Meilleures pratiques en matière de sécurité de la chaîne d'approvisionnement en logiciels

Renforcez votre résilience face aux attaques de la chaîne logistique logicielle en mettant en œuvre ces meilleures pratiques pour accroître la visibilité des risques liés aux tiers et accélérer l'atténuation des risques.
Par :
Scott Lang
,
VP, Marketing produit
26 janvier 2022
Partager :
Blog logiciel chaîne d'approvisionnement 0122

Les récentes attaques contre la chaîne d'approvisionnement en logiciels ont incité le Sénat des États-Unis à adopter une loi renforçant la formation à la cybersécurité du personnel chargé des achats au niveau fédéral. La loi sur la formation à la sécurité de la chaîne d'approvisionnement impose aux agences d'évaluer et d'atténuer les risques liés à la chaîne d'approvisionnement tout au long du cycle d'acquisition. Le ministère de la sécurité intérieure, le NIST et d'autres agences fédérales sont chargés de coordonner et d'appliquer ce programme.

Pour gérer les risques liés à la chaîne d'approvisionnement en logiciels, il faut non seulement protéger votre organisation contre les attaques directes, mais aussi atténuer le risque de violation de données par des tiers et des tiers qui pourraient perturber votre activité.

Que signifie la sécurité de la chaîne d'approvisionnement en logiciels pour le TPRM ?

Votre chaîne d'approvisionnement en logiciels fait référence aux applications que vous utilisez pour fournir des services à vos clients. Dans le cadre de la gestion des risques pour les tiers, la sécurité de la chaîne d'approvisionnement en logiciels consiste à identifier les éventuelles vulnérabilités des composants sous-jacents de ces applications et à évaluer leur probabilité d'être manipulés par des cybercriminels.

Des dispositions plus strictes en matière de cybersécurité sont essentielles pour renforcer la gestion des risques de la chaîne d'approvisionnement, et nous suggérons à toutes les organisations - et pas seulement aux agences fédérales - d'envisager la mise en œuvre des meilleures pratiques suivantes.

Meilleures pratiques en matière de sécurité de la chaîne d'approvisionnement en logiciels

1. Renforcer la diligence raisonnable à l'égard des fournisseurs grâce à des évaluations combinées des risques internes et externes

Pour minimiser le risque d'interruption de la chaîne d'approvisionnement en logiciels de tiers, exiger des fournisseurs de solutions qu'ils partagent des informations sur le cycle de développement de leurs logiciels, notamment :

  • Les origines de leur code source
  • Leurs processus d'assurance qualité (AQ)
  • leurs accords de niveau de service (SLA) pour l'identification et la correction des vulnérabilités

Si les évaluations initiales peuvent provenir de questionnaires destinés aux fournisseurs, ceux-ci ne fournissent qu'un instantané dans le temps. Complétez l'évaluation de vos fournisseurs par des données actualisées en permanence sur les risques encourus par les fournisseurs, provenant notamment des sources suivantes

  • Les forums criminels, les pages en oignon, les forums d'accès spéciaux du dark web, les flux de menaces et les sites de collage d'informations d'identification fuitées. La surveillance des discussions sur ces sites peut fournir un indicateur d'alerte précoce indiquant qu'un partenaire de la chaîne d'approvisionnement a été ou sera pris pour cible.
  • Les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les notifications historiques de violations de données pour vérifier régulièrement l'hygiène de sécurité des fournisseurs.
  • Informations sur le risque de réputation, y compris la couverture médiatique défavorable, l'inscription sur les listes de sanctions mondiales ou la propriété d'une entreprise publique.

Le suivi de ces sources de renseignements vous permet d'avoir une vision actualisée des vulnérabilités de vos fournisseurs et de passer d'une évaluation statique à une évaluation dynamique des risques liés aux fournisseurs.

Toutefois, il faut se garder de mettre en place un programme de surveillance des risques trop complexe et potentiellement coûteux. Avec des centaines de sources potentielles de renseignements sur la cybersécurité et la réputation, il est facile d'être rapidement submergé par des données non corrélées provenant de sources disparates et autorisées séparément.

