Les incidents liés à la sécurité de la chaîne d'approvisionnement font la une des journaux, une nouvelle violation étant annoncée chaque jour, qu'il s'agisse d'une intrusion dans un logiciel comme SolarWinds ou Okta ou d'une attaque de la chaîne d'approvisionnement comme celle de Toyota. Plus récemment, Microsoft a annoncé une intrusion liée à une clé compromise qui a permis un accès illicite aux données des clients.
Face au rythme soutenu des attaques de tiers, les équipes de sécurité se posent des questions : Que pourrait-il se passer ensuite ?
Pour de nombreuses organisations, la réponse est la suivante : vous devez mettre de l'ordre dans votre gestion des risques des tiers (TPRM) en vous appuyant sur les meilleures pratiques, les conseils et les références. Souvent, ces conseils proviennent de cadres de cybersécurité communs tels que le cadre de cybersécurité (CSF) du National Institute of Standards and Technology (NIST). Maintenant que la version 2.0 du CSF du NIST a été finalisée, des changements significatifs auront un impact sur la manière dont vous concevez et mettez en œuvre votre programme de gestion des risques technologiques pour faire face à ces risques.
Dans ce billet, j'examinerai les changements les plus importants apportés au NIST CSF en matière de gestion des risques des tiers (TPRM) et de C-SCRM, je passerai en revue ses fonctions essentielles et je recommanderai les meilleures pratiques pour le mettre en œuvre dans le cadre de votre programme de gestion des risques des tiers.
L'introduction de la fonction " Gouverner" montre à quel point la gouvernance de la cybersécurité est essentielle pour gérer et réduire les risques de cybersécurité dans les chaînes d'approvisionnement. Le contenu de la gouvernance qui figurait auparavant dans les autres fonctions ( identification, protection, détection, réaction et récupération ) a été transféré dans la fonction "gouvernance". Avec les changements proposés, la gouvernance de la cybersécurité comprend :
Selon le NIST, ces activités sont essentielles pour détecter les événements et incidents liés à la cybersécurité, y répondre et s'en remettre, ainsi que pour superviser les équipes qui mènent des activités de cybersécurité pour l'organisation.
Comme les organisations dépendent de plus en plus de tiers pour des services et des technologies essentiels, une gouvernance solide devient essentielle pour gérer ces risques de manière structurée et cohérente. L'inclusion de la fonction de gouvernance dans le NIST CSF 2.0 répond à ce besoin en alignant les pratiques de gestion des risques liés aux tiers sur les cadres plus larges de gouvernance d'entreprise.
Une fonction de gouvernance dédiée permettra d'aligner et d'intégrer les activités et les processus de cybersécurité des tiers dans les équipes de gestion des risques des tiers, de gestion des risques de l'entreprise et les équipes juridiques. Parmi les aspects à prendre en compte, citons
Renforcement de la responsabilité et de la prise de décision:
La fonction "Gouverner" du CCA 2.0 souligne l'importance de définir clairement les rôles et les responsabilités au sein des programmes de cybersécurité, notamment en ce qui concerne la gestion des risques liés aux tiers. En définissant les responsabilités, les organisations peuvent intégrer la gestion des risques liés aux tiers dans le cadre global de gouvernance, évitant ainsi qu'elle ne devienne fragmentée. Elle encourage l'attribution de responsabilités en matière d'évaluation des risques liés aux fournisseurs, de gestion des contrats et de contrôle continu de la conformité, ce qui permet de réduire les vulnérabilités. En outre, la fonction de gouvernance encourage la mise en place de processus formels d'évaluation des risques liés aux tiers et la prise de décisions éclairées concernant la sélection et la supervision des fournisseurs, en veillant à ce que ces choix soient conformes à la tolérance au risque et aux objectifs de cybersécurité de l'organisation.
