Le National Institute of Standards and Technology (NIST) est une agence fédérale relevant du département américain du Commerce, dont les responsabilités comprennent l'établissement de normes et de lignes directrices relatives aux technologies de l'information et de l'informatique pour les agences fédérales. L'une de ces lignes directrices du NIST est la publication spéciale (SP) 800-161. Actuellement en révision 1 mise à jour en 2022, la norme NIST SP 800-161 décrit un cadre complémentaire à la norme NIST SP 800-53 qui permet de définir, d'évaluer, de traiter et de surveiller les risques liés à la cybersécurité dans la chaîne d'approvisionnement.
La norme SP 800-161 intègre la gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement (C-SCRM) dans les activités de gestion des risques en appliquant une approche multiniveaux spécifique à la C-SCRM. Elle fournit des conseils sur l'élaboration de plans de mise en œuvre de la stratégie C-SCRM, de politiques C-SCRM, de plans C-SCRM et d'évaluations des risques pour les produits et services. En raison de son caractère exhaustif, cette norme est devenue un cadre mondialement adopté pour la mise en œuvre et le maintien des contrôles de gestion des risques liés à la chaîne d'approvisionnement.
Cet article examine les contrôles applicables en matière de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement de la famille de contrôles SP 800-53r5 Supply Chain Risk Management (SR), avec des recommandations supplémentaires issues du document NIST SP 800-161r1. Il identifie les meilleures pratiques que vous pouvez mettre en œuvre pour répondre aux exigences du NIST en matière de renforcement de la sécurité de la chaîne d'approvisionnement.
Contrôles de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement du NIST
**REMARQUE :** *Cet article ne traite que de certains contrôles C-SCRM de la famille de contrôles relatifs à la gestion des risques liés à la chaîne d'approvisionnement (SR). Pour obtenir la liste complète des contrôles, veuillez consulter en détail le [guide complet SP 800-161](https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final) et vous adresser à votre auditeur.*
| Colonne 1 | Colonne 2 |
|---|---|
| SP 800-53r5 Contrôles spécifiques à la chaîne d'approvisionnement et applicables SP 800-161r1 Guide de gestion des risques liés à la cybersécurité | Capacités en matière de bonnes pratiques |
| SR-1 Politique et procédures
Élaborer, documenter et diffuser : Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 : …Les fonctions de l'entreprise, notamment la sécurité de l'information, les affaires juridiques, la gestion des risques et les acquisitions, doivent examiner et approuver l'élaboration des politiques et procédures C-SCRM ou fournir des conseils aux propriétaires de systèmes pour l'élaboration de procédures C-SCRM spécifiques à leurs systèmes. SR-2 Plan de gestion des risques de la chaîne d'approvisionnement a. Élaborer un plan de gestion des risques liés à la chaîne d'approvisionnement associés à la recherche et au développement, à la conception, à la fabrication, à l'acquisition, à la livraison, à l'intégration, à l'exploitation et à la maintenance, ainsi qu'à l'élimination des systèmes, des composants ou des services liés aux systèmes. Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 : Les plans C-SCRM décrivent les mises en œuvre, les exigences, les contraintes et les implications au niveau du système. … Les plans C-SCRM doivent être élaborés sous forme de document autonome et ne doivent être intégrés dans les plans de sécurité des systèmes existants que si les contraintes de l'entreprise l'exigent. SR-3 Contrôles et processus de la chaîne d'approvisionnement a. Mettre en place un ou plusieurs processus permettant d'identifier et de traiter les faiblesses ou les lacunes des éléments et des processus de la chaîne d'approvisionnement, en coordination avec le personnel chargé de la chaîne d'approvisionnement ; Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 : … Les ministères et agences doivent … mettre en œuvre ces directives conformément au décret 14028 sur l'amélioration de la cybersécurité nationale. |
Élaborez un programme complet de gestion des risques liés aux tiers (TPRM) ou de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement (C-SCRM) en accord avec vos programmes plus généraux en matière de sécurité et de gouvernance de l'information, de gestion des risques d'entreprise et de conformité.
Recherchez des experts pour collaborer avec votre équipe sur : Dans le cadre de ce processus, vous devez définir Évaluez en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs tiers tout au long du cycle de vie de la relation. |
| SR-4 (4) Provenance - intégrité de la chaîne d'approvisionnement - pedigree
Utiliser des contrôles et des analyses pour garantir l'intégrité du système et de ses composants en validant la composition interne et la provenance des technologies, produits et services critiques ou essentiels à la mission. Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 : La provenance doit être documentée pour les systèmes, les composants système et les données associées tout au long du cycle de vie du développement logiciel (SDLC). Les entreprises doivent envisager de produire des SBOM pour les catégories de logiciels applicables et appropriées, y compris les logiciels achetés, les logiciels open source et les logiciels internes... |
Dans le cadre du processus de diligence raisonnable, exigez des fournisseurs qu'ils fournissent des nomenclatures logicielles (SBOM) à jour pour leurs produits logiciels. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence susceptibles d'avoir un impact sur la sécurité et la conformité de votre organisation. |
| SR-5 Stratégies, outils et méthodes d'acquisition
Utiliser des stratégies d'acquisition, des outils contractuels et des méthodes de passation de marchés pour se protéger contre les risques liés à la chaîne d'approvisionnement, les identifier et les atténuer. Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 : … Les ministères et agences doivent … mettre en œuvre ces directives conformément au décret 14028 sur l'amélioration de la cybersécurité nationale. |
Centraliser et automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet la comparaison sur des attributs clés.
