Le NIST CSF et la gestion des risques liés aux tiers
Le National Institute of Standards and Technology (NIST) a introduit le Cybersecurity Framework (CSF) en 2014 en réponse à l'Executive Order (EO) 13636 pour sécuriser les infrastructures critiques. Alors que de nombreuses lignes directrices du NIST ont été élaborées pour sécuriser les systèmes, les données et/ou les infrastructures critiques du gouvernement fédéral américain, le CSF est conçu pour toute entreprise ou organisation privée qui a besoin d'évaluer ses risques en matière de cybersécurité.
En février 2024, le NIST a publié la version 2.0. Cette nouvelle version comprend plusieurs changements visant à répondre aux défis croissants liés aux tiers et à la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM).
Établir et suivre la stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité.
Aider à déterminer le risque actuel de cybersécurité pour l'organisation
Utiliser des mesures de sauvegarde pour prévenir ou réduire les risques liés à la cybersécurité
Détecter et analyser les éventuelles attaques et compromissions en matière de cybersécurité
Prendre des mesures en cas d'incident de cybersécurité détecté
Restaurer les actifs et les opérations qui ont été affectés par un incident de cybersécurité
Aligner votre programme TPRM sur le NIST CSF 2.0
Lisez la liste de contrôle de la conformité des tiers au NIST Cybersecurity Framework 2.0 pour évaluer votre programme de gestion des risques des tiers par rapport aux dernières directives C-SCRM.
Prise en compte des lignes directrices du NIST CSF 2.0
Le CCA fournit un ensemble de résultats en matière de cybersécurité (classés par fonction, catégorie et sous-catégorie), des exemples de la manière dont ces résultats peuvent être atteints (appelés exemples de mise en œuvre) et des références à des orientations supplémentaires sur la manière d'atteindre ces résultats (appelées références informatives). Le tableau ci-dessous passe en revue les fonctions, catégories et sous-catégories les plus pertinentes pour la gestion des risques des tiers et la gestion de la chaîne d'approvisionnement en matière de cybersécurité, et propose des conseils sur les meilleures pratiques à suivre pour se conformer aux lignes directrices.
Remarque : il s'agit d'un tableau récapitulatif et non d'une liste exhaustive des catégories du NIST. Pour une vue complète du NIST CSF, téléchargez la version complète. Travaillez avec votre équipe d'audit interne et vos auditeurs externes pour déterminer les catégories et sous-catégories sur lesquelles vous devez vous concentrer.
Fonction, catégorie et sous-catégorie | Meilleures pratiques |
---|---|
GOUVERNIR (GV) : La stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité sont établies, communiquées et contrôlées. |
|
Gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité (GV.SC) : Cyber Les processus de gestion des risques liés à la chaîne d'approvisionnement sont identifiés, établis, gérés, contrôlés et améliorés par les parties prenantes de l'organisation. |
|
GV.SC-01 : Un programme, une stratégie, des objectifs, des politiques et des processus de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement sont établis et approuvés par les parties prenantes de l'organisation. GV.SC-02 : Les rôles et responsabilités en matière de cybersécurité des fournisseurs, des clients et des partenaires sont établis, communiqués et coordonnés en interne et en externe. GV.SC-03 : La gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement est intégrée dans les processus de gestion, d'évaluation et d'amélioration des risques liés à la cybersécurité et à l'entreprise. |
Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité. Recherchez des experts pour collaborer avec votre équipe :
Dans le cadre de ce processus, vous devez définir :
|
GV.SC-04 : Les fournisseurs sont connus et classés par ordre de priorité en fonction de leur criticité. |
Centralisez votre inventaire de tiers dans une solution logicielle. Ensuite, quantifiez les risques inhérents à tous les tiers. Les critères utilisés pour calculer les risques inhérents afin d'établir un ordre de priorité pour les tiers devraient inclure :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation. |
GV.SC-05 : Les exigences relatives à la prise en compte des risques de cybersécurité dans les chaînes d'approvisionnement sont établies, hiérarchisées et intégrées dans les contrats et autres types d'accords conclus avec les fournisseurs et les autres tiers concernés. |
Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les capacités clés devraient inclure :
Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence. |
GV.SC-06 : Une planification et une diligence raisonnable sont effectuées pour réduire les risques avant de nouer des relations formelles avec des fournisseurs ou d'autres tiers. |
Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet la comparaison sur des attributs clés. Comme tous les fournisseurs de services sont centralisés et examinés, les équipes devraient créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes. Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions relatives à la sélection des fournisseurs. |
GV.SC-07 : Les risques posés par un fournisseur, ses produits et services et d'autres tiers sont compris, enregistrés, hiérarchisés, évalués, pris en compte et contrôlés tout au long de la relation. |
Recherchez des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants. Les évaluations doivent être gérées de manière centralisée et soutenues par un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse. Veillez à intégrer des données opérationnelles, financières et de réputation provenant de tiers afin d'étoffer les conclusions de cyber et de mesurer l'impact des incidents au fil du temps. |
GV.SC-08 : Les fournisseurs concernés et les autres tiers sont inclus dans les activités de planification, de réponse et de récupération en cas d'incident. |
Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents impliquant des tiers permette à votre équipe d'identifier rapidement les incidents de sécurité impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact. Recherchez le site services manages où des experts dédiés gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent une corrélation entre les risques et les informations de surveillance continue cyber et fournissent des conseils sur les mesures correctives. services manages La gestion centralisée des fournisseurs peut réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et veiller à ce que des mesures correctives soient mises en place. Les capacités clés d'un service tiers de réponse aux incidents devraient comprendre les éléments suivants :
Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des fournisseurs en cas de violation de données. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts. |
GV.SC-09 : Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées dans les programmes de cybersécurité et de gestion des risques de l'entreprise, et leurs performances sont contrôlées tout au long du cycle de vie des produits et services technologiques. |
Voir GV.SC-01 et GV.SC-02. |
GV.SC-10 : Les plans de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement comprennent des dispositions relatives aux activités qui se déroulent après la conclusion d'un partenariat ou d'un accord de service. |
En s'appuyant sur les meilleures pratiques recommandées pour GV.SC-05, automatisez l'évaluation des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle de votre organisation.
|
IDENTIFIER (ID) : Les risques actuels de l'organisation en matière de cybersécurité sont compris. |
|
Gestion des actifs (ID.AM) : Les actifs (par exemple, les données, le matériel, les logiciels, les systèmes, les installations, les services, le personnel) qui permettent à l'organisation d'atteindre ses objectifs sont identifiés et gérés en fonction de leur importance relative par rapport aux objectifs de l'organisation et à sa stratégie de gestion des risques. |
|
ID.AM-03 : Les représentations des communications réseau autorisées de l'organisation et des flux de données réseau internes et externes sont maintenues. |
Pour répondre à cette sous-catégorie, Prevalent aide à identifier les relations de sous-traitance de quatrième et de Nième partie dans votre écosystème de fournisseurs. La solution comprend une évaluation de vos fournisseurs au moyen d'un questionnaire et une analyse passive de l'infrastructure publique du fournisseur. La carte des relations qui en résulte décrit les dépendances étendues et les flux d'informations qui pourraient exposer votre organisation à des risques. |
ID.AM-04 : Les inventaires des services fournis par les fournisseurs sont tenus à jour |
Prevalent vous permet de créer un inventaire centralisé des fournisseurs de services en important les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise peuvent renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et personnalisable et des tâches de flux de travail associées. Cette fonctionnalité est accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions. |
ID.AM-05 : Les biens sont classés par ordre de priorité en fonction de leur classification, de leur criticité, de leurs ressources et de leur impact sur la mission. |
Voir GV.SC-04. |
ID.AM-08 : Les systèmes, le matériel, les logiciels, les services et les données sont gérés tout au long de leur cycle de vie. |
Pour répondre à cette catégorie, Prevalent vous permet de :
|
Évaluation des risques (ID.RA) : L'organisation comprend le risque de cybersécurité pour l'organisation, les biens et les personnes. |
|