Choisissez des plateformes qui centralisent les données provenant de multiples sources de renseignements, corroborent les résultats de l'évaluation et établissent des rapports significatifs sur l'exposition potentielle au risque des fournisseurs.

Naviguer dans le cycle de vie du risque fournisseur : les clés du succès

Ce guide gratuit détaille les meilleures pratiques pour gérer avec succès les risques tout au long du cycle de vie des fournisseurs. Découvrez ce que nous avons appris au cours de nos 20 années d'expérience avec des centaines de clients.

Lire la suite
Fonctionnalité de navigation dans le cycle de vie du risque fournisseur

2. Cartographier votre chaîne d'approvisionnement étendue pour découvrir les risques cachés

La visibilité diminue au fur et à mesure que l'on remonte la chaîne d'approvisionnement, ce qui peut masquer des risques tels que

les attaques de ransomware et les failles de sécurité. La visibilité de l'écosystème étendu de vos fournisseurs peut révéler les relations dans lesquelles vos données sont traitées, mais ces informations peuvent être longues à rassembler et rapidement obsolètes.


Pour découvrir ces risques, il faut établir des profils complets des fournisseurs à l'aide d'une plateforme d'évaluation tierce. Ces profils doivent inclure des informations clés sur les fournisseurs, telles que leur localisation, les tiers, les technologies déployées, ainsi que les données de balayage du périmètre des fournisseurs externes. Le résultat sera une carte des relations qui identifiera facilement les risques de concentration technologique, ce qui vous permettra d'être mieux préparé lorsque le prochain SolarWinds surviendra.


3. Automatiser la réponse aux incidents pour accélérer l'atténuation des risques


Lorsqu'une violation à grande échelle de la chaîne d'approvisionnement en logiciels se produit, la première question qui vient naturellement à l'esprit est la suivante : "Sommes-nous touchés ?", suivie rapidement par "Nos tiers sont-ils touchés ?". Nous avons vu ce scénario se dérouler à plusieurs reprises lors de violations telles que celles de SolarWinds et de Kaseya. Le fait de disposer de profils de fournisseurs complets, tels que décrits dans la meilleure pratique ci-dessus, vous permettra de répondre rapidement à cette question.


Cependant, lorsqu'il s'agit de déterminer l'exposition d'un fournisseur et les plans d'atténuation, de nombreuses organisations sont désavantagées - elles utilisent des feuilles de calcul pour évaluer et trier les risques parmi des centaines de partenaires de la chaîne d'approvisionnement.


Voici quelques étapes pour adopter une approche plus intelligente et plus rapide de la réponse aux incidents:



  • Centralisez la gestion de tous vos fournisseurs, et pas seulement des plus importants. Les risques liés à la chaîne d'approvisionnement en logiciels sont très répandus et peuvent affecter bien plus que les fournisseurs jugés les plus importants.

  • Procéder à des évaluations spécifiques aux incidents et en assurer le suivi, en proposant des recommandations de remédiation afin d'accélérer la réduction des risques. Inclure dans ces évaluations des questions sur la continuité des activités, les sauvegardes et les plans de reprise.

  • Permettre aux tiers de signaler les incidents de manière proactive grâce à un système normalisé de signalement des événements qui évalue et fait remonter les risques pour un triage et un signalement efficaces.

  • Mettez en œuvre des règles de flux de travail qui déclenchent des actions automatisées, ce qui vous permet de réagir aux risques en fonction de leur impact potentiel sur l'entreprise.

  • Centraliser l'analyse des résultats de l'évaluation afin de synchroniser les efforts de remédiation avec les partenaires et de communiquer les progrès à la direction.

Prochaines étapes pour une meilleure sécurité de la chaîne d'approvisionnement en logiciels

Une approche manuelle et réactive des vulnérabilités logicielles ne suffit pas. La mise en œuvre de ces meilleures pratiques vous permettra de mieux vous positionner face au prochain défi en matière de sécurité de la chaîne d'approvisionnement.

Pour en savoir plus sur la façon dont Prevalent peut aider à réduire le risque de la chaîne d'approvisionnement à chaque étape du cycle de vie du fournisseur, lisez notre livre blanc Navigating the Vendor Risk Lifecycle, ou demandez une démonstration pour une session stratégique dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo