Le National Cyber Security Centre (NCSC) du Royaume-Uni - qui fait partie du GCHQ - a publié des orientations actualisées pour aider les organisations à évaluer efficacement la sécurité cyber de leurs chaînes d'approvisionnement et à s'en assurer.
Les dernières orientations visent à aider les organisations à mettre en œuvre les 12 principes de sécurité de la chaîne d'approvisionnement du NCSC en cinq étapes :
1) Avant de commencer
2) Développer une approche pour évaluer la sécurité de la chaîne d'approvisionnement cyber
3) Appliquer l'approche aux nouvelles relations avec les fournisseurs
4) Intégrer l'approche dans les contrôles existants des fournisseurs
5) Améliorer en permanence
Acquérir des connaissances sur l'approche de votre propre organisation en matière de gestion des risques de sécurité sur le site cyber
Créer une approche reproductible et cohérente pour évaluer la sécurité cyber de vos fournisseurs
Intégrer de nouvelles pratiques de sécurité tout au long du cycle de vie des contrats avec les nouveaux fournisseurs, depuis la passation des marchés et la sélection des fournisseurs jusqu'à la clôture des contrats.
Réexaminer les contrats existants au moment de leur renouvellement, ou plus tôt s'il s'agit de fournisseurs essentiels.
Le fait d'affiner périodiquement votre approche au fur et à mesure de l'apparition de nouveaux problèmes réduira la probabilité que des risques soient introduits dans votre organisation par le biais de la chaîne d'approvisionnement.
Liste de contrôle de la sécurité de la chaîne d'approvisionnement du NCSC Cyber
Téléchargez cette liste de contrôle de 12 pages pour évaluer votre programme de gestion du risque fournisseur par rapport aux meilleures pratiques recommandées pour la mise en œuvre des orientations du NCSC.
Répondre aux exigences de sécurité du NCSC Supply Chain Cyber
Voici comment Prevalent peut vous aider à répondre aux exigences énoncées dans le document UK National Cyber Security Centre Guidance for Supply Chain Cyber Security.
Orientations du NCSC | Considérations sur les meilleures pratiques |
---|---|
Étape 1 : Avant de commencer Selon le guide du NCSC, l'objectif de l'étape 1 est d'"acquérir des connaissances sur l'approche de votre propre organisation en matière de gestion des risques de sécurité sur le site cyber ". Cette première étape de planification implique de comprendre :
|
|
Comprenez pourquoi votre organisation devrait se préoccuper de la sécurité de la chaîne d'approvisionnement cyber |
Selon une étude récente du secteur, 45 % des organisations ont été victimes d'une violation de données ou de la vie privée de la part d'un tiers au cours des 12 derniers mois. Prenons quelques exemples récents et l'impact de ces incidents de sécurité : Toyota - pertes financières et opérationnelles En février 2022, Toyota a interrompu ses activités au Japon après qu'un important fournisseur de plastique, Kojima Industries, a été victime d'une violation de données. Kojima avait accès à distance aux usines de fabrication de Toyota, ce qui augmentait considérablement le risque pour Toyota. À la suite de cette fermeture temporaire, Toyota a subi des pertes financières et opérationnelles. SolarWinds - poursuites judiciaires, amendes, perte de confiance des clients Des acteurs de l'État russe ont piraté le logiciel Orion, qui a ensuite été distribué aux clients de SolarWinds dans le cadre d'une série de mises à jour régulières. Cet effort a permis aux cybercriminels d'accéder à des milliers de systèmes et de données d'entreprises. SolarWinds fait l'objet de poursuites judiciaires, d'amendes, de témoignages devant le Congrès et bien d'autres choses encore, ce qui aura un impact sur la confiance de ses clients pour les années à venir. Répondez à ces questions clés :
Si la réponse à l'une de ces questions est "non", vous devez évaluer les points faibles de votre chaîne d'approvisionnement cyber et élaborer un plan pour atténuer ces risques. |
Identifier les acteurs clés de votre organisation Le fait de disposer des bonnes personnes pour soutenir la sécurité de la chaîne d'approvisionnement cyber contribuera à conduire les changements nécessaires. |
