Les incidents liés à la sécurité de la chaîne d'approvisionnement font la une des journaux, avec chaque jour une nouvelle violation annoncée, qu'il s'agisse d'une intrusion logicielle comme SolarWinds ou Okta ou d'une attaque de la chaîne d'approvisionnement comme Toyota. Plus récemment, Microsoft a annoncé une intrusion liée à une clé compromise qui a permis un accès illicite aux données des clients.
Face à la multiplication des attaques menées par des tiers, les équipes chargées de la sécurité se posent la question suivante : que pourrait-il se passer ensuite ?
NIST CSF et gestion des risques liés aux tiers
Pour de nombreuses organisations, la réponse est la suivante : vous devez mettre de l'ordre dans votre gestion des risques liés aux tiers (TPRM) en tirant parti des meilleures pratiques, des conseils et des références. Souvent, ces conseils proviennent de cadres de cybersécurité communs tels que le cadre de cybersécurité (CSF) du National Institute of Standards and Technology (NIST). Maintenant que la version 2.0 du NIST CSF a été finalisée, des changements importants auront un impact sur la manière dont vous concevez et mettez en œuvre votre programme TPRM pour faire face à ces risques.
Dans cet article, je vais examiner les changements les plus importants apportés au NIST CSF en matière de gestion des risques liés aux tiers (TPRM) et de C-SCRM, passer en revue ses fonctions essentielles et recommander les meilleures pratiques pour le mettre en œuvre dans le cadre de votre programme de gestion des risques liés aux tiers.
3 mises à jour importantes du TPRM dans la version 2.0 du NIST CSF
1. Nouvelle fonction de gouvernance
L'introduction de la fonction « Gouvernance » illustre à quel point la gouvernance en matière de cybersécurité est essentielle pour gérer et réduire les risques liés à la cybersécurité dans les chaînes d'approvisionnement. Le contenu relatif à la gouvernance qui figurait auparavant dans les autres fonctions ( Identification, Protection, Détection, Réponse et Récupération ) a été transféré dans la fonction « Gouvernance ». Avec les changements proposés, la gouvernance en matière de cybersécurité comprend :
- Déterminer les priorités et les tolérances au risque de l'organisation, des clients et de la société
- Évaluation des risques et des impacts liés à la cybersécurité (y compris pour les tiers)
- Mise en place de politiques et de procédures en matière de cybersécurité
- Comprendre les rôles et les responsabilités en matière de cybersécurité
Selon le NIST, ces activités sont essentielles pour détecter, réagir et se remettre des événements et incidents liés à la cybersécurité, ainsi que pour superviser les équipes qui mènent des activités de cybersécurité pour l'organisation.
Les organisations dépendant de plus en plus de tiers pour des services et technologies essentiels, une gouvernance solide devient essentielle pour gérer ces risques de manière structurée et cohérente. L'intégration de la fonction de gouvernance dans le NIST CSF 2.0 répond à ce besoin en alignant les pratiques de gestion des risques liés aux tiers sur des cadres de gouvernance d'entreprise plus larges.
Principales fonctionnalités de gestion des risques liés aux tiers de la fonction Govern :
Une fonction de gouvernance dédiée contribuera à harmoniser et à intégrer les activités et les processus de cybersécurité des tiers dans les équipes chargées de la gestion des risques tiers, de la gestion des risques d'entreprise et des questions juridiques. Voici quelques aspects à noter :
Responsabilité et prise de décision accrues:
La fonction « Govern » (Gouvernance) de CSF 2.0 souligne l'importance de définir clairement les rôles et les responsabilités au sein des programmes de cybersécurité, en particulier pour la gestion des risques liés aux tiers. En établissant des responsabilités, les organisations peuvent intégrer la gestion des risques liés aux tiers dans le cadre global de gouvernance, évitant ainsi toute fragmentation. Elle encourage l'attribution de responsabilités en matière d'évaluation des risques liés aux fournisseurs, de gestion des contrats et de contrôle continu de la conformité, réduisant ainsi les vulnérabilités. En outre, la fonction « Govern » favorise la mise en place de processus formels pour évaluer les risques liés aux tiers et prendre des décisions éclairées concernant la sélection et la supervision des fournisseurs, en veillant à ce que ces choix soient conformes à la tolérance au risque et aux objectifs de cybersécurité de l'organisation.
