NIST et cybersécurité Gestion des risques de la chaîne d'approvisionnement
La publication spéciale 800-161 du National Institute of Standards and Technology(NIST SP 800-161) est un guide des pratiques de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité qui complète les contrôles de base de la sécurité de l'information tels qu'ils sont communiqués dans la publication NIST SP 800-53.
La publication NIST SP 800-161 fournit des conseils aux organisations sur l'identification, l'évaluation et l'atténuation des risques de cybersécurité tout au long de la chaîne d'approvisionnement à tous les niveaux de leur organisation. La SP 800-161 intègre également la gestion des risques de cybersécurité dans la chaîne d'approvisionnement (C-SCRM) dans les activités de gestion des risques en appliquant une approche à plusieurs niveaux, spécifique à la C-SCRM, y compris des conseils sur l'élaboration de plans de mise en œuvre de la stratégie C-SCRM, de politiques C-SCRM, de plans C-SCRM et d'évaluations des risques pour les produits et les services.
Évaluer si les contrôles de sécurité sont mis en œuvre correctement, s'ils fonctionnent comme prévu et s'ils répondent aux exigences.
Déterminer les exigences de cybersécurité pour les fournisseurs
Communiquer aux fournisseurs comment les exigences de cybersécurité seront vérifiées et validées.
Contrôler les contrôles de sécurité de manière continue afin de déterminer leur efficacité.
Adopter des exigences en matière de cybersécurité par le biais d'accords formels (par exemple, des contrats).
Vérifier que les exigences en matière de cybersécurité sont respectées grâce à des méthodes d'évaluation.
Naviguer dans la gestion des risques de la chaîne d'approvisionnement avec NIST SP 800-161
Téléchargez la liste de contrôle pour la conformité : NIST SP 800-161 et la gestion des risques de la chaîne d'approvisionnement pour comparer votre programme TPRM aux directives NIST relatives aux risques de la chaîne d'approvisionnement.
NIST SP 800-161r1 Cartographie croisée des contrôles C-SCRM
Le tableau récapitulatif ci-dessous établit une correspondance entre les capacités en matière de bonnes pratiques et les contrôles de gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité figurant dans le document complémentaire SP 800-161r1 et le document SP 800-53r5.
NOTE : Ce tableau ne doit pas être considéré comme un guide définitif. Pour obtenir une liste complète des contrôles, veuillez examiner en détail le guide SP 800-161 et consulter votre auditeur.
SP 800-53r5 Contrôles spécifiques à la chaîne d'approvisionnement et SP 800-161r1 Orientations pour la gestion des risques de cybersécurité | Comment Prevalent peut vous aider |
---|---|
CA-2 (2 ) Évaluations des contrôles - Évaluations spécialisées SP 800-161r1 Applicable Cybersecurity Risk Management Guidance : Les entreprises doivent utiliser diverses techniques et méthodologies d'évaluation, telles que la surveillance continue, l'évaluation des menaces internes et l'évaluation des utilisateurs malveillants. Ces mécanismes d'évaluation sont spécifiques au contexte et exigent que l'entreprise comprenne sa chaîne d'approvisionnement et définisse l'ensemble des mesures requises pour évaluer et vérifier que les protections appropriées ont été mises en œuvre. CA-2 (3) Évaluations de contrôle - Exploitation des résultats d'organisations externes Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : Pour le C-SCRM, les entreprises doivent utiliser des évaluations de sécurité externes pour les fournisseurs, les développeurs, les intégrateurs de systèmes, les prestataires de services de systèmes externes et les autres prestataires de services liés aux TIC/OT. Les évaluations externes comprennent les certifications, les évaluations par des tiers et, dans le contexte fédéral, les évaluations antérieures réalisées par d'autres départements et agences. Les certifications de l'International Enterprise for Standardization (ISO), du National Information Assurance Partnership (Common Criteria) et de l'Open Group Trusted Technology Forum (OTTF) peuvent également être utilisées par les entreprises fédérales et non fédérales si ces certifications répondent aux besoins de l'agence. |