Les participants peuvent être des représentants des équipes chargées des achats et de l'approvisionnement, de la gestion des risques, de la sécurité et de l'informatique, du service juridique et de la conformité, ainsi que de la confidentialité des données. La raison pour laquelle autant d'équipes doivent être impliquées dans le processus de gestion des risques de la chaîne d'approvisionnement cyber est que chaque département a tendance à se concentrer sur les risques qui lui importent. Les équipes chargées de la sécurité informatique et de la protection de la vie privée doivent déterminer quels contrôles sont en place pour protéger les données et l'accès aux systèmes, si le fournisseur a été victime d'une violation, quel en a été l'impact et s'il existe un risque excessif de la part de tierces parties. Les équipes chargées de la passation des marchés peuvent le faire si les antécédents financiers ou de crédit du fournisseur soulèvent des inquiétudes, ou si le fournisseur a un problème de réputation. Les équipes juridiques et de conformité voudront savoir si le fournisseur a été signalé pour des questions de confidentialité des données, d'environnement, de responsabilité sociale et de gouvernance, de corruption ou de sanctions. Les équipes de gestion des risques voudront savoir si le fournisseur se trouve dans une région sujette aux catastrophes naturelles ou à l'instabilité géopolitique. Tout d'abord, établissez une matrice RACI pour définir qui, au sein de l'organisation, est concerné :
Enfin, il faut obtenir l'adhésion des cadres supérieurs et du conseil d'administration :
|
Comprendre comment votre organisation évalue les risques |
Une façon courante de catégoriser les risques est d'utiliser une "carte thermique" qui mesure les risques sur deux axes : La probabilité d'occurrence et l'impact sur les opérations. Naturellement, les risques qui obtiennent une note élevée sur les deux axes (par exemple, le quadrant supérieur droit) doivent être considérés comme plus prioritaires que les risques qui obtiennent une note plus basse. |
Étape 2 : Élaboration d'une méthode d'évaluation de la sécurité de la chaîne d'approvisionnement Cyber L'étape 2 consiste à "créer une approche reproductible et cohérente pour évaluer la sécurité cyber de vos fournisseurs". Cette étape implique
|
|
Donner la priorité aux "joyaux de la couronne" de votre organisation Déterminez les aspects critiques de votre organisation que vous devez protéger le plus. Créer les éléments clés de l'approche, qui comprennent :
|
Avant de créer le profil de sécurité du fournisseur, il convient d'examiner les risques inhérents auxquels il expose l'entreprise. Tenez compte de ce cadre pour calculer le risque inhérent :
En s'appuyant sur les résultats de cette évaluation des risques inhérents, votre équipe peut automatiquement classer et profiler les fournisseurs, établir des clauses contractuelles spécifiques pour faire respecter les normes, fixer des niveaux appropriés de diligence supplémentaire, déterminer la portée des évaluations continues et définir des mesures correctives en cas de non-conformité. Pour assurer le suivi de la conformité aux exigences de sécurité, envisagez de normaliser les évaluations par rapport à Cyber Essentials, ISO ou d'autres cadres de contrôle de la sécurité de l'information communément adoptés. |
Étape 3 : Appliquer l'approche aux nouvelles relations avec les fournisseurs À l'étape 3, les orientations du NCSC recommandent d'intégrer "de nouvelles pratiques de sécurité tout au long du cycle de vie du contrat des nouveaux fournisseurs, depuis la passation des marchés et la sélection des fournisseurs jusqu'à la clôture du contrat". Il s'agit de contrôler le respect des dispositions contractuelles et de sensibiliser l'équipe à ses responsabilités tout au long du processus. |
|
Former l'équipe Veillez à ce que les personnes qui participeront à l'évaluation des fournisseurs soient formées à la sécurité sur le site cyber . |
Envisagez de demander aux employés responsables des relations avec les fournisseurs d'obtenir des certifications de sécurité individuelles ou de soutenir les certifications Cyber Essentials ou ISO 27036-2 de l'organisation. |
Intégrer les contrôles de sécurité du site cyber pendant toute la durée du contrat Envisager cyber la sécurité tout au long du cycle de vie du contrat : de la décision d'externalisation à la résiliation, en passant par la sélection du fournisseur, l'attribution du contrat et la livraison. Réfléchissez aux pratiques qui peuvent être mises en place pour s'assurer que c'est le cas pour chaque acquisition. |