Élaboration des politiques et conformité :
La fonction « Govern » encourage les organisations à créer des politiques couvrant tous les aspects de la gestion des risques liés aux tiers, depuis la sélection des fournisseurs jusqu'à la surveillance continue et la réponse aux incidents. Ces politiques garantissent que les fournisseurs respectent les exigences en matière de sécurité, telles que le respect de normes spécifiques, la réalisation d'audits ou la mise en œuvre de contrôles de sécurité. En outre, la fonction « Govern » traite de la conformité aux politiques internes et aux réglementations externes, aidant les organisations à aligner la gestion des risques liés aux tiers sur les normes industrielles telles que HIPAA ou FFIEC afin de garantir la conformité et d'éviter les sanctions.
Surveillance des risques et amélioration continue:
La gouvernance NIST CSF 2.0 souligne l'importance d'une surveillance et d'une amélioration continues de la gestion des risques liés aux tiers. Ce point est également mis en évidence dans la section « Amélioration » de la catégorie « Identification ». La fonction « Gouvernance » invite les organisations à mettre en place des processus permettant de revoir et de mettre à jour régulièrement leurs pratiques en matière de gestion des risques liés aux tiers. Cela permet aux organisations d'adapter leurs stratégies à mesure que le paysage des menaces et les relations avec les tiers évoluent.
L'amélioration continue peut inclure la réévaluation des mesures de sécurité des fournisseurs, la réalisation d'audits et l'examen des rapports d'incidents de tiers. Elle implique également la mise à jour des contrats et des accords de niveau de service (SLA) afin de tenir compte des nouveaux risques liés à la cybersécurité ou des nouvelles exigences réglementaires. L'intégration de ces activités dans la gouvernance garantit une surveillance et une atténuation continues des risques liés aux tiers.
2. Rôles accrus pour les équipes juridiques et de conformité
Conformément à l'ajout de la fonction « Gouvernance », CSF 2.0 met l'accent sur le rôle des équipes juridiques et de conformité. Pour la gestion des risques liés aux tiers (TPRM), ces groupes ont besoin de rapports précis et opportuns de la part des fournisseurs, des vendeurs et d'autres organisations tierces qui peuvent avoir accès à des données, des systèmes et des applications sensibles.
3. Orientations renforcées sur les risques liés à la chaîne d'approvisionnement
La mise à jour CSF 2.0 la plus importante pour les équipes TPRM est l'amélioration des directives relatives à la gestion des risques liés à la chaîne d'approvisionnement. Le CSF 2.0 inclut des résultats supplémentaires en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement (C-SCRM) afin d'aider les organisations à faire face à ces risques spécifiques. Selon le CSF, « l'objectif principal du C-SCRM est d'étendre les considérations appropriées en matière de gestion des risques liés à la cybersécurité de première partie aux tiers, aux chaînes d'approvisionnement et aux produits et services qu'une organisation acquiert, en fonction de l'importance des fournisseurs et de l'évaluation des risques ».
La catégorie « gestion des risques liés à la chaîne d'approvisionnement » a été élargie pour inclure la nouvelle fonction « gouvernance ». Elle comprend de nouvelles dispositions intégrant la cybersécurité dans les contrats, la résiliation des contrats et l'évaluation continue des risques liés aux tiers dans l'ensemble de l'environnement de l'organisation.
Prochaines étapes : téléchargez la liste de contrôle complète NIST CSF 2.0
Finalisée en février 2024, la version 2.0 peut aider les organisations à mieux intégrer les processus complets de gestion des risques liés aux tiers (TPRM) et de gestion des risques liés aux fournisseurs (C-SCRM) dans leurs opérations, de la gouvernance à la gestion des risques et à la cybersécurité. En formalisant les structures de gouvernance autour des relations avec les tiers, en garantissant la responsabilité, en élaborant des politiques solides et en encourageant une surveillance continue, CSF 2.0 fournit un cadre complet pour traiter les risques complexes posés par les tiers.