Élaboration et mise en conformité des politiques :
La fonction de gouvernance encourage les organisations à élaborer des politiques couvrant tous les aspects de la gestion des risques liés aux tiers, depuis la sélection des fournisseurs jusqu'à la surveillance continue et la réponse aux incidents. Ces politiques garantissent que les fournisseurs satisfont aux exigences de sécurité, telles que l'adhésion à des normes spécifiques, la réalisation d'audits ou la mise en œuvre de contrôles de sécurité. En outre, la fonction de gouvernance traite de la conformité avec les politiques internes et les réglementations externes, en aidant les organisations à aligner la gestion des risques des tiers sur les normes du secteur, telles que HIPAA ou FFIEC, afin de garantir la conformité et d'éviter les pénalités.
Surveillance des risques et amélioration continue:
La gouvernance du NIST CSF 2.0 souligne l'importance d'une surveillance et d'une amélioration continues de la gestion des risques des tiers. Cet aspect est également souligné dans la section Amélioration de la catégorie Identifier. La fonction Gouverner invite les organisations à mettre en place des processus de révision et de mise à jour régulières de leurs pratiques de gestion des risques liés aux tiers. Cela permet aux organisations d'adapter leurs stratégies en fonction de l'évolution du paysage des menaces et des relations avec les tiers.
L'amélioration continue peut inclure la réévaluation des mesures de sécurité des fournisseurs, la réalisation d'audits et l'examen des rapports d'incidents émanant de tiers. Elle implique également la mise à jour des contrats et des accords de niveau de service (SLA) pour tenir compte des nouveaux risques de cybersécurité ou des exigences réglementaires. L'intégration de ces activités dans la gouvernance permet de surveiller et d'atténuer en permanence les risques liés aux tiers.
Conformément à l'ajout de la fonction de gouvernance, le CCA 2.0 met l'accent sur le rôle des équipes juridiques et de conformité. Pour le TPRM, ces groupes ont besoin de rapports précis et opportuns de la part des fournisseurs, des vendeurs et d'autres organisations tierces qui peuvent avoir accès à des données, des systèmes et des applications sensibles.
La mise à jour la plus importante du CCA 2.0 pour les équipes de gestion de la chaîne d'approvisionnement est l'amélioration des conseils sur la gestion des risques liés à la chaîne d'approvisionnement. Le CSF 2.0 comprend des résultats supplémentaires en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement (C-SCRM) afin d'aider les organisations à faire face à ces risques distincts. Selon le CSF, "l'objectif principal de la gestion du risque de cybersécurité de la chaîne d'approvisionnement est d'étendre les considérations de gestion du risque de cybersécurité de la première partie aux tiers, aux chaînes d'approvisionnement et aux produits et services qu'une organisation acquiert, sur la base de la criticité du fournisseur et de l'évaluation du risque".
La catégorie de la gestion des risques liés à la chaîne d'approvisionnement a été étendue à la nouvelle fonction "Govern ". Elle comprend de nouvelles dispositions relatives à l'intégration de la cybersécurité dans les contrats, à la résiliation des contrats et à l'évaluation continue des risques liés aux tiers dans l'ensemble de l'environnement de l'organisation.
Webinaire à la demande : NIST CSF 2.0 : Implications pour votre programme TPRM
Dans ce webinaire, Dave Shackleford, PDG de Voodoo Security et instructeur principal du SANS, partage son point de vue sur le NIST CSF et sur la manière dont le cadre 2.0 peut vous aider à gérer les risques liés à vos fournisseurs tiers.
Webinaire à la demande : NIST CSF 2.0 : Implications pour le TPRM
Rejoignez Dave Shackleford, PDG de Voodoo Security et instructeur principal de la SANS, pour partager ses idées sur le NIST CSF et sur la façon dont le cadre 2.0 peut vous aider à gérer les risques liés à vos fournisseurs tiers.
Le CCA s'articule autour de six fonctions essentielles : Gouverner, Identifier, Protéger, Détecter, Répondre et Récupérer. Les fonctions essentielles sont axées sur les résultats et ne sont pas considérées comme une liste d'actions par le NIST. Le graphique ci-dessous illustre les fonctions essentielles.
Les six fonctions essentielles du cadre de cybersécurité du NIST. Avec l'aimable autorisation du NIST.
