15 Contrôles critiques NIST 800-53 pour la gestion des risques de la chaîne d'approvisionnement
La norme 800-53 Rev. 5 du National Institute of Standards and Technology (NIST) est un ensemble complet de contrôles de sécurité fondés sur les meilleures pratiques que de nombreuses organisations utilisent comme cadre pour leurs programmes de sécurité interne. La norme comporte plus de 1 000 contrôles différents organisés en familles de contrôles. Un tel éventail de contrôles disponibles peut rapidement devenir écrasant pour les équipes de sécurité, de gestion des risques et d'audit qui doivent déterminer quels sont les plus importants sur lesquels se concentrer. Lorsque vous êtes chargé d'évaluer non seulement les contrôles internes de votre propre organisation, mais aussi ceux de vos vendeurs et fournisseurs tiers, la tâche peut devenir encore plus complexe.
Dans ce billet, nous expliquons comment organiser les contrôles en fonctions, puis nous identifions les 15 contrôles NIST les plus essentiels pour évaluer le risque de sécurité des fournisseurs ou des vendeurs tiers.
Questions critiques pour organiser les contrôles du NIST 800-53 pour la gestion des risques de la chaîne d'approvisionnement
Lorsque vous vous demandez quels sont les contrôles de cybersécurité NIST les plus applicables en matière de gestion des risques d'approvisionnement, commencez par répondre à ces questions - classées dans l'une des cinq fonctions du cadre NIST :
- Identifier: Le fournisseur a-t-il identifié ses systèmes et composants critiques dans un cadre de gestion des risques ? C'est la base du développement d'un cadre de cybersécurité.
- Protéger: Le fournisseur a-t-il défini et mis en œuvre des contrôles pour gérer l'accès et la visibilité des systèmes critiques ? Il est essentiel de limiter ou de contenir les menaces par une gestion proactive des contrôles.
- Détecter: Le fournisseur a-t-il une visibilité sur les menaces nouvelles et émergentes ? Il est important d'identifier les événements (par exemple, les incidents, les faiblesses et les menaces) qui pourraient finalement affecter votre organisation.
- Répondre: Le fournisseur peut-il identifier et traiter les incidents et les menaces ? Il s'agit de prendre des mesures pour contenir et minimiser l'impact des incidents de cybersécurité.
- Récupération: Le fournisseur a-t-il la capacité de rétablir les systèmes et services essentiels ? Cette question détermine si le tiers peut restaurer les capacités ou les services touchés par un événement de cybersécurité.
Les 15 principaux contrôles de gestion des risques de la chaîne d'approvisionnement du NIST
Découvrez comment vous pouvez utiliser le NIST SP 800-53 comme base pour construire un programme de gestion des risques de la chaîne d'approvisionnement plus robuste.
Les 15 principaux contrôles NIST pour la gestion des risques de la chaîne d'approvisionnement
Le tableau suivant résume les 15 contrôles clés du NIST qui répondent aux questions ci-dessus, par fonction. Veuillez noter qu'il ne s'agit que des contrôles minimums. Vous devez consulter votre contrôleur pour la validation.
| Fonction | Contrôle NIST 800-53 |
|---|---|
|
Identifier Le fournisseur a-t-il identifié ses systèmes et composants critiques dans un cadre de gestion des risques ? |
RA-3 : Évaluation des risques - Effectuer des évaluations des risques, documenter les résultats, et revoir et mettre à jour les évaluations à des fréquences définies. SA-4 : Processus d'acquisition - Identifier les contrôles de sécurité et de confidentialité dans le cadre de l'acquisition de nouveaux systèmes. CM-8 : Inventaire des composants du système - Développer et documenter un inventaire des composants du système qui reflète fidèlement les systèmes. SR-2 : Plan de gestion des risques - Élaborer un plan de gestion des risques de la chaîne d'approvisionnement. |
|
Protéger Le fournisseur a-t-il défini et mis en place des contrôles pour gérer l'accès et la visibilité des systèmes critiques ? |
SC-7 : Protection des frontières - Surveiller et contrôler les communications aux interfaces gérées externes et internes. IA-2 : Identification et autorisation - Identifier et authentifier les utilisateurs de façon unique ; autorisation approuvée pour l'accès logique. AT-2 : Formation et sensibilisation - Les organisations doivent fournir une formation sur la sécurité et la confidentialité aux utilisateurs du système. CM-3 : Contrôle des changements - Déterminer et documenter les types de changements à apporter aux systèmes, enregistrer les changements, les surveiller et les réviser. AC-3 : Access Enforcement - Appliquer l'autorisation approuvée pour l'accès logique aux informations et aux ressources du système sur la base des politiques de contrôle d'accès. |
|
Détecter Le fournisseur a-t-il une visibilité sur les menaces nouvelles et émergentes ? |
RA-5 : Surveillance et analyse des vulnérabilités - surveiller et analyser les vulnérabilités des systèmes et des applications hébergées. SI-4 : Surveillance des systèmes - Les systèmes doivent être surveillés pour détecter les attaques et les indicateurs d'attaques potentielles. AU-2 : Enregistrement des événements - Identifier les types d'événements que les systèmes sont capables d'enregistrer. CP-2 : Planification des mesures d'urgence - Les organisations doivent tester le plan d'urgence des systèmes en utilisant des tests définis pour garantir l'efficacité du plan. CP-4 : Test de contingence - Tester l'efficacité du plan de contingence pour les systèmes à l'aide de tests définis. |
|
Réagir et se rétablir Le fournisseur peut-il identifier et gérer les incidents et les menaces ? A-t-il la capacité de récupérer les systèmes et services critiques ? |
IR-4 : Traitement et réponse aux incidents - Les organisations doivent mettre en place une capacité de traitement des incidents, alignée sur un plan de réponse aux incidents. |
Comment mettre en œuvre les 15 principaux contrôles NIST pour la gestion des risques de la chaîne d'approvisionnement ?
L'audit des contrôles NIST ne se limite pas à la simple identification des contrôles. Pour en savoir plus sur la façon de mettre en pratique ces contrôles NIST, téléchargez notre dossier exécutif, Les 15 principaux contrôles NIST de gestion des risques de la chaîne d'approvisionnement et regardez notre webinaire à la demande du même nom !
Prêt à aller plus loin ? Consultez la liste de contrôle de la conformité des tiers du NIST, qui donne un aperçu complet de la façon dont les pratiques de gestion des risques des tiers correspondent aux recommandations décrites dans les documents NIST 800-53, NIST 800-161 et NST CSF.
Contactez Prevalent dès aujourd'hui pour une évaluation gratuite de la maturité ou demandez une démo pour déterminer comment vos politiques actuelles de gestion de la chaîne d'approvisionnement se situent par rapport à ces contrôles critiques du NIST.
Tout commence ici
Vous êtes prêt à découvrir comment Prevalent peut soulager votre programme TPRM ? Demandez une démonstration gratuite et sans engagement dès aujourd'hui.
Demandez une démo-
Cadre NIST de protection de la vie privée pour la gestion des risques liés aux tiers
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024
-
La gestion des risques par des tiers et la règle des garanties de la loi Gramm-Leach-Bliley
Prenez en compte ces bonnes pratiques pour vous assurer que les fournisseurs de services tiers protègent correctement les données NPI de vos clients.
09/04/2024
-
Loi européenne sur la résilience opérationnelle numérique (DORA) et gestion des risques liés aux tiers
La mise en conformité étant obligatoire d'ici janvier 2025, le moment est venu pour les organisations d'examiner leurs...
09/03/2024
-
Prêt pour une démonstration ?
- Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
- Demander une démo