Regardez mon webinaire à la demande avec Prevalent pour en savoir plus sur la manière dont le NIST CSF 2.0 intègre les contrôles TPRM et de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement. Je vous invite également à télécharger la liste de contrôle complète NIST CSF 2.0 développée par Prevalent. Elle examine en détail la fonction de gouvernance et ses contrôles de gestion des risques liés à la chaîne d'approvisionnement.
Pour en savoir plus sur la solution TPRM prévalente pour NIST CSF 2.0, prenez rendez-vous dès aujourd'hui pour une démonstration.
La structure du NIST CSF
Le CSF est organisé en six fonctions essentielles : gouverner, identifier, protéger, détecter, réagir et récupérer. Les fonctions essentielles sont axées sur les résultats et ne sont pas considérées comme une liste de contrôle des actions à mener par le NIST. Pour une illustration des fonctions essentielles, voir le graphique ci-dessous.
Les six fonctions essentielles du cadre de cybersécurité du NIST. Avec l'aimable autorisation du NIST.
1. Gouverner
Nouvelle fonction introduite avec la version 2.0, Govern est fondamentale et conçue pour indiquer comment une organisation atteindra et hiérarchisera les résultats des cinq autres fonctions dans le contexte de sa stratégie globale de gestion des risques d'entreprise. Elle comprend la supervision de la stratégie, des rôles, des responsabilités, des politiques, des processus et des procédures en matière de cybersécurité, et centralise les directives relatives à la gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité.
2. Identifier
La fonction « Identifier » vise à établir une compréhension des actifs d'une organisation (par exemple, les données, le matériel, les logiciels, les systèmes, les installations, les services et les personnes) et des risques liés à la cybersécurité.
3. Protéger
La fonction « Protéger » fournit des conseils spécifiques pour sécuriser les actifs afin de réduire la probabilité et l'impact des incidents de cybersécurité. Elle aborde des thèmes tels que la sensibilisation et la formation, la sécurité des données, la gestion des identités, l'authentification et le contrôle d'accès, la sécurité des plateformes (c'est-à-dire la sécurisation du matériel, des logiciels et des services des plateformes physiques et virtuelles) et la résilience des infrastructures technologiques.
4. Détecter
La fonction de détection est destinée à permettre la découverte et l'analyse d'anomalies, d'indicateurs de compromission et d'autres événements potentiellement préjudiciables à la cybersécurité.
5. Répondre
La fonction « Réagir » comprend des lignes directrices visant à limiter l'impact des incidents de cybersécurité, telles que la gestion des incidents, l'analyse, l'atténuation, la notification et la communication.
6. Récupérer
La fonction « Récupération » comprend des directives visant à rétablir le fonctionnement normal afin de réduire l'impact des incidents de cybersécurité.
Presque toutes les fonctions comprennent des catégories et des sous-catégories qui s'appliquent directement à la gestion des risques liés aux tiers et à la gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement. Par exemple, la fonction « Identifier » se concentre davantage sur l'identification des actifs et des risques, y compris les systèmes et services tiers. Les organisations sont encouragées à effectuer des vérifications préalables sur les tiers afin d'identifier les vulnérabilités et de garantir la conformité aux normes de cybersécurité. Les fonctions « protéger » et « détecter » fournissent des lignes directrices sur la mise en œuvre de contrôles de sécurité visant à atténuer les risques liés aux tiers, tels que la surveillance des accès et la garantie du respect des politiques de sécurité par les fournisseurs.
La fonction de gouvernance : gestion approfondie des risques liés à la cybersécurité dans la chaîne d'approvisionnement
Remarque : ce tableau est uniquement un résumé et ne constitue pas une liste exhaustive des catégories NIST. Pour obtenir une vue d'ensemble complète du NIST CSF, téléchargez la version complète. Collaborez avec votre équipe d'audit interne et vos auditeurs externes afin de déterminer les catégories et sous-catégories sur lesquelles vous concentrer.
| Fonction, catégorie et sous-catégorie | Meilleures pratiques |
|---|---|
| GOVERN (GV) : La stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité sont établies, communiquées et contrôlées. | |
| Gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement (GV.SC) : les processus de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement sont identifiés, mis en place, gérés, surveillés et améliorés par les parties prenantes de l'organisation. | |
|
GV.SC-01 : Un programme, une stratégie, des objectifs, des politiques et des processus de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement sont établis et approuvés par les parties prenantes de l'organisation.