Ces orientations exigent des organisations qu'elles soient conscientes des risques à chaque étape du cycle de vie des fournisseurs, y compris :
|
Contrôler les performances des fournisseurs en matière de sécurité |
Effectuer des évaluations de la cybersécurité des fournisseurs au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, tous les trimestres ou tous les ans). Veiller à ce que les évaluations s'appuient sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves. Ensuite, il convient de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'internet et le "dark web" à la recherche de menaces et de vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure : les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les dépôts de code, les bases de données de vulnérabilités et les bases de données d'atteintes à la protection des données. Corréler toutes les données de surveillance aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports et les initiatives de réponse. |
Étape 4 : Intégrer l'approche dans les contrats existants avec les fournisseurs À l'étape 4, le NCSC recommande de revoir "vos contrats existants soit au moment du renouvellement, soit plus tôt lorsqu'il s'agit de fournisseurs essentiels". Les orientations supposent un certain niveau de gestion du cycle de vie des contrats. |
|
Identifier les contrats existants Évaluer les risques de vos contrats Soutenez vos fournisseurs Réviser les clauses contractuelles |
Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses de sécurité appropriées sont incluses. Les pratiques clés à prendre en compte dans la gestion des contrats avec les fournisseurs sont les suivantes :
|
Rendre compte des progrès au conseil d'administration |
Commencez par déterminer la différence entre les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR), ainsi que leurs liens.
Lorsqu'il s'agit de mesurer les ICP et les IRC, il convient de les classer comme suit :
Veillez ensuite à lier les résultats aux dispositions contractuelles afin d'assurer une gouvernance complète du processus. Enfin, veillez à ce que votre équipe comprenne parfaitement le type d'informations que le conseil d'administration doit voir. Cette approche devrait permettre à votre équipe de
|
Étape 5 : Améliorer en permanence La dernière étape du guide du NCSC consiste à "affiner périodiquement votre approche au fur et à mesure de l'apparition de nouveaux problèmes afin de réduire la probabilité que des risques soient introduits dans votre organisation par le biais de la chaîne d'approvisionnement". |
|
Évaluer régulièrement l'approche et ses composantes |
Réviser en permanence le programme de cybersécurité de la chaîne d'approvisionnement de l'organisation
|
Se tenir au courant de l'évolution des menaces et actualiser les pratiques en conséquence Restez au courant des nouvelles menaces et utilisez les connaissances acquises pour mettre à jour la sécurité de votre chaîne d'approvisionnement cyber en conséquence. |
Suivre et analyser en permanence les menaces externes pour les tiers en surveillant l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Corréler toutes les données de surveillance aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports et les initiatives de réponse. Les sources de surveillance devraient inclure
|
Collaborez avec vos fournisseurs |
Élaborer des plans d'assainissement avec des recommandations que les fournisseurs peuvent suivre pour réduire le risque résiduel. Fournir un forum permettant aux fournisseurs de télécharger des preuves et de communiquer sur des mesures correctives spécifiques, avec une piste d'audit sécurisée permettant de suivre les mesures correctives jusqu'à leur terme. |
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Utilisez ces bonnes pratiques pour répondre aux exigences des cinq étapes de l'orientation du Royaume-Uni...
Apprenez des stratégies pour atténuer les risques liés aux cyberattaques et aux vulnérabilités de vos fournisseurs informatiques.
Un programme C-SCRM efficace peut aider votre organisation à prendre des décisions éclairées et à sélectionner des fournisseurs qui prennent...