Prevalent propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers, y compris ceux qui sont spécifiquement conçus pour les contrôles NIST. Avec Prevalent, vous pouvez effectuer des évaluations au moment de l'intégration du fournisseur, du renouvellement du contrat ou à n'importe quelle fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation. Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, Prevalent suit et analyse en permanence les menaces externes pesant sur des tiers. Prevalent surveille l'internet et le dark web pour détecter les menaces et les vulnérabilités de cyber , ainsi que les sources publiques et privées de sanctions pour atteinte à la réputation et d'informations financières. Toutes les données de surveillance sont mises en corrélation avec les résultats des évaluations et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse. Prevalent intègre également des données opérationnelles, financières et de réputation de tiers afin d'ajouter un contexte aux conclusions de cyber et de mesurer l'impact des incidents au fil du temps. Si nécessaire, vous pouvez analyser les rapports SOC 2 ou la déclaration d'applicabilité ISO à la place des évaluations de risques d'un fournisseur. Notre service examine la liste des lacunes de contrôle identifiées dans le rapport SOC 2, crée des éléments de risque à l'encontre de la tierce partie, et assure le suivi et le reporting des lacunes au fil du temps. |
CP-2 (7) Plan d'urgence - Coordination avec les prestataires de services externes Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : Les entreprises doivent définir et mettre en œuvre un plan d'urgence pour les systèmes d'information et le réseau de la chaîne d'approvisionnement afin de s'assurer que des préparatifs sont en place pour atténuer la perte ou la dégradation des données ou des opérations. Des mesures d'urgence doivent être mises en place pour la chaîne d'approvisionnement, le réseau, les systèmes d'information (en particulier les composants critiques) et les processus afin d'assurer une protection contre la compromission et de permettre un basculement approprié et un rétablissement rapide vers un état d'exploitation acceptable. IR-4 (10) Traitement des incidents - Coordination de la chaîne d'approvisionnement SP 800-161r1 applicable - Conseils sur la gestion des risques liés à la cybersécurité : Un certain nombre d'entreprises peuvent être impliquées dans la gestion des incidents et des réponses en matière de sécurité de la chaîne d'approvisionnement. Après avoir initialement traité l'incident et décidé d'un plan d'action (dans certains cas, l'action peut être "aucune action"), l'entreprise peut avoir besoin de se coordonner avec ses fournisseurs, développeurs, intégrateurs de systèmes, prestataires de services externes, autres prestataires de services liés aux TIC/OT, et tout organisme interagences pertinent pour faciliter les communications, la réponse à l'incident, les causes profondes et les actions correctives. Les entreprises devraient partager les informations en toute sécurité par l'intermédiaire d'un ensemble coordonné de personnes jouant des rôles clés, afin de permettre une approche plus globale de la gestion des incidents. Pour réduire l'exposition aux risques de cybersécurité tout au long de la chaîne d'approvisionnement, il est important de sélectionner des fournisseurs, des développeurs, des intégrateurs de systèmes, des prestataires de services externes et d'autres prestataires de services liés aux TIC et aux technologies de l'information disposant de capacités éprouvées pour soutenir le traitement des incidents de cybersécurité dans la chaîne d'approvisionnement. Si la transparence en matière de traitement des incidents est limitée en raison de la nature de la relation, il convient de définir un ensemble de critères acceptables dans l'accord (par exemple, le contrat). Il est recommandé de réexaminer (et éventuellement de réviser) l'accord sur la base des enseignements tirés des incidents précédents. Les entreprises doivent exiger de leurs contractants principaux qu'ils mettent en œuvre ce contrôle et qu'ils transmettent cette exigence aux contractants secondaires concernés. IR-5 Suivi des incidents Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : Les entreprises doivent s'assurer que les accords avec les fournisseurs incluent des exigences de suivi et de documentation des incidents, des décisions de réponse et des activités. IR-6 (3) Rapport d'incident - Coordination de la chaîne d'approvisionnement SP 800-161r1 Applicable : Cybersecurity Risk Management Guidance (Guide de gestion des risques liés à la cybersécurité) : Les communications d'informations sur les incidents de sécurité entre