Utilisation de la norme NIST SP 800-161 pour la gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité

SP 800-53r5 Contrôles spécifiques à la chaîne d'approvisionnement et SP 800-161r1 Orientations pour la gestion des risques de cybersécurité

Capacités en matière de bonnes pratiques

Politique et procédures SR-1

Élaborer, documenter et diffuser :
1. Une politique de gestion des risques liés à la chaîne d'approvisionnement qui
(a) qui traite de l'objectif, du champ d'application, des rôles, des responsabilités, de l'engagement de la direction, de la coordination entre les entités organisationnelles et de la conformité ; et
(b) est cohérente avec les lois, décrets, directives, règlements, politiques, normes et lignes directrices applicables ; et
2. Les procédures visant à faciliter la mise en œuvre de la politique de gestion des risques liés à la chaîne d'approvisionnement et des contrôles de gestion des risques liés à la chaîne d'approvisionnement qui y sont associés ;
b. Désigner un fonctionnaire chargé de gérer l'élaboration, la documentation et la diffusion de la politique et des procédures de gestion des risques liés à la chaîne d'approvisionnement ; et
c. Examiner et mettre à jour la politique actuelle de gestion des risques liés à la chaîne d'approvisionnement :
1. Politique et
2. Procédures

Applicable SP 800-161r1 Cybersecurity Risk Management Guidance :

...Les fonctions de l'entreprise, y compris, mais sans s'y limiter, la sécurité de l'information, le service juridique, la gestion des risques et les acquisitions, devraient examiner et approuver l'élaboration de politiques et de procédures C-SCRM ou fournir des orientations aux propriétaires de systèmes pour l'élaboration de procédures C-SCRM spécifiques à ces systèmes.

SR-2 Plan de gestion des risques de la chaîne d'approvisionnement

a. Élaborer un plan de gestion des risques de la chaîne d'approvisionnement associés à la recherche et au développement, à la conception, à la fabrication, à l'acquisition, à la livraison, à l'intégration, à l'exploitation et à la maintenance, ainsi qu'à l'élimination des systèmes, des composants de systèmes ou des services de systèmes.
b. de réexaminer et d'actualiser le plan de gestion des risques liés à la chaîne d'approvisionnement en fonction des besoins, afin de tenir compte des changements liés aux menaces, à l'organisation ou à l'environnement ; et
c. Protéger le plan de gestion des risques liés à la chaîne d'approvisionnement contre toute divulgation ou modification non autorisée.

Applicable SP 800-161r1 Cybersecurity Risk Management Guidance :

Les plans C-SCRM décrivent les mises en œuvre, les exigences, les contraintes et les implications au niveau du système. ... Les plans C-SCRM doivent être élaborés en tant que document autonome et n'être intégrés dans les plans de sécurité des systèmes existants que si les contraintes de l'entreprise l'exigent.

SR-3 Contrôles et processus de la chaîne d'approvisionnement

a. Mettre en place un ou plusieurs processus permettant d'identifier et de traiter les faiblesses ou les insuffisances des éléments et des processus de la chaîne d'approvisionnement, en coordination avec le personnel chargé de la chaîne d'approvisionnement ;
b. mettre en œuvre les contrôles suivants pour se prémunir contre les risques liés à la chaîne d'approvisionnement pour le système, les composants du système ou les services du système et pour limiter les dommages ou les conséquences des événements liés à la chaîne d'approvisionnement ; et
c. Documenter les processus et contrôles de la chaîne d'approvisionnement sélectionnés et mis en œuvre dans le plan de gestion des risques liés à la chaîne d'approvisionnement.

Applicable SP 800-161r1 Cybersecurity Risk Management Guidance :

... Les ministères et les agences devraient ... mettre en œuvre ces orientations conformément au décret 14028 sur l'amélioration de la cybersécurité de la nation.

Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.

Recherchez des experts pour collaborer avec votre équipe :

• Définir et mettre en œuvre des processus et des solutions TPRM et C-SCRM
• Sélection des questionnaires et des cadres d'évaluation des risques
• Optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétence au risque de votre organisation.

Dans le cadre de ce processus, vous devez définir :

• Rôles et responsabilités clairs (par exemple, RACI)
• Inventaires de tiers
• Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.

Évaluer en permanence l'efficacité de votre programme de gestion des relations avec les tiers en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR) des fournisseurs tiers tout au long du cycle de vie de la relation.

SR-4 (4) Provenance - intégrité de la chaîne d'approvisionnement - pedigree

Utiliser des contrôles et des analyses pour garantir l'intégrité du système et de ses composants en validant la composition interne et la provenance des technologies, produits et services critiques ou essentiels à la mission.

Applicable SP 800-161r1 Cybersecurity Risk Management Guidance :

La provenance doit être documentée pour les systèmes, leurs composants et les données associées tout au long du cycle de développement durable. Les entreprises doivent envisager de produire des SBOM pour les classes de logiciels applicables et appropriées, y compris les logiciels achetés, les logiciels libres et les logiciels internes...

