Directives du NCSC relatives à la cybersécurité de la chaîne d'approvisionnement et à la gestion des risques liés aux tiers

Utilisez ces bonnes pratiques pour répondre aux exigences des 5 étapes du guide publié par le Centre national de cybersécurité du Royaume-Uni.

Personnel de Mitratech
Personnel de Mitratech Avril 12, 2023 9 min de lecture

Suite à l'augmentation continue des cyberattaques très médiatisées résultant des vulnérabilités de la chaîne d'approvisionnement, le Centre national de cybersécurité du Royaume-Uni (NCSC), qui fait partie du GCHQ, a publié des directives mises à jour afin d'aider les organisations à évaluer efficacement la cybersécurité de leurs chaînes d'approvisionnement et à renforcer leur confiance dans ce domaine.

Les dernières directives, publiées en octobre 2022, ont pour objectif d'aider les organisations à mettre en œuvre les 12 principes de sécurité de la chaîne d'approvisionnement du NCSC, initialement publiés en janvier 2018, comme indiqué dans l'illustration ci-dessous (avec l'aimable autorisation du National Cyber Security Centre, qui fait partie du GCHQ).

Les directives sont divisées en cinq étapes :

  1. Avant de commencer
  2. Développer une approche pour évaluer la cybersécurité de la chaîne d'approvisionnement
  3. Appliquer cette approche aux nouvelles relations avec les fournisseurs
  4. Intégrer l'approche dans les contrôles existants des fournisseurs
  5. Améliorer continuellement

Cet article examine les cinq étapes décrites dans les dernières recommandations du NCSC et identifie les meilleures pratiques pour mettre en œuvre ces recommandations.

Guide de cybersécurité de la chaîne d'approvisionnement du NCSC Étape 1 : Avant de commencer

Selon les directives du NCSC, l'objectif de la phase 1 est « d'acquérir des connaissances sur l'approche de votre propre organisation en matière de gestion des risques liés à la cybersécurité ». Cette phase initiale de planification comprend les étapes suivantes.

Comprendre les risques auxquels votre organisation est confrontée

Selon une récente étude sectorielle, 45 % des organisations ont été victimes d'une violation de données ou de confidentialité par un tiers au cours des 12 derniers mois. Répondez à ces questions clés :

  • Votre organisation peut-elle rester résiliente face à une cyberperturbation de la chaîne d'approvisionnement ?
  • Pouvez-vous identifier la cible d'un cyberattaquant ? S'agit-il des données ?
  • Pouvez-vous identifier le vecteur d'attaque le plus probable pour un cyberattaquant ?

Si la réponse à l'une de ces questions est « non », vous devez alors évaluer les points faibles de votre chaîne logistique informatique et élaborer un plan pour atténuer ces risques.

Déterminer qui doit être impliqué dans les décisions relatives à la cybersécurité de la chaîne d'approvisionnement

Les participants peuvent inclure des représentants des équipes chargées des achats et de l'approvisionnement, de la gestion des risques, de la sécurité et de l'informatique, des services juridiques et de la conformité, ainsi que de la confidentialité des données. La raison pour laquelle autant d'équipes doivent être impliquées dans le processus de gestion des cyberrisques liés à la chaîne d'approvisionnement est que chaque service a tendance à se concentrer sur les risques qui le concernent. Par exemple :

  • Les équipes chargées de la sécurité informatique et de la confidentialité doivent déterminer quels contrôles sont en place pour protéger les données et l'accès aux systèmes, si le fournisseur a été victime d'une violation, quel en a été l'impact et s'il existe un risque excessif lié à des tiers.
  • Les équipes chargées des achats peuvent souhaiter le faire si les antécédents financiers ou de crédit du fournisseur soulèvent des inquiétudes, ou si le fournisseur souffre d'un problème de réputation.
  • Les équipes chargées de la conformité et des questions juridiques voudront savoir si le fournisseur a fait l'objet de signalements pour des raisons liées à la confidentialité des données, à l'environnement, aux questions sociales et de gouvernance, à la corruption ou à des sanctions.
  • Les équipes chargées de la gestion des risques voudront savoir si le fournisseur se trouve dans une région sujette aux catastrophes naturelles ou à l'instabilité géopolitique.

