NCSC Supply Chain Cyber Security Guidance (Guide de sécurité de la chaîne d'approvisionnement)

Selon une étude récente du secteur, 45 % des organisations ont été victimes d'une violation de données ou de la vie privée de la part d'un tiers au cours des 12 derniers mois. Prenons quelques exemples récents et l'impact de ces incidents de sécurité :

Toyota - pertes financières et opérationnelles

En février 2022, Toyota a interrompu ses activités au Japon après qu'un important fournisseur de plastique, Kojima Industries, a été victime d'une violation de données. Kojima avait accès à distance aux usines de fabrication de Toyota, ce qui augmentait considérablement le risque pour Toyota. À la suite de cette fermeture temporaire, Toyota a subi des pertes financières et opérationnelles.

SolarWinds - poursuites judiciaires, amendes, perte de confiance des clients

Des acteurs de l'État russe ont piraté le logiciel Orion, qui a ensuite été distribué aux clients de SolarWinds dans le cadre d'une série de mises à jour régulières. Cet effort a permis aux cybercriminels d'accéder à des milliers de systèmes et de données d'entreprises. SolarWinds fait l'objet de poursuites judiciaires, d'amendes, de témoignages devant le Congrès et bien d'autres choses encore, ce qui aura un impact sur la confiance de ses clients pour les années à venir.

Répondez à ces questions clés :

• Votre organisation peut-elle rester résiliente face à une perturbation de la chaîne d'approvisionnement cyber ?
• Pouvez-vous identifier la cible d'un attaquant cyber ? S'agit-il de données ?
• Pouvez-vous identifier le chemin d'attaque le plus probable pour un attaquant cyber ?

Si la réponse à l'une de ces questions est "non", vous devez évaluer les points faibles de votre chaîne d'approvisionnement cyber et élaborer un plan pour atténuer ces risques.

Les participants peuvent être des représentants des équipes chargées des achats et de l'approvisionnement, de la gestion des risques, de la sécurité et de l'informatique, du service juridique et de la conformité, ainsi que de la confidentialité des données. La raison pour laquelle autant d'équipes doivent être impliquées dans le processus de gestion des risques de la chaîne d'approvisionnement cyber est que chaque département a tendance à se concentrer sur les risques qui lui importent.

Les équipes chargées de la sécurité informatique et de la protection de la vie privée doivent déterminer quels contrôles sont en place pour protéger les données et l'accès aux systèmes, si le fournisseur a été victime d'une violation, quel en a été l'impact et s'il existe un risque excessif de la part de tierces parties.

Les équipes chargées de la passation des marchés peuvent le faire si les antécédents financiers ou de crédit du fournisseur soulèvent des inquiétudes, ou si le fournisseur a un problème de réputation.

Les équipes juridiques et de conformité voudront savoir si le fournisseur a été signalé pour des questions de confidentialité des données, d'environnement, de responsabilité sociale et de gouvernance, de corruption ou de sanctions.

Les équipes de gestion des risques voudront savoir si le fournisseur se trouve dans une région sujette aux catastrophes naturelles ou à l'instabilité géopolitique.

Tout d'abord, établissez une matrice RACI pour définir qui, au sein de l'organisation, est concerné :

• Responsable de la gestion des risques
  Responsable des résultats
• Consulté avec
• Tenu informé du processus et des résultats

Enfin, il faut obtenir l'adhésion des cadres supérieurs et du conseil d'administration :

• Présenter une vue consolidée de l'exposition actuelle de l'organisation aux risques de la chaîne d'approvisionnement
• Communiquer l'état actuel des risques et les efforts de réduction
• Identifier les domaines dans lesquels un soutien de l'exécutif est nécessaire

Une façon courante de catégoriser les risques est d'utiliser une "carte thermique" qui mesure les risques sur deux axes : La probabilité d'occurrence et l'impact sur les opérations. Naturellement, les risques qui obtiennent une note élevée sur les deux axes (par exemple, le quadrant supérieur droit) doivent être considérés comme plus prioritaires que les risques qui obtiennent une note plus basse.

Avant de créer le profil de sécurité du fournisseur, il convient d'examiner les risques inhérents auxquels il expose l'entreprise. Tenez compte de ce cadre pour calculer le risque inhérent :

• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

En s'appuyant sur les résultats de cette évaluation des risques inhérents, votre équipe peut automatiquement classer et profiler les fournisseurs, établir des clauses contractuelles spécifiques pour faire respecter les normes, fixer des niveaux appropriés de diligence supplémentaire, déterminer la portée des évaluations continues et définir des mesures correctives en cas de non-conformité.

Pour assurer le suivi de la conformité aux exigences de sécurité, envisagez de normaliser les évaluations par rapport à Cyber Essentials, ISO ou d'autres cadres de contrôle de la sécurité de l'information communément adoptés.

Envisagez de demander aux employés responsables des relations avec les fournisseurs d'obtenir des certifications de sécurité individuelles ou de soutenir les certifications Cyber Essentials ou ISO 27036-2 de l'organisation.