Comme tous les prestataires de services sont centralisés et évalués, les équipes doivent créer des profils complets des fournisseurs contenant des informations démographiques, les technologies tierces, les scores ESG, des informations récentes sur leurs activités et leur réputation, l'historique des violations de données et leurs performances financières récentes. Ce niveau de diligence raisonnable crée un contexte plus large pour prendre des décisions en matière de sélection des fournisseurs. |
| SR-6 Évaluations et examens des fournisseurs
Évaluer et examiner les risques liés à la chaîne d'approvisionnement associés aux fournisseurs ou aux sous-traitants et au système, au composant de système ou au service de système qu'ils fournissent. Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 : En général, une entreprise doit prendre en considération toute information pertinente concernant la sécurité, l'intégrité, la résilience, la qualité, la fiabilité ou l'authenticité du fournisseur ou des services ou produits qu'il fournit. Les entreprises doivent envisager d'appliquer ces informations à un ensemble cohérent de facteurs de base et de critères d'évaluation afin de faciliter une comparaison équitable (entre les fournisseurs et au fil du temps). En fonction du contexte spécifique et de l'objectif de l'évaluation, l'entreprise peut sélectionner des facteurs supplémentaires. La qualité des informations (par exemple, leur pertinence, leur exhaustivité, leur exactitude, etc.) utilisées pour une évaluation est également un élément important à prendre en considération. Les sources de référence pour les informations d'évaluation doivent également être documentées... |
Suivre et analyser en continu menaces externes envers des tiersDans ce cadre, surveillez Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.
Les sources de surveillance sont généralement les suivantes Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse. |
| Accords de notification SR-8
Établir des accords et des procédures avec les entités impliquées dans la chaîne d'approvisionnement du système, du composant du système ou du service du système pour la notification des compromissions de la chaîne d'approvisionnement et des résultats des évaluations ou des audits. Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 : Au minimum, les entreprises devraient exiger de leurs fournisseurs qu'ils concluent des accords de notification avec les entités de leur chaîne d'approvisionnement qui ont un rôle ou une responsabilité liés à ce service ou produit essentiel... |
Centralisez la distribution, la discussion, la conservation et la révision des contrats fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les principales fonctionnalités sont les suivantes : * Suivi centralisé de tous les contrats et attributs contractuels tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles * Fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats * Rappels automatisés et avis de retard pour rationaliser les révisions de contrats * Suivi centralisé des discussions et des commentaires relatifs aux contrats * Stockage des contrats et des documents avec autorisations basées sur les rôles et pistes d'audit de tous les accès * Suivi du contrôle des versions prenant en charge les modifications hors ligne des contrats et des documents * Autorisations basées sur les rôles permettant l'attribution des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification. Grâce à cette fonctionnalité, vous pouvez vous assurer que les responsabilités et les clauses relatives au droit d'audit sont clairement énoncées dans le contrat du fournisseur, et que les SLA sont suivis et gérés en conséquence. |
| SR-13 Inventaire des fournisseurs
Développer, documenter et tenir à jour un inventaire des fournisseurs qui : Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 : Les entreprises dépendent de nombreux fournisseurs pour mener à bien leurs missions et remplir leurs fonctions. De nombreux fournisseurs fournissent des produits et des services qui soutiennent plusieurs missions, fonctions, programmes, projets et systèmes. Certains fournisseurs sont plus importants que d'autres, en fonction de l'importance des missions, fonctions, programmes, projets et systèmes que leurs produits et services soutiennent, et du niveau de dépendance de l'entreprise à l'égard du fournisseur. Les entreprises doivent utiliser l'analyse de criticité pour déterminer quels produits et services sont essentiels afin de déterminer la criticité des fournisseurs à documenter dans l'inventaire des fournisseurs... |
Centraliser toutes les informations sur les fournisseurs dans un seul profil de fournisseur afin que tous les services en contact avec les fournisseurs disposent des mêmes informations, améliorant ainsi la visibilité et la prise de décision.
Importer les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante, éliminant ainsi les processus manuels sujets aux erreurs. Renseignez les détails clés du fournisseur à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Ce formulaire devrait être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions. Créez des profils complets des fournisseurs qui comparent et surveillent leurs données démographiques, leur emplacement géographique, les technologies tierces utilisées et les informations opérationnelles récentes. Grâce à ces données accumulées, vous serez en mesure de signaler les risques liés à la concentration géographique et technologique, et de prendre les mesures qui s'imposent. |
Comment Prevalent aide à respecter les directives NIST SP 800-161 relatives à la gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement
Prevalent offre une plateforme centrale et automatisée pour la gestion des risques des tiers et la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité. Avec Prevalent, votre équipe peut :
- Élaborer un programme de gestion des risques des tiers conforme aux meilleures pratiques, en accord avec la chaîne d'approvisionnement en cybersécurité et les programmes de gestion des risques de l'entreprise de votre organisation.
- Exploiter des informations consolidées sur plusieurs domaines de risque pour automatiser les processus d'appel d'offres et prendre des décisions plus éclairées en matière de diligence raisonnable à l'égard des fournisseurs.
- centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin de s'assurer que les principales exigences en matière de sécurité sont incluses, convenues et appliquées au moyen d'indicateurs de performance clés
- Dresser un inventaire unique des fournisseurs et évaluer le risque inhérent afin d'établir le profil des fournisseurs de services, de les classer et de les catégoriser - et de déterminer la portée et la fréquence appropriées des activités de diligence raisonnable en cours.
- Automatiser l'évaluation des risques et la remédiation à chaque étape du cycle de vie des tiers
- Suivre et analyser en permanence les menaces externes pour les tiers en surveillant l'internet et le dark web pour détecter les cybermenaces et les vulnérabilités.
Pour en savoir plus sur la façon dont Prevalent peut vous aider à respecter les directives du NIST , demandez une démonstration de la solution dès aujourd'hui.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