Tout d'abord, établissez une matrice RACI afin de définir qui, au sein de l'organisation, est :

  • Responsable de la gestion des risques
  • Responsable des résultats
  • Consulté avec
  • Tenu informé du processus et des résultats

Enfin, obtenez l'adhésion des cadres supérieurs et du conseil d'administration en :

  • Présentation d'une vue consolidée de l'exposition actuelle de l'organisation aux risques liés à la chaîne d'approvisionnement
  • Communication sur l'état actuel des risques et les efforts de réduction
  • Identifier les domaines où le soutien de la direction est nécessaire

Évaluation des risques

Une méthode courante pour classer les risques consiste à utiliser une « carte thermique » qui mesure les risques selon deux axes : la probabilité de survenue et l'impact sur les opérations. Naturellement, les risques qui obtiennent un score élevé sur les deux axes (par exemple, ceux situés dans le quadrant supérieur droit) doivent être classés comme prioritaires par rapport aux risques qui obtiennent un score plus faible.

Directives du NCSC Étape 2 : Élaborer une approche pour évaluer la cybersécurité de la chaîne d'approvisionnement

La phase 2 recommande de « mettre en place une approche reproductible et cohérente pour évaluer la cybersécurité de vos fournisseurs ». Cette phase comprend :

  • Savoir quels actifs l'organisation doit protéger ;
  • Définir les contrôles de sécurité idéaux pour protéger l'actif ; et
  • Déterminer comment évaluer les fournisseurs et gérer les cas de non-conformité.

Avant de créer le profil de sécurité du fournisseur, examinez les risques inhérents auxquels il expose l'entreprise. Tenez compte de ce cadre lorsque vous calculez le risque inhérent :

  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

Grâce aux informations issues de cette évaluation des risques inhérents, votre équipe peut automatiquement classer et profiler les fournisseurs, établir des clauses contractuelles spécifiques pour faire respecter les normes, définir des niveaux appropriés de diligence supplémentaire, déterminer la portée des évaluations continues et définir des mesures correctives en cas de non-conformité.

Pour vérifier la conformité aux exigences de sécurité, envisagez de normaliser les évaluations par rapport aux normes Cyber Essentials, ISO ou à d'autres cadres de contrôle de la sécurité de l'information couramment adoptés.

Guide du NCSC Étape 3 : Appliquer l'approche aux nouvelles relations avec les fournisseurs

À l'étape 3, les directives du NCSC recommandent d'intégrer « de nouvelles pratiques de sécurité tout au long du cycle de vie des contrats des nouveaux fournisseurs, depuis l'approvisionnement et la sélection des fournisseurs jusqu'à la clôture du contrat ». Cela implique de contrôler le respect des dispositions contractuelles et de sensibiliser l'équipe à ses responsabilités tout au long du processus.

Ces directives exigent des organisations qu'elles soient conscientes des risques à chaque étape du cycle de vie des fournisseurs, notamment :

  • Effectuer une vérification préalable au contrat en recueillant des informations sur la cybersécurité ou l'historique des violations de données des fournisseurs potentiels avant de prendre une décision de sélection.
  • Évaluer et classer les fournisseurs afin de savoir comment les trier et quelles mesures de diligence raisonnable continues sont nécessaires.
  • Validation des résultats d'évaluation à l'aide de données de surveillance informatique en temps réel
  • Suivi centralisé de tous les contrats et des attributs liés à la sécurité des contrats
  • Mesurer l'efficacité des fournisseurs, notamment les indicateurs clés de performance (KPI), les indicateurs clés de risque (KRI) et les accords de niveau de service (SLA) par rapport aux mesures de conformité afin de s'assurer que ces fournisseurs respectent les exigences contractuelles.
  • Mettre fin à des relations de manière à garantir le respect des contrats, la destruction des données et la vérification des derniers éléments.

Réalisez des évaluations de la cybersécurité des fournisseurs lors de leur intégration, du renouvellement de leur contrat ou à toute fréquence requise (par exemple, tous les trimestres ou tous les ans). Assurez-vous que les évaluations s'appuient sur des capacités de gestion des flux de travail, des tâches et d'examen automatisé des preuves.

Ensuite, suivez et analysez en permanence les menaces externes pesant sur les tiers en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Les sources de surveillance doivent inclure : les forums criminels, les pages onion, les forums d'accès spécial au dark web, les flux de menaces, les sites de partage de données d'identification divulguées, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données de violations de données. Corrélez toutes les données de surveillance avec les résultats de l'évaluation et centralisez-les dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser les initiatives d'examen, de signalement et de réponse aux risques.