Ces orientations exigent des organisations qu'elles soient conscientes des risques à chaque étape du cycle de vie des fournisseurs, y compris :

• Effectuer un contrôle préalable au contrat en obtenant des informations sur la cybersécurité ou l'historique des violations de données chez les fournisseurs potentiels avant de prendre des décisions de sélection.
• L'évaluation et la catégorisation des fournisseurs vous permettent de savoir comment les trier et quelle diligence continue est nécessaire.
• Valider les résultats de l'évaluation à l'aide de données de surveillance en temps réel ( cyber )
• Suivi centralisé de tous les contrats et des attributs contractuels liés à la sécurité
• Mesurer l'efficacité des fournisseurs, y compris les indicateurs clés de performance, les indicateurs clés de risque et les accords de niveau de service par rapport aux mesures de conformité, afin de s'assurer que ces fournisseurs respectent les exigences contractuelles.
• Mettre fin aux relations de manière à garantir le respect du contrat, la destruction des données et la vérification des derniers éléments.

Effectuer des évaluations de la cybersécurité des fournisseurs au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, tous les trimestres ou tous les ans). Veiller à ce que les évaluations s'appuient sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves.

Ensuite, il convient de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'internet et le "dark web" à la recherche de menaces et de vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure : les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les dépôts de code, les bases de données de vulnérabilités et les bases de données d'atteintes à la protection des données.

Corréler toutes les données de surveillance aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports et les initiatives de réponse.

Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses de sécurité appropriées sont incluses. Les pratiques clés à prendre en compte dans la gestion des contrats avec les fournisseurs sont les suivantes :

• Stockage centralisé des contrats
• Suivi de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Commencez par déterminer la différence entre les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR), ainsi que leurs liens.

• Les indicateurs clés de performance (IC P) mesurent l'efficacité des fonctions et des processus.
• Les indicateurs clés de risque (KRI) indiquent le niveau de risque auquel l'organisation est confrontée et les traitements de risque à appliquer.

Lorsqu'il s'agit de mesurer les ICP et les IRC, il convient de les classer comme suit :

• Les mesures de risque aident à comprendre le risque de faire des affaires avec un fournisseur, ainsi que les mesures d'atténuation associées.
• Les mesures de la menace se recoupent quelque peu avec celles du risque et donnent une vision plus complète et validée du risque.
• Les mesures de conformité permettent de déterminer si les fournisseurs respectent vos exigences en matière de contrôle interne.
• Les mesures de couverture répondent à la question suivante : "Ai-je une couverture complète de l'empreinte de mes fournisseurs et ceux-ci sont-ils hiérarchisés et traités en conséquence ?"

Veillez ensuite à lier les résultats aux dispositions contractuelles afin d'assurer une gouvernance complète du processus.

Enfin, veillez à ce que votre équipe comprenne parfaitement le type d'informations que le conseil d'administration doit voir. Cette approche devrait permettre à votre équipe de

• Présenter une vue consolidée de l'exposition actuelle de l'organisation aux risques liés à la chaîne d'approvisionnement.
• Communiquer l'état actuel des fournisseurs essentiels qui soutiennent les principaux efforts de l'entreprise.
• Montrer les risques inhérents et résiduels à partir des sources de renseignements sur les menaces afin de démontrer les progrès accomplis dans la réduction des risques au fil du temps.
• Identifier les domaines dans lesquels un soutien exécutif est nécessaire

Réviser en permanence le programme de cybersécurité de la chaîne d'approvisionnement de l'organisation
à chaque étape du cycle de vie du fournisseur. Les principaux domaines à examiner sont les suivants

• Rôles et responsabilités (par exemple, RACI)
• Profils de sécurité des fournisseurs
• Cotation des risques et seuils basés sur la tolérance au risque de l'organisation
• Méthodes d'évaluation et de suivi fondées sur la criticité
  criticité
• Participation des quatrième et neuvième parties à la fourniture de services essentiels
• Sources de données de contrôle continu (cyber, business,
  réputation, finances)
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
• Politiques, normes, systèmes et processus régissant la protection des systèmes et des données
  les systèmes et les données
• Exigences en matière de conformité et de rapports contractuels par rapport aux
  les niveaux de service
• Processus de réponse aux incidents
• Rapports internes aux parties prenantes
• Stratégies d'atténuation des risques et de remédiation

Suivre et analyser en permanence les menaces externes pour les tiers en surveillant l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Corréler toutes les données de surveillance aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports et les initiatives de réponse.

Les sources de surveillance devraient inclure

• Des forums criminels, des milliers de pages en oignon, des forums d'accès spécial sur le dark web, des flux de menaces et des sites de collage d'informations d'identification ayant fait l'objet d'une fuite, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
• Les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc.
• Sources d'information mondiales
• Profils de personnes politiquement exposées
• Listes de sanctions mondiales

Élaborer des plans d'assainissement avec des recommandations que les fournisseurs peuvent suivre pour réduire le risque résiduel. Fournir un forum permettant aux fournisseurs de télécharger des preuves et de communiquer sur des mesures correctives spécifiques, avec une piste d'audit sécurisée permettant de suivre les mesures correctives jusqu'à leur terme.