l'entreprise et les fournisseurs, les développeurs, les intégrateurs de systèmes, les prestataires de services externes et les autres prestataires de services liés aux TIC/OT, et vice versa, doivent être protégées. L'entreprise doit veiller à ce que les informations soient examinées et approuvées en vue de leur envoi, conformément aux accords qu'elle a conclus avec les fournisseurs et les organismes interinstitutionnels compétents. Toute escalade ou exception à cette obligation d'information doit être clairement définie dans l'accord. L'entreprise doit veiller à ce que les données relatives aux rapports d'incidents soient protégées de manière adéquate pour être transmises et reçues uniquement par les personnes autorisées. Les entreprises doivent exiger de leurs contractants principaux qu'ils mettent en œuvre ce contrôle et qu'ils transmettent cette exigence aux contractants secondaires concernés. IR-8(1) Plan d'intervention en cas d'incident Applicable SP 800-161r1 Cybersecurity Risk Management Guidance:Les entreprises doivent coordonner, développer et mettre en œuvre un plan de réponse aux incidents qui inclut les responsabilités en matière de partage d'informations avec les fournisseurs critiques et, dans un contexte fédéral, les partenaires inter-agences et le FASC. Les entreprises doivent exiger de leurs contractants principaux qu'ils mettent en œuvre ce contrôle et qu'ils transmettent cette exigence aux contractants secondaires concernés. |
Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent veille à ce que votre programme de réponse aux incidents de tiers puisse rapidement identifier, répondre, rendre compte et atténuer l'impact des incidents de sécurité des fournisseurs tiers. PrevalentL'équipe de services manages comprend des experts spécialisés qui gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent une corrélation entre les risques et les informations de surveillance continue de cyber et émettent des conseils de remédiation au nom de votre organisation. services manages réduit considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité, coordonner avec les fournisseurs et s'assurer que des remédiations sont mises en place. Les principales fonctionnalités du service de réponse aux incidents par des tiers (Prevalent ) sont les suivantes :
Prevalent analyse également des bases de données qui contiennent plusieurs années d'historique de violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications de violations de données des fournisseurs en temps réel. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts. |
PM-9 Stratégie de gestion des risques Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : La stratégie de gestion des risques doit prendre en compte les risques de cybersécurité tout au long de la chaîne d'approvisionnement. PM-30 Stratégie de gestion des risques de la chaîne d'approvisionnement Applicable SP 800-161r1 Cybersecurity Risk Management Guidance (Guide de gestion des risques liés à la cybersécurité) : La stratégie de gestion des risques de la chaîne d'approvisionnement (également appelée stratégie C-SCRM) doit être complétée par un plan de mise en œuvre C-SCRM qui présente des initiatives et des activités détaillées pour l'entreprise, avec des échéances et des parties responsables. Ce plan de mise en œuvre peut être un POA&M ou être inclus dans un POA&M. Sur la base de la stratégie et du plan de mise en œuvre du C-SCRM au niveau 1, l'entreprise doit sélectionner et documenter les contrôles communs du C-SCRM qui doivent répondre aux besoins spécifiques de l'entreprise, du programme et du système. |
Prevalent aide votre organisation à mettre en place un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité et de gouvernance de l'information, de gestion des risques de l'entreprise et de conformité. Nos experts collaborent avec votre équipe sur :
Dans le cadre de ce processus, nous vous aidons à définir :
Avec Prevalent, votre équipe peut évaluer en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs tiers tout au long du cycle de vie de la relation. |
PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission SP 800-161r1 applicable - Directives sur la gestion des risques liés à la cybersécurité : Voir ci-dessus. |
Prevalent quantifie les risques inhérents à tous les tiers. Les critères utilisés pour calculer le risque inhérent en vue de la hiérarchisation des tiers sont les suivants :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation. |