Guide du NCSC Étape 4 : Intégrer l'approche dans les contrats existants avec les fournisseurs

À l'étape 4, le NCSC recommande de revoir « vos contrats existants soit lors de leur renouvellement, soit plus tôt lorsqu'il s'agit de fournisseurs essentiels ». Ces recommandations supposent un certain niveau de gestion du cycle de vie des contrats et de gestion des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI).

Gestion du cycle de vie des contrats

Centralisez la distribution, la discussion, la conservation et la révision des contrats fournisseurs afin que toutes les équipes concernées puissent participer à la révision des contrats et s'assurer que les clauses de sécurité appropriées y figurent.

Les pratiques clés à prendre en compte dans la gestion des contrats fournisseurs comprennent :

  • Stockage centralisé des contrats
  • Suivi de tous les contrats et attributs contractuels tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Gestion des KPI et des KRI

Une partie importante des contrats de révision consiste à mesurer les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI). Pour permettre une révision efficace des KPI et KRI contractuels, classez-les comme suit :

  • Les mesures des risques permettent de comprendre les risques liés à la collaboration avec un fournisseur, ainsi que les mesures d'atténuation associées.
  • Les mesures des menaces recoupent quelque peu les risques et donnent une vision plus complète et validée des risques.
  • Les mesures de conformité permettent de déterminer si les fournisseurs respectent vos exigences en matière de contrôles internes.
  • Les mesures de couverture répondent à la question suivante : « Ai-je une couverture complète de l'empreinte de mes fournisseurs et ceux-ci sont-ils classés par niveau et traités en conséquence ? »

Ensuite, veillez à relier les résultats aux dispositions du contrat afin d'assurer une gouvernance complète du processus.

Enfin, assurez-vous que votre équipe comprend parfaitement le type d'informations que le conseil d'administration doit voir. Cette approche devrait permettre à votre équipe de :

  • Présenter une vue consolidée de l'exposition actuelle au risque de l'organisation provenant de la chaîne d'approvisionnement.
  • Communiquer l'état actuel des fournisseurs essentiels qui soutiennent les efforts majeurs de l'entreprise.
  • Afficher les risques inhérents et résiduels provenant des sources de renseignements sur les menaces afin de démontrer les progrès réalisés dans la réduction des risques au fil du temps.
  • Identifier les domaines dans lesquels le soutien de la direction est nécessaire

Guide du NCSC Étape 5 : Amélioration continue

La dernière étape des recommandations du NCSC stipule qu'« affiner régulièrement votre approche à mesure que de nouveaux problèmes apparaissent réduira le risque que des menaces soient introduites dans votre organisation via la chaîne d'approvisionnement ».

Suivre et analyser en permanence les menaces externes pesant sur des tiers en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Les sources à surveiller doivent inclure : les forums criminels, les pages onion, les forums à accès spécial du dark web, les flux de menaces, les sites de partage de données d'identification divulguées, les bases de données sur les violations, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données sur les vulnérabilités.

Les résultats des évaluations et du suivi continu doivent être rassemblés dans un registre des risques unique, accompagné d'un rapport sous forme de carte thermique qui mesure et classe les risques en fonction de leur probabilité et de leur impact. Élaborez des plans de remédiation accompagnés de recommandations que les fournisseurs peuvent suivre pour réduire les risques résiduels. Offrez aux fournisseurs un forum où ils peuvent télécharger des preuves et communiquer sur des mesures de remédiation spécifiques, avec une piste d'audit sécurisée permettant de suivre les mesures de remédiation jusqu'à leur achèvement.

Prochaines étapes : téléchargez la liste de contrôle complète du NCSC sur la cybersécurité de la chaîne d'approvisionnement.

Les exigences du NCSC peuvent aider à fournir une structure et des recommandations sur les meilleures pratiques afin d'atténuer les risques d'attaques contre la cybersécurité de la chaîne d'approvisionnement. Prevalent offre une plateforme centralisée et automatisée pour évaluer et surveiller en permanence les risques, en coordination avec votre programme global de gestion des risques liés à la cybersécurité.

Pour en savoir plus sur la manière dont Prevalent peut vous aider, consultez notre page consacrée aux solutions NCSC, téléchargez la liste de contrôle complète sur la cybersécurité de la chaîne d'approvisionnement NCSC ou contactez Prevalent dès aujourd'hui pour planifier une démonstration personnalisée.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.