes existants que si les contraintes de l'entreprise l'exigent. SR-3 Contrôles et processus de la chaîne d'approvisionnement a. Mettre en place un ou plusieurs processus permettant d'identifier et de traiter les faiblesses ou les insuffisances des éléments et des processus de la chaîne d'approvisionnement, en coordination avec le personnel chargé de la chaîne d'approvisionnement ; Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : ... Les ministères et les agences devraient ... mettre en œuvre ces orientations conformément au décret 14028 sur l'amélioration de la cybersécurité de la nation. |
Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité. Recherchez des experts pour collaborer avec votre équipe :
Dans le cadre de ce processus, vous devez définir :
Évaluer en permanence l'efficacité de votre programme de gestion des relations avec les tiers en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR) des fournisseurs tiers tout au long du cycle de vie de la relation. |
SR-4 (4) Provenance - intégrité de la chaîne d'approvisionnement - pedigree Utiliser des contrôles et des analyses pour garantir l'intégrité du système et de ses composants en validant la composition interne et la provenance des technologies, produits et services critiques ou essentiels à la mission. Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : La provenance doit être documentée pour les systèmes, leurs composants et les données associées tout au long du cycle de développement durable. Les entreprises doivent envisager de produire des SBOM pour les classes de logiciels applicables et appropriées, y compris les logiciels achetés, les logiciels libres et les logiciels internes... |
Dans le cadre du processus de diligence raisonnable, exigez des fournisseurs qu'ils mettent à jour les nomenclatures de leurs produits logiciels. Cela vous aidera à identifier toute vulnérabilité potentielle ou tout problème de licence susceptible d'avoir une incidence sur la sécurité et la conformité de votre organisation. |
SR-5 Stratégies, outils et méthodes d'acquisition Utiliser des stratégies d'acquisition, des outils contractuels et des méthodes de passation de marchés pour se protéger contre les risques liés à la chaîne d'approvisionnement, les identifier et les atténuer. Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : ... Les ministères et les agences devraient ... mettre en œuvre ces orientations conformément au décret 14028 sur l'amélioration de la cybersécurité de la nation. |
Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet la comparaison sur des attributs clés. Comme tous les fournisseurs de services sont centralisés et examinés, les équipes devraient créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes. Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions relatives à la sélection des fournisseurs. |
SR-6 Évaluations et examens des fournisseurs Évaluer et examiner les risques liés à la chaîne d'approvisionnement associés aux fournisseurs ou aux sous-traitants et au système, au composant de système ou au service de système qu'ils fournissent. Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : D'une manière générale, une entreprise doit prendre en considération toute information relative à la sécurité, à l'intégrité, à la résilience, à la qualité, à la fiabilité ou à l'authenticité du fournisseur ou des services ou produits qu'il fournit. Les entreprises devraient envisager d'appliquer ces informations à un ensemble cohérent de facteurs de base et de critères d'évaluation afin de faciliter une comparaison équitable (entre les fournisseurs et les heures supplémentaires). En fonction du contexte spécifique et de l'objectif pour lequel l'évaluation est menée, l'entreprise peut sélectionner des facteurs supplémentaires. La qualité des informations (pertinence, exhaustivité, exactitude, etc.) utilisées pour l'évaluation est également un élément important. Les sources de référence pour les informations d'évaluation doivent également être documentées... |
Suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Les sources de surveillance sont généralement les suivantes
Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse. |
Accords de notification SR-8 Établir des accords et des procédures avec les entités impliquées dans la chaîne d'approvisionnement du système, du composant du système ou du service du système pour la notification des compromissions de la chaîne d'approvisionnement et des résultats des évaluations ou des audits. Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : Au minimum, les entreprises doivent exiger de leurs fournisseurs qu'ils établissent des accords de notification avec les entités de leur chaîne d'approvisionnement qui ont un rôle ou une responsabilité en rapport avec ce service ou ce produit critique... |
Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les principales fonctionnalités sont les suivantes :
Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence. |
SR-13 Inventaire des fournisseurs Élaborer, documenter et tenir à jour un inventaire des fournisseurs qui : Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : Les entreprises font appel à de nombreux fournisseurs pour mener à bien leurs missions et leurs fonctions. Nombre d'entre eux fournissent des produits et des services à l'appui de plusieurs missions, fonctions, programmes, projets et systèmes. Certains fournisseurs sont plus critiques que d'autres, en fonction de la criticité des missions, fonctions, programmes, projets et systèmes que leurs produits et services soutiennent, et du niveau de dépendance de l'entreprise à l'égard du fournisseur. Les entreprises doivent utiliser l'analyse de la criticité pour déterminer quels produits et services sont essentiels à la détermination de la criticité des fournisseurs à documenter dans l'inventaire des fournisseurs... |
Centraliser toutes les informations sur les fournisseurs dans un seul profil de fournisseur afin que tous les services en contact avec les fournisseurs disposent des mêmes informations, améliorant ainsi la visibilité et la prise de décision. Importez les fournisseurs par le biais d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement existante, éliminant ainsi les processus manuels sujets aux erreurs. Renseignez les détails clés du fournisseur à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Ce formulaire devrait être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions. Établissez des profils de fournisseurs complets qui comparent et surveillent les données démographiques, la situation géographique, les technologies de quatrième partie et les informations opérationnelles récentes des fournisseurs. L'accumulation de ces données vous permettra de signaler les risques de concentration géographique et technologique et de prendre des mesures à leur égard. |
Prevalent offre une plateforme centrale et automatisée pour la mise à l'échelle de la gestion des risques des tiers et de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité. Avec Prevalent, votre équipe peut :
Pour en savoir plus sur la façon dont Prevalent peut vous aider à respecter les directives du NIST , demandez une démonstration de la solution dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024