PM-31 Stratégie de surveillance continue Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : La stratégie et le programme de surveillance continue doivent intégrer des contrôles C-SCRM. |
Suivre et analyser en permanence les menaces externes qui pèsent sur les tiers à l'aide de Prevalent. Nous surveillons l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur cyber , ainsi que de sources publiques et privées de risques pour la réputation, de sanctions et d'informations financières. Les sources de surveillance comprennent :
Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse. Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci. Vous pouvez ensuite désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise. |
RA-1 Politique et procédures SP 800-161r1 applicable - Directives sur la gestion des risques liés à la cybersécurité : Les évaluations des risques doivent être effectuées au niveau de l'entreprise, de la mission/du programme et au niveau opérationnel. L'évaluation des risques au niveau du système doit porter à la fois sur l'infrastructure de la chaîne d'approvisionnement (par exemple, les environnements de développement et d'essai et les systèmes de livraison) et sur le système d'information/les composants qui traversent la chaîne d'approvisionnement. L'évaluation des risques au niveau du système recoupe de manière significative le cycle de développement durable et doit compléter les activités plus larges de gestion des risques de l'entreprise, qui se déroulent pendant le cycle de développement durable. Une analyse de la criticité permettra de s'assurer que les fonctions et les composants essentiels à la mission bénéficient d'une priorité plus élevée en raison de leur impact sur la mission s'ils sont compromis. La politique doit inclure les rôles en matière de cybersécurité liés à la chaîne d'approvisionnement qui s'appliquent à la réalisation et à la coordination des évaluations des risques dans l'ensemble de l'entreprise (voir la section 2 pour la liste et la description des rôles). Il convient de définir les rôles applicables au sein des fournisseurs, des développeurs, des intégrateurs de systèmes, des prestataires de services externes et des autres prestataires de services liés aux TIC/OT. |
Voir PM-9 Stratégie de gestion des risques |
RA-2 (1) Catégorisation de la sécurité - hiérarchisation des niveaux d'impact SP 800-161r1 Applicable : Cybersecurity Risk Management Guidance (Guide de gestion des risques de cybersécurité) : La catégorisation de la sécurité est essentielle pour le C-SCRM aux niveaux 1, 2 et 3. En plus de la catégorisation [FIPS 199], la catégorisation de sécurité pour le C-SCRM doit être basée sur l'analyse de criticité qui est effectuée dans le cadre du SDLC. Voir la section 2 et [NISTIR 8179] pour une description détaillée de l'analyse de criticité. |
Voir PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission |
RA-3 (1) Évaluation des risques - Évaluation des risques liés à la chaîne d'approvisionnement SP 800-161r1 Applicable Cybersecurity Risk Management Guidance (Guide de gestion des risques de cybersécurité) : L'évaluation des risques doit comprendre une analyse de la criticité, des menaces, des vulnérabilités, de la probabilité et de l'impact, comme décrit en détail à l'annexe C. Les données à examiner et à collecter comprennent les rôles, les processus et les résultats des acquisitions, de la mise en œuvre et de l'intégration des systèmes/composants et des services propres au C-SCRM. Les évaluations des risques doivent être effectuées aux niveaux 1, 2 et 3. Les évaluations des risques aux niveaux supérieurs devraient consister principalement en une synthèse des diverses évaluations des risques effectuées aux niveaux inférieurs et utilisées pour comprendre l'impact global avec le niveau (par exemple, au niveau de l'entreprise ou de la mission/fonction). Les évaluations des risques du C-SCRM doivent compléter et informer les évaluations des risques, qui sont réalisées en tant qu'activités continues tout au long du SDLC, et les processus doivent être alignés ou intégrés de manière appropriée aux processus et à la gouvernance de l'ERM. |
La plateforme Prevalent TPRM comprend une vaste bibliothèque de modèles préétablis pour les évaluations des risques des tiers, y compris ceux qui sont spécifiquement conçus pour les contrôles NIST. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants. Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs. |
