En réponse aux violations généralisées de la chaîne d'approvisionnement, la North American Electric Reliability Corporation (NERC) a publié un guide de sécurité pour le cycle de vie de la gestion des risques de sécurité de la chaîne d'approvisionnement ( Cyber ).
Les lignes directrices recommandent que les organisations d'infrastructures critiques telles que les services publics d'électricité, les fournisseurs de gaz naturel et autres identifient, évaluent et atténuent les risques de sécurité de la chaîne d'approvisionnement cyber pour leurs actifs critiques de technologie opérationnelle (OT). Les perturbations des systèmes OT, telles que celles causées par les incidents de la chaîne d'approvisionnement, peuvent entraîner des pannes de service public et avoir des répercussions négatives de grande ampleur sur la société.
Identifier les risques pour les actifs critiques de la technologie de l'information qui pourraient avoir un impact élevé ou une forte probabilité de compromission
Évaluer les fournisseurs afin de déterminer le degré de risque qu'ils représentent par rapport à chaque risque identifié (nécessite un questionnaire).
Atténuer les risques identifiés dans les évaluations des risques des fournisseurs
Prendre en compte l'atténuation des risques tout au long du cycle de vie du fournisseur
Mettre régulièrement à jour la stratégie de gestion des risques
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Répondre aux exigences des lignes directrices de sécurité du NERC
Voici comment Prevalent peut vous aider à respecter les meilleures pratiques de gestion des risques de tiers du NERC :
Exigence | Quelle aide nous apportons |
---|---|
Chapitre 1 : Identifier les risques Le premier objectif de l'organisation dans le cadre du processus de gestion des risques de sécurité de la chaîne d'approvisionnement cyber est d'identifier les risques pour ses biens OT critiques qui pourraient avoir un impact élevé ou une forte probabilité de compromission, en fonction du fournisseur. |
Prevalent offre les possibilités suivantes pour répondre à cette exigence :
La plateforme Prevalent vous permet d'effectuer des évaluations de profilage et de hiérarchisation afin de suivre et de quantifier les risques inhérents à tous les fournisseurs. À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer et hiérarchiser les fournisseurs (y compris identifier ceux qui sont considérés comme critiques), définir des niveaux appropriés de diligence supplémentaire à partir de cette base de référence et déterminer la portée des évaluations continues. |
Chapitre 2 : Évaluer les risques Une fois que l'organisation a identifié les risques, elle doit évaluer ses fournisseurs afin de déterminer le degré de risque qu'ils représentent par rapport à chaque risque identifié ; dans la plupart des cas, l'évaluation des fournisseurs sera effectuée au moyen d'un questionnaire. |
Prevalent vous permet d'automatiser l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques de la chaîne d'approvisionnement à chaque étape du cycle de vie des fournisseurs. La plateforme Prevalent offre une bibliothèque de centaines de modèles d'évaluation standardisés, avec des capacités de personnalisation, un flux de travail intégré et des mesures correctives pour automatiser toutes les étapes, de la collecte et de l'analyse de l'enquête à l'évaluation des risques et à l'établissement de rapports. Veillez à ce que la plateforme d'évaluation choisie comprenne des évaluations spécifiques pour les rapports sur les infrastructures critiques et les meilleures pratiques, telles que le cadre pour l'amélioration de la cybersécurité des infrastructures critiques du National Institute of Standards and Technology (NIST). Dans le cadre du processus d'évaluation des risques, il convient de suivre et d'analyser en permanence les menaces externes qui pèsent sur les fournisseurs en surveillant l'Internet et le "dark web" à la recherche de menaces et de vulnérabilités sur le site cyber . Les sources de surveillance devraient inclure les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification divulguées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données d'atteintes à la protection des données. Une capacité importante à ce stade est de corréler les résultats de la surveillance continue avec les réponses de l'évaluation afin de valider les contrôles. Il n'est pas possible d'y parvenir en utilisant des feuilles de calcul pour l'évaluation des risques ou des outils hétéroclites pour la surveillance de la sécurité sur le site cyber . |
Chapitre 3 : Atténuation des risques Le chapitre 3 recommande à l'organisation de demander au fournisseur d'atténuer les risques identifiés lors de l'évaluation. L'objectif de l'atténuation des risques devrait être de ramener leur valeur à un niveau acceptable afin de réduire la probabilité et/ou l'impact du risque. Les lignes directrices précisent que cet objectif peut être atteint par le biais d'un appel d'offres ou d'une mise en œuvre contractuelle, mais que les mesures correctives requises constituent également une mise en œuvre post-contractuelle importante. Vous trouverez ci-dessous une sélection de mesures d'atténuation tirées des lignes directrices. |
|
Inclure dans l'appel d'offres un libellé identifiant les risques de sécurité et les mesures d'atténuation que le fournisseur doit prendre pour y faire face. |
Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs. Le système garantit que les fournisseurs sont sélectionnés sur la base de mesures de sécurité essentielles ( cyber ). |
Inclure dans le contrat des dispositions documentant l'engagement du fournisseur à mettre en œuvre des contrôles de sécurité spécifiques, prévoir la possibilité pour l'organisation d'examiner les progrès réalisés par le fournisseur et définir des méthodes de communication future sur ces questions. |
Prevalent vous permet de centraliser la distribution, la discussion, la conservation et la révision des contrats fournisseurs. La gestion des contrats fournisseurs de cette manière garantit que les clauses de sécurité et les mesures d'exécution appropriées sont intégrées dans le contrat. |
Définir des mesures correctives spécifiques. |
La plateforme Prevalent vous permet de recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques, afin de garantir que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Elle vous permet également de suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur. |
Chapitre 4 : Achats et installations Le chapitre 4 des lignes directrices exige que des mesures d'atténuation des risques de sécurité de la chaîne d'approvisionnement cyber soient envisagées tout au long du cycle de vie d'un produit ou d'un service afin de réduire le niveau de risque qui a été initialement évalué comme étant élevé. |
Grâce à la plateforme Prevalent , vous pouvez procéder à une évaluation de base des risques liés à la passation de marchés au début du processus de passation de marchés, suivie d'une évaluation de base des risques liés à la passation de marchés :
|
Chapitre 5 : Mise à jour du plan de gestion des risques Le chapitre 5 des lignes directrices suggère que le plan de gestion des risques de sécurité de la chaîne d'approvisionnement cyber soit mis à jour au moins une fois par an. Il s'agira d'identifier les nouveaux risques, de réévaluer les fournisseurs et de revoir les mesures d'atténuation en conséquence - les tâches décrites aux chapitres 1 à 3 étant répétées si nécessaire. |
Prevalent vous permet d'optimiser votre programme afin de prendre en compte l'ensemble du cycle de vie du risque fournisseur en facilitant sa mise à jour continue :
|
De nouvelles normes de cybersécurité pour la protection des infrastructures critiques entrent en vigueur le 1er juillet. Êtes-vous prêts ?
Le NIST a rédigé plusieurs normes industrielles qui traitent de l'identification, de l'évaluation et de la gestion des risques de la chaîne d'approvisionnement...
Révéler les exigences du TPRM dans 13 règlements et acquérir les meilleures pratiques pour simplifier la conformité.