Les récentes attaques contre la chaîne d'approvisionnement en logiciels ont incité le Sénat des États-Unis à adopter une loi renforçant la formation à la cybersécurité du personnel chargé des achats au niveau fédéral. La loi sur la formation à la sécurité de la chaîne d'approvisionnement impose aux agences d'évaluer et d'atténuer les risques liés à la chaîne d'approvisionnement tout au long du cycle d'acquisition. Le ministère de la sécurité intérieure, le NIST et d'autres agences fédérales sont chargés de coordonner et d'appliquer ce programme.
Pour gérer les risques liés à la chaîne d'approvisionnement en logiciels, il faut non seulement protéger votre organisation contre les attaques directes, mais aussi atténuer le risque de violation de données par des tiers et des tiers qui pourraient perturber votre activité.
Votre chaîne d'approvisionnement en logiciels fait référence aux applications que vous utilisez pour fournir des services à vos clients. Dans le cadre de la gestion des risques pour les tiers, la sécurité de la chaîne d'approvisionnement en logiciels consiste à identifier les éventuelles vulnérabilités des composants sous-jacents de ces applications et à évaluer leur probabilité d'être manipulés par des cybercriminels.
Des dispositions plus strictes en matière de cybersécurité sont essentielles pour renforcer la gestion des risques de la chaîne d'approvisionnement, et nous suggérons à toutes les organisations - et pas seulement aux agences fédérales - d'envisager la mise en œuvre des meilleures pratiques suivantes.
Pour minimiser le risque d'interruption de la chaîne d'approvisionnement en logiciels de tiers, exiger des fournisseurs de solutions qu'ils partagent des informations sur le cycle de développement de leurs logiciels, notamment :
Si les évaluations initiales peuvent provenir de questionnaires destinés aux fournisseurs, ceux-ci ne fournissent qu'un instantané dans le temps. Complétez l'évaluation de vos fournisseurs par des données actualisées en permanence sur les risques encourus par les fournisseurs, provenant notamment des sources suivantes
Le suivi de ces sources de renseignements vous permet d'avoir une vision actualisée des vulnérabilités de vos fournisseurs et de passer d'une évaluation statique à une évaluation dynamique des risques liés aux fournisseurs.
Toutefois, il faut se garder de mettre en place un programme de surveillance des risques trop complexe et potentiellement coûteux. Avec des centaines de sources potentielles de renseignements sur la cybersécurité et la réputation, il est facile d'être rapidement submergé par des données non corrélées provenant de sources disparates et autorisées séparément.
Choisissez des plateformes qui centralisent les données provenant de multiples sources de renseignements, corroborent les résultats de l'évaluation et établissent des rapports significatifs sur l'exposition potentielle au risque des fournisseurs.
Naviguer dans le cycle de vie du risque fournisseur : les clés du succès
Ce guide gratuit détaille les meilleures pratiques pour gérer avec succès les risques tout au long du cycle de vie des fournisseurs. Découvrez ce que nous avons appris au cours de nos 20 années d'expérience avec des centaines de clients.
La visibilité diminue au fur et à mesure que l'on remonte la chaîne d'approvisionnement, ce qui peut masquer des risques tels que
les attaques de ransomware et les failles de sécurité. La visibilité de l'écosystème étendu de vos fournisseurs peut révéler les relations dans lesquelles vos données sont traitées, mais ces informations peuvent être longues à rassembler et rapidement obsolètes.
Pour découvrir ces risques, il faut établir des profils complets des fournisseurs à l'aide d'une plateforme d'évaluation tierce. Ces profils doivent inclure des informations clés sur les fournisseurs, telles que leur localisation, les tiers, les technologies déployées, ainsi que les données de balayage du périmètre des fournisseurs externes. Le résultat sera une carte des relations qui identifiera facilement les risques de concentration technologique, ce qui vous permettra d'être mieux préparé lorsque le prochain SolarWinds surviendra.
Lorsqu'une violation à grande échelle de la chaîne d'approvisionnement en logiciels se produit, la première question qui vient naturellement à l'esprit est la suivante : "Sommes-nous touchés ?", suivie rapidement par "Nos tiers sont-ils touchés ?". Nous avons vu ce scénario se dérouler à plusieurs reprises lors de violations telles que celles de SolarWinds et de Kaseya. Le fait de disposer de profils de fournisseurs complets, tels que décrits dans la meilleure pratique ci-dessus, vous permettra de répondre rapidement à cette question.
Cependant, lorsqu'il s'agit de déterminer l'exposition d'un fournisseur et les plans d'atténuation, de nombreuses organisations sont désavantagées - elles utilisent des feuilles de calcul pour évaluer et trier les risques parmi des centaines de partenaires de la chaîne d'approvisionnement.
Voici quelques étapes pour adopter une approche plus intelligente et plus rapide de la réponse aux incidents:
Une approche manuelle et réactive des vulnérabilités logicielles ne suffit pas. La mise en œuvre de ces meilleures pratiques vous permettra de mieux vous positionner face au prochain défi en matière de sécurité de la chaîne d'approvisionnement.
Pour en savoir plus sur la façon dont Prevalent peut aider à réduire le risque de la chaîne d'approvisionnement à chaque étape du cycle de vie du fournisseur, lisez notre livre blanc Navigating the Vendor Risk Lifecycle, ou demandez une démonstration pour une session stratégique dès aujourd'hui.
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024