Dans le cadre du processus de diligence raisonnable, exigez des fournisseurs qu'ils mettent à jour les nomenclatures de leurs produits logiciels. Cela vous aidera à identifier toute vulnérabilité potentielle ou tout problème de licence susceptible d'avoir une incidence sur la sécurité et la conformité de votre organisation.

SR-5 Stratégies, outils et méthodes d'acquisition

Utiliser des stratégies d'acquisition, des outils contractuels et des méthodes de passation de marchés pour se protéger contre les risques liés à la chaîne d'approvisionnement, les identifier et les atténuer.

Applicable SP 800-161r1 Cybersecurity Risk Management Guidance :

... Les ministères et les agences devraient ... mettre en œuvre ces orientations conformément au décret 14028 sur l'amélioration de la cybersécurité de la nation.

Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet la comparaison sur des attributs clés.

Comme tous les fournisseurs de services sont centralisés et examinés, les équipes devraient créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes.

Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions relatives à la sélection des fournisseurs.

SR-6 Évaluations et examens des fournisseurs

Évaluer et examiner les risques liés à la chaîne d'approvisionnement associés aux fournisseurs ou aux sous-traitants et au système, au composant de système ou au service de système qu'ils fournissent.

Applicable SP 800-161r1 Cybersecurity Risk Management Guidance :

D'une manière générale, une entreprise doit prendre en considération toute information relative à la sécurité, à l'intégrité, à la résilience, à la qualité, à la fiabilité ou à l'authenticité du fournisseur ou des services ou produits qu'il fournit. Les entreprises devraient envisager d'appliquer ces informations à un ensemble cohérent de facteurs de base et de critères d'évaluation afin de faciliter une comparaison équitable (entre les fournisseurs et les heures supplémentaires). En fonction du contexte spécifique et de l'objectif pour lequel l'évaluation est menée, l'entreprise peut sélectionner des facteurs supplémentaires. La qualité des informations (pertinence, exhaustivité, exactitude, etc.) utilisées pour l'évaluation est également un élément important. Les sources de référence pour les informations d'évaluation doivent également être documentées...

Suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance sont généralement les suivantes

• Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

Accords de notification SR-8

Établir des accords et des procédures avec les entités impliquées dans la chaîne d'approvisionnement du système, du composant du système ou du service du système pour la notification des compromissions de la chaîne d'approvisionnement et des résultats des évaluations ou des audits.

Applicable SP 800-161r1 Cybersecurity Risk Management Guidance :

Au minimum, les entreprises doivent exiger de leurs fournisseurs qu'ils établissent des accords de notification avec les entités de leur chaîne d'approvisionnement qui ont un rôle ou une responsabilité en rapport avec ce service ou ce produit critique...

Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les principales fonctionnalités sont les suivantes :

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

SR-13 Inventaire des fournisseurs

Élaborer, documenter et tenir à jour un inventaire des fournisseurs qui :
1. Reflète de manière précise et minimale les fournisseurs de premier rang de l'organisation qui peuvent présenter un risque de cybersécurité dans la chaîne d'approvisionnement ;
2. Est établi au niveau de granularité jugé nécessaire pour évaluer la criticité et le risque de la chaîne d'approvisionnement, pour assurer le suivi et pour établir des rapports ;
3. Documenter les informations suivantes pour chaque fournisseur de niveau 1 (par exemple, le maître d'œuvre) : examiner et mettre à jour l'inventaire des fournisseurs.
i. Identification unique de l'instrument de passation de marchés (contrat, tâche ou ordre de livraison) ;
ii. Description des produits et/ou services fournis ;
iii. Programme, projet et/ou système utilisant les produits et/ou services du fournisseur ; et
iv. Niveau de criticité attribué qui correspond à la criticité du programme, du projet et/ou du système (ou d'un composant du système).
b. Examiner et mettre à jour l'inventaire des fournisseurs.

Applicable SP 800-161r1 Cybersecurity Risk Management Guidance :

Les entreprises font appel à de nombreux fournisseurs pour mener à bien leurs missions et leurs fonctions. Nombre d'entre eux fournissent des produits et des services à l'appui de plusieurs missions, fonctions, programmes, projets et systèmes. Certains fournisseurs sont plus critiques que d'autres, en fonction de la criticité des missions, fonctions, programmes, projets et systèmes que leurs produits et services soutiennent, et du niveau de dépendance de l'entreprise à l'égard du fournisseur. Les entreprises doivent utiliser l'analyse de la criticité pour déterminer quels produits et services sont essentiels à la détermination de la criticité des fournisseurs à documenter dans l'inventaire des fournisseurs...

Centraliser toutes les informations sur les fournisseurs dans un seul profil de fournisseur afin que tous les services en contact avec les fournisseurs disposent des mêmes informations, améliorant ainsi la visibilité et la prise de décision.

Importez les fournisseurs par le biais d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement existante, éliminant ainsi les processus manuels sujets aux erreurs.

Renseignez les détails clés du fournisseur à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Ce formulaire devrait être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions.

Établissez des profils de fournisseurs complets qui comparent et surveillent les données démographiques, la situation géographique, les technologies de quatrième partie et les informations opérationnelles récentes des fournisseurs. L'accumulation de ces données vous permettra de signaler les risques de concentration géographique et technologique et de prendre des mesures à leur égard.