Nouvelle fonction introduite avec la version 2.0, la fonction Gouvernance est fondamentale et conçue pour informer sur la manière dont une organisation atteindra et hiérarchisera les résultats des cinq autres fonctions dans le contexte de sa stratégie plus large de gestion des risques de l'entreprise. Elle comprend la supervision de la stratégie, des rôles, des responsabilités, des politiques, des processus et des procédures en matière de cybersécurité, et centralise les orientations en matière de gestion des risques liés à la chaîne d'approvisionnement en cybersécurité.
La fonction d'identification est conçue pour permettre de comprendre les actifs d'une organisation (par exemple, les données, le matériel, les logiciels, les systèmes, les installations, les services et le personnel) et les risques de cybersécurité qui y sont associés.
La fonction de protection offre des orientations spécifiques pour sécuriser les actifs afin de réduire la probabilité et l'impact des événements négatifs en matière de cybersécurité. Elle aborde des sujets tels que la sensibilisation et la formation, la sécurité des données, la gestion des identités, l'authentification et le contrôle d'accès, la sécurité des plateformes (c'est-à-dire la sécurisation du matériel, des logiciels et des services des plateformes physiques et virtuelles) et la résilience de l'infrastructure technologique.
La fonction de détection est destinée à permettre la découverte et l'analyse d'anomalies, d'indicateurs de compromission et d'autres événements potentiellement préjudiciables à la cybersécurité.
La fonction "réagir" comprend des lignes directrices visant à limiter l'impact des incidents de cybersécurité, telles que la gestion des incidents, l'analyse, l'atténuation, l'établissement de rapports et la communication.
La fonction de récupération comprend des lignes directrices pour le rétablissement des opérations normales afin de réduire l'impact des incidents de cybersécurité.
Presque toutes les fonctions comprennent des catégories et des sous-catégories qui s'appliquent directement à la gestion des risques liés aux tiers et à la gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité. Par exemple, la fonction "Identifier" est davantage axée sur l'identification des actifs et des risques, y compris les systèmes et services tiers. Les organisations sont encouragées à faire preuve de diligence raisonnable à l'égard des tiers afin d'identifier les vulnérabilités et de s'assurer de la conformité aux normes de cybersécurité. Les fonctions "Protéger" et "Détecter" fournissent des lignes directrices sur la mise en œuvre de contrôles de sécurité visant à atténuer les risques liés aux tiers, notamment en contrôlant l'accès et en veillant à ce que les fournisseurs respectent les politiques de sécurité.
Remarque : il s'agit d'un tableau récapitulatif et non d'une liste exhaustive des catégories du NIST. Pour une vue complète du NIST CSF, téléchargez la version complète. Travaillez avec votre équipe d'audit interne et vos auditeurs externes pour déterminer les catégories et sous-catégories sur lesquelles vous devez vous concentrer.
Fonction, catégorie et sous-catégorie | Meilleures pratiques |
---|---|
GOUVERNIR (GV) : La stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité sont établies, communiquées et contrôlées. |
|
Gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité (GV.SC) : Cyber Les processus de gestion des risques liés à la chaîne d'approvisionnement sont identifiés, établis, gérés, contrôlés et améliorés par les parties prenantes de l'organisation. |
|
GV.SC-01 : Un programme, une stratégie, des objectifs, des politiques et des processus de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement sont établis et approuvés par les parties prenantes de l'organisation. GV.SC-02 : Les rôles et responsabilités en matière de cybersécurité des fournisseurs, des clients et des partenaires sont établis, communiqués et coordonnés en interne et en externe. GV.SC-03 : La gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement est intégrée dans les processus de gestion, d'évaluation et d'amélioration des risques liés à la cybersécurité et à l'entreprise. |
Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.