RA-3 (2) Évaluation des risques - Utilisation de renseignements provenant de toutes les sources RA-3 (3) Évaluation des risques et connaissance dynamique des menaces RA-3 (4) Évaluation des risques - Analyse prédictive Cyber SP 800-161r1 applicable - Directives sur la gestion des risques liés à la cybersécurité : Voir RA-3 (1) |
Avec Prevalent, vous pouvez suivre et analyser en permanence les menaces externes pour les tiers. Dans ce cadre, nous surveillons l'internet et le dark web à la recherche de menaces et de vulnérabilités sur cyber , ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Les sources de surveillance comprennent :
Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse. |
RA-7 Réponse aux risques Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : Les entreprises doivent intégrer les capacités de réponse aux risques de cybersécurité tout au long de la chaîne d'approvisionnement dans la posture de réponse globale de l'entreprise, en veillant à ce que ces réponses soient alignées sur la tolérance au risque de l'entreprise et à ce qu'elles se situent dans les limites de celle-ci. La réponse aux risques doit comprendre l'identification de la réponse aux risques, l'évaluation des alternatives et les activités de décision en matière de réponse aux risques. |
Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci. Enfin, assigner des responsables et suivre les risques et les mesures correctives dans la plate-forme jusqu'à un niveau acceptable pour l'entreprise. |
RA-9 Analyse de la criticité Applicable SP 800-161r1 Cybersecurity Risk Management Guidance (Guide de gestion des risques liés à la cybersécurité) : Les entreprises doivent procéder à une analyse de criticité en tant que préalable à l'évaluation des activités de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement. Tout d'abord, les entreprises doivent réaliser une analyse de criticité dans le cadre de l'étape "Cadre" du processus de gestion des risques C-SCRM. Ensuite, les résultats des activités de l'étape Évaluer (par exemple, analyse de la criticité, analyse des menaces, analyse de la vulnérabilité et stratégies d'atténuation) permettent d'actualiser et d'adapter l'analyse de la criticité. Il existe une relation symbiotique entre l'analyse de criticité et les autres activités de l'étape d'évaluation, en ce sens qu'elles s'informent et se renforcent mutuellement. Pour obtenir une analyse de criticité de grande qualité, les entreprises doivent l'utiliser de manière itérative tout au long de la SLDC et simultanément aux trois niveaux. Les entreprises doivent exiger de leurs contractants principaux qu'ils mettent en œuvre ce contrôle et qu'ils transmettent cette exigence aux contractants de niveau inférieur concernés. Les ministères et les agences doivent également se référer à l'annexe F pour compléter les présentes orientations conformément à l'Executive Order 14028, Improving the Nation's Cybersecurity (Améliorer la cybersécurité de la nation). |
Voir PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission |
SR-1 Politique et procédures SP 800-161r1 applicable : Cybersecurity Risk Management Guidance (Directives sur la gestion des risques liés à la cybersécurité) : Les politiques C-SCRM sont élaborées au niveau 1 pour l'ensemble de l'entreprise et au niveau 2 pour des missions et fonctions spécifiques. Elles peuvent être mises en œuvre aux niveaux 1, 2 et 3, en fonction de leur degré d'approfondissement et de détail. Les procédures C-SCRM sont développées au niveau 2 pour des missions et fonctions spécifiques et au niveau 3 pour des systèmes spécifiques. Les fonctions de l'entreprise, notamment la sécurité de l'information, les services juridiques, la gestion des risques et les acquisitions, doivent examiner et approuver l'élaboration des politiques et procédures de RCM ou fournir des orientations aux propriétaires de systèmes pour l'élaboration de procédures de RCM propres à chaque système. |
Voir PM-9 Stratégie de gestion des risques |