ID.RA-02 : Cyber des renseignements sur les menaces sont reçus de forums et de sources d'échange d'informations. ID.RA-03 : Les menaces internes et externes qui pèsent sur l'organisation sont identifiées et enregistrées. ID.RA-04 : Les impacts potentiels et la probabilité des menaces exploitant les vulnérabilités sont identifiés et enregistrés. ID.RA-05 : Les menaces, les vulnérabilités, les probabilités et les impacts sont utilisés pour comprendre le risque inhérent et informer sur la priorisation de la réponse au risque. ID.RA-06 : Les réponses aux risques sont choisies parmi les options disponibles, classées par ordre de priorité, planifiées, suivies et communiquées. ID.RA-07 : Les modifications et les exceptions sont gérées, évaluées en termes d'impact sur les risques, enregistrées et suivies. |
Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces externes pesant sur les tiers. Dans ce cadre, Prevalent surveille l'Internet et le dark web pour cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Les sources de surveillance comprennent :
Toutes les données de surveillance sont mises en corrélation avec les résultats des évaluations et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse. Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, la plateforme Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui vous permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci. Vous pouvez ensuite désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise. Voir également GV.SC-04. |
ID.RA-09 : L'authenticité et l'intégrité du matériel et des logiciels sont évaluées avant leur acquisition et leur utilisation. |
Dans le cadre du processus de diligence raisonnable, vous pouvez utiliser Prevalent pour demander aux vendeurs de fournir des nomenclatures logicielles (SBOM) à jour pour leurs produits logiciels. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation. Les SBOM sont traités comme n'importe quel autre type de document, et vous pouvez appliquer des profils de documents automatisés pour rechercher des détails clés d'extraction importants pour la validation des composants logiciels. |
ID.RA-10: Les fournisseurs essentiels sont évalués avant l'acquisition. |
Voir GV.SC-06. |
Amélioration (ID.IM) : Des améliorations des processus, procédures et activités de gestion des risques de cybersécurité de l'organisation sont identifiées dans toutes les fonctions du CCA. |
|
ID.IM-02: Des améliorations sont identifiées à partir de tests et d'exercices de sécurité, y compris ceux réalisés en coordination avec les fournisseurs et les tiers concernés. ID.IM-04: Des plans de réponse aux incidents et d'autres plans de cybersécurité ayant une incidence sur les opérations sont établis, communiqués, tenus à jour et améliorés. |
Voir GV.SC-08. |
DETECT (DE) : Les attaques et les compromissions éventuelles en matière de cybersécurité sont détectées et analysées. |
|
Surveillance continue (DE.CM) : les actifs sont surveillés pour détecter les anomalies, les indicateurs de compromission et d'autres événements potentiellement néfastes. |
|
DE.CM-06 : Les activités et les services des prestataires de services externes sont contrôlés afin de détecter les événements potentiellement néfastes. |
Voir ID.RA. |
RESPONDRE (RS) : Les mesures relatives à un incident de cybersécurité détecté sont prises. |
|
Gestion des incidents (RS.MA) : Les réponses aux incidents de cybersécurité détectés sont gérées |
|
RS.MA-01 : Le plan d'intervention en cas d'incident est exécuté en coordination avec les tiers concernés dès qu'un incident est déclaré. |
Voir GV.SC-08. |
Rapport et communication sur la réponse à l'incident (RS.CO) : Les activités de réponse sont coordonnées avec les parties prenantes internes et externes, comme l'exigent les lois, les règlements ou les politiques. |
|
RS.CO-02 : Les parties prenantes internes et externes sont informées des incidents RS.CO-03 : Les informations sont partagées avec les parties prenantes internes et externes désignées |
Voir GV.SC-08. |
RÉCUPÉRER (RC) : Les actifs et les opérations touchés par un incident de cybersécurité sont rétablis. |
|
Communication sur le rétablissement de l'incident (RC.CO) : Les activités de restauration sont coordonnées avec les parties internes et externes. |
|
RC.CO-03 : Les activités de rétablissement et les progrès réalisés dans la restauration des capacités opérationnelles sont communiqués aux parties prenantes internes et externes désignées. |
Voir GV.SC-08. |
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
Tirez parti des nouvelles directives de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM) du NIST CSF 2.0 pour votre...
Le NIST a rédigé plusieurs normes industrielles qui traitent de l'identification, de l'évaluation et de la gestion des risques de la chaîne d'approvisionnement...