Dans le cadre de ce processus, vous devez définir :
|
GV.SC-04 : Les fournisseurs sont connus et classés par ordre de priorité en fonction de leur criticité. |
Centralisez votre inventaire de tiers dans une solution logicielle. Ensuite, quantifiez les risques inhérents à tous les tiers. Les critères utilisés pour calculer les risques inhérents afin d'établir un ordre de priorité pour les tiers devraient inclure :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles devrait permettre de classer les fournisseurs en fonction d'une série de considérations relatives à l'interaction des données, aux finances, à la réglementation et à la réputation. |
GV.SC-05 : Les exigences relatives à la prise en compte des risques de cybersécurité dans les chaînes d'approvisionnement sont établies, hiérarchisées et intégrées dans les contrats et autres types d'accords conclus avec les fournisseurs et les autres tiers concernés. |
Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les capacités clés devraient inclure :
Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence. |
GV.SC-06 : Une planification et une diligence raisonnable sont effectuées pour réduire les risques avant de nouer des relations formelles avec des fournisseurs ou d'autres tiers. |
Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet la comparaison sur des attributs clés. Comme tous les fournisseurs de services sont centralisés et examinés, les équipes devraient créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes. Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions relatives à la sélection des fournisseurs. |
GV.SC-07 : Les risques posés par un fournisseur, ses produits et services et d'autres tiers sont compris, enregistrés, hiérarchisés, évalués, pris en compte et contrôlés tout au long de la relation. |
Recherchez des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants. Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse. Veillez à intégrer des données opérationnelles, financières et de réputation provenant de tiers afin d'ajouter un contexte aux conclusions de cyber et de mesurer l'impact des incidents au fil du temps. |
GV.SC-08 : Les fournisseurs concernés et les autres tiers sont inclus dans les activités de planification, de réponse et de récupération en cas d'incident. |
Dans le cadre de votre stratégie globale de gestion des incidents, assurez-vous que votre programme de réponse aux incidents impliquant des tiers permet à votre équipe d'identifier rapidement les incidents de sécurité impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact. Recherchez services manages où des experts dédiés gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent une corrélation entre les risques et les informations de surveillance continue de cyber et émettent des conseils de remédiation. services manages peut réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et s'assurer que les remédiations sont en place. Les capacités clés d'un service tiers de réponse aux incidents devraient comprendre les éléments suivants :
Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des fournisseurs en cas de violation de données. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts. |
GV.SC-09 : Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées dans les programmes de cybersécurité et de gestion des risques de l'entreprise, et leurs performances sont contrôlées tout au long du cycle de vie des produits et services technologiques. |
Voir GV.SC-01 et GV.SC-02. |
GV.SC-10 : Les plans de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement comprennent des dispositions relatives aux activités qui se déroulent après la conclusion d'un partenariat ou d'un accord de service. |
En s'appuyant sur les meilleures pratiques recommandées pour GV.SC-05, automatisez l'évaluation des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle de votre organisation.
|
Aligner votre programme TPRM sur le NIST CSF 2.0
Lisez la liste de contrôle de la conformité des tiers au NIST Cybersecurity Framework 2.0 pour évaluer votre programme de gestion des risques des tiers par rapport aux dernières directives C-SCRM.
Finalisée en février 2024, la version 2.0 peut aider les organisations à mieux intégrer le TPRM et le C-SCRM dans leurs opérations, de la gouvernance à la gestion des risques et à la cybersécurité. En formalisant les structures de gouvernance autour des relations avec les tiers, en garantissant la responsabilité, en élaborant des politiques solides et en promouvant une surveillance continue, le CSF 2.0 fournit un cadre complet pour faire face aux risques complexes posés par les tiers.
Regardez mon webinaire à la demande avec Prevalent pour en savoir plus sur la façon dont le NIST CSF 2.0 intègre les contrôles de gestion des risques de la chaîne d'approvisionnement en matière de TPRM et de cybersécurité. Je vous invite également à télécharger la liste de contrôle complète du NIST CSF 2.0 élaborée par Prevalent. Elle examine en détail la fonction de gouvernance et ses contrôles de gestion des risques de la chaîne d'approvisionnement.
Pour en savoir plus sur lasolution Prevalent TPRMpour NIST CSF 2.0, planifiez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024