SR-2 Plan de gestion des risques de la chaîne d'approvisionnement Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : Les plans C-SCRM décrivent les mises en œuvre, les exigences, les contraintes et les implications au niveau du système. Les plans C-SCRM sont influencés par les autres activités d'évaluation des risques de l'entreprise et peuvent hériter et adapter les référentiels de contrôle communs définis aux niveaux 1 et 2. Les plans C-SCRM définis au niveau 3 travaillent en collaboration avec la stratégie et les politiques C-SCRM de l'entreprise (niveaux 1 et 2) et le plan de mise en œuvre C-SCRM (niveaux 1 et 2) afin de fournir une approche systématique et holistique de la gestion des risques liés à la chaîne d'approvisionnement en cybersécurité dans l'ensemble de l'entreprise. Les plans C-SCRM doivent être élaborés en tant que document autonome et n'être intégrés dans les plans de sécurité des systèmes existants que si les contraintes de l'entreprise l'exigent. |
Voir PM-9 Stratégie de gestion des risques |
SR-3 Contrôles et processus de la chaîne d'approvisionnement SP 800-161r1 Applicable Cybersecurity Risk Management Guidance (Guide de gestion des risques de cybersécurité) : La section 2 et l'annexe C du présent document fournissent des orientations détaillées sur la mise en œuvre de ce contrôle. Les ministères et les agences doivent se référer à l'annexe F pour mettre en œuvre ces orientations conformément au décret 14028 sur l'amélioration de la cybersécurité de la nation. |
Voir PM-9 Stratégie de gestion des risques |
SR-4 (4) Provenance | Intégrité de la chaîne d'approvisionnement - pedigree Applicable SP 800-161r1 Cybersecurity Risk Management Guidance : La provenance doit être documentée pour les systèmes, les composants des systèmes et les données associées tout au long du cycle de développement durable. Les entreprises doivent envisager de produire des SBOM pour les classes de logiciels applicables et appropriées, y compris les logiciels achetés, les logiciels libres et les logiciels internes. Les SBOM doivent être produits en utilisant uniquement les formats de SBOM soutenus par la NTIA qui peuvent satisfaire aux éléments minimaux du SBOM de la NTIA [NTIA SBOM] EO 14028. Les entreprises qui produisent des SBOM doivent utiliser les éléments minimaux du SBOM [NTIA SBOM] pour encadrer l'inclusion des composants primaires. Les SBOM doivent être signés numériquement à l'aide d'une clé vérifiable et fiable. Les SBOM peuvent jouer un rôle essentiel en permettant aux organisations de maintenir la provenance. Cependant, au fur et à mesure que les SBOM arrivent à maturité, les organisations doivent veiller à ne pas réduire la priorité accordée aux capacités C-SCRM existantes (par exemple, les pratiques de gestion de la vulnérabilité et les évaluations des risques des fournisseurs) en pensant à tort que les SBOM remplacent ces activités. Les SBOM et l'amélioration de la transparence qu'ils sont censés apporter aux organisations sont des capacités complémentaires et non substitutives. Les organisations qui n'ingèrent pas, n'analysent pas et n'agissent pas de manière appropriée sur les données fournies par les SBOM n'amélioreront probablement pas leur position globale en matière de C-SCRM. Les agences fédérales doivent se référer à l'annexe F pour mettre en œuvre ces orientations conformément à l'Executive Order 14028 sur l'amélioration de la cybersécurité de la nation. |
Dans le cadre du processus de diligence raisonnable, Prevalent permet aux fournisseurs de fournir des nomenclatures logicielles (SBOM) actualisées pour leurs produits logiciels. Cela vous aide à identifier les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation. |
SR-5 Stratégies, outils et méthodes d'acquisition SP 800-161r1 applicable - Conseils en matière de gestion des risques liés à la cybersécurité : La section 3 et les contrôles SA fournissent des orientations supplémentaires sur les stratégies, les outils et les méthodes d'acquisition. Les ministères et les agences doivent se référer à l'annexe F pour mettre en œuvre ces orientations conformément au décret 14028 sur l'amélioration de la cybersécurité de la nation. |
Prevalent permet à votre équipe de centraliser et d'automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet de comparer les attributs clés. Comme tous les fournisseurs de services sont centralisés et examinés, la plateforme Prevalent crée des profils de fournisseurs complets qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes. Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions relatives à la sélection des fournisseurs. |
SR-6 Évaluations et examens des fournisseurs SP 800-161r1 Applicable Cybersecurity Risk Management Guidance : D'une manière générale, une entreprise doit prendre en compte toute information relative à la sécurité, à l'intégrité, à la résilience, à la qualité, à la fiabilité ou à l'authenticité du fournisseur ou des services ou produits qu'il fournit. Les entreprises devraient envisager d'appliquer ces informations à un ensemble cohérent de facteurs de base et de critères d'évaluation afin de faciliter une comparaison équitable (entre les fournisseurs et dans le temps). En fonction du contexte spécifique et de l'objectif pour lequel l'évaluation est menée, l'entreprise peut sélectionner des facteurs supplémentaires. La qualité des informations (pertinence, exhaustivité, exactitude, etc.) utilisées pour l'évaluation est également un élément important. Les sources de référence pour les informations d'évaluation doivent également être documentées. Le C-SCRM PMO peut aider à définir les exigences, les méthodes et les outils pour les évaluations des fournisseurs de l'entreprise. Les ministères et les agences doivent se référer à l'annexe E pour des conseils supplémentaires concernant les facteurs de risque de base et la documentation des évaluations, et à l'annexe F pour mettre en œuvre ces conseils conformément à l'Executive Order 14028, Improving the Nation's Cybersecurity (Améliorer la cybersécurité de la nation). |
Voir RA-3 (1) Évaluation des risques - Évaluation des risques de la chaîne d'approvisionnement |
SR-8 Accords de notification SP 800-161r1 Applicable Cybersecurity Risk Management Guidance : Les entreprises doivent au minimum exiger de leurs fournisseurs qu'ils établissent des accords de notification avec les entités de leur chaîne d'approvisionnement qui ont un rôle ou une responsabilité liés à ce service ou produit critique. Les ministères et les agences doivent se référer à l'annexe F pour mettre en œuvre ces orientations conformément à l'Executive Order 14028, Improving the Nation's Cybersecurity (Améliorer la cybersécurité de la nation). |
Prevalent permet à votre équipe de centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les capacités clés comprennent :
Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence. |
SR-13 Inventaire des fournisseurs Applicable SP 800-161r1 Cybersecurity Risk Management Guidance (Guide de gestion des risques liés à la cybersécurité) : Les entreprises s'appuient sur de nombreux fournisseurs pour mener à bien leurs missions et leurs fonctions. Nombre d'entre eux fournissent des produits et des services à l'appui de plusieurs missions, fonctions, programmes, projets et systèmes. Certains fournisseurs sont plus critiques que d'autres, en fonction de la criticité des missions, fonctions, programmes, projets et systèmes que leurs produits et services soutiennent, et du niveau de dépendance de l'entreprise à l'égard du fournisseur. Les entreprises doivent utiliser l'analyse de la criticité pour déterminer quels produits et services sont essentiels à la détermination de la criticité des fournisseurs à consigner dans l'inventaire des fournisseurs. Voir la section 2, l'annexe C et le document RA-9 pour obtenir des conseils sur la réalisation d'une analyse de criticité. |
La plateforme Prevalent TPRM centralise toutes les informations sur les fournisseurs dans un profil unique, de sorte que tous les départements qui travaillent avec les fournisseurs utilisent les mêmes informations, ce qui améliore la visibilité et la prise de décision. Importez les fournisseurs par le biais d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement existante, éliminant ainsi les processus manuels sujets aux erreurs. Renseignez les détails clés sur les fournisseurs à l'aide d'un formulaire d'inscription centralisé et personnalisable et du flux de travail associé. Tout le monde peut y accéder par invitation électronique, sans avoir besoin de formation ou d'expertise en matière de solutions. Avec Prevalent, vous pouvez créer des profils de fournisseurs complets qui comparent et surveillent les données démographiques des fournisseurs, leur situation géographique, les technologies de quatrième partie et les informations opérationnelles récentes. L'accumulation de ces données vous permettra de signaler les risques de concentration géographique et technologique et de prendre des mesures pour y remédier. |
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Comparez votre programme TPRM aux directives applicables du NIST SP 800-53.
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
Apprenez à connaître les directives applicables en matière de gestion des risques de cybersécurité des tiers dans la norme NIST SP 800-53 et mettez en œuvre les meilleures...