GV.SC-02 : Les rôles et responsabilités en matière de cybersécurité pour les fournisseurs, les clients et les partenaires sont établis, communiqués et coordonnés en interne et en externe. GV.SC-03 : La gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement est intégrée à la cybersécurité et à la gestion des risques d'entreprise, à l'évaluation des risques et aux processus d'amélioration. |
Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.
* Recherchez des experts pour collaborer avec votre équipe sur : Dans le cadre de ce processus, vous devez définir : |
| GV.SC-04 : Les fournisseurs sont connus et classés par ordre de priorité en fonction de leur importance. |
Centralisez votre inventaire tiers dans une solution logicielle. Ensuite, quantifiez-le. risques inhérents pour tous les tiers. Les critères utilisés pour calculer le risque inhérent afin de hiérarchiser les tiers doivent inclure :
* Type de contenu requis pour valider les contrôles À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues. La logique de hiérarchisation fondée sur des règles devrait permettre la catégorisation des fournisseurs à partir d'une série de considérations liées aux interactions de données, aux aspects financiers, réglementaires et à la réputation. |
| GV.SC-05 : Les exigences relatives à la gestion des risques liés à la cybersécurité dans les chaînes d'approvisionnement sont établies, hiérarchisées et intégrées dans les contrats et autres types d'accords conclus avec les fournisseurs et autres tiers concernés. |
Centraliser la distribution, la discussion, la conservation et la révision des contrats fournisseurs automatiser le cycle de vie des contrats et garantir l'application des clauses clés. Les fonctionnalités clés doivent inclure :
* Suivi centralisé de tous les contrats et attributs contractuels tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence. |
| GV.SC-06 : Une planification et une diligence raisonnable sont effectuées afin de réduire les risques avant de conclure des relations formelles avec des fournisseurs ou d'autres tiers. |
Centralisez et automatisez la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'informations (RFI) dans une solution unique qui permet de comparer les caractéristiques clés.
Comme tous les prestataires de services sont centralisés et évalués, les équipes doivent créer des profils complets des fournisseurs contenant des informations démographiques, les technologies tierces, les scores ESG, des informations récentes sur leurs activités et leur réputation, l'historique des violations de données et leurs performances financières récentes. Ce niveau de diligence raisonnable crée un contexte plus large pour prendre des décisions en matière de sélection des fournisseurs. |
| GV.SC-07 : Les risques posés par un fournisseur, ses produits et services, ainsi que par d'autres tiers sont compris, consignés, classés par ordre de priorité, évalués, traités et surveillés tout au long de la relation. |
Recherchez des solutions qui proposent une vaste bibliothèque de modèles prédéfinis pour évaluations des risques liés aux tiersLes évaluations doivent être effectuées au moment de l'embauche, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants.
Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, suivez et analysez en permanence les menaces externes pesant sur les tiers. Surveillez Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Toutes les données de surveillance doivent être corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser les initiatives d'examen des risques, de reporting, de remédiation et d'intervention. Veillez à intégrer des données opérationnelles, financières et relatives à la réputation provenant de tiers afin de contextualiser les conclusions relatives à la cybersécurité et de mesurer l'impact des incidents au fil du temps. |
| GV.SC-08 : Les fournisseurs concernés et autres tiers sont inclus dans les activités de planification, d'intervention et de rétablissement en cas d'incident. |
Dans le cadre de votre stratégie globale stratégie de gestion des incidents Veillez à ce que votre programme de réponse aux incidents impliquant des tiers permette à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact de ces incidents. incidents de sécurité liés aux fournisseursRecherchez des services gérés dans le cadre desquels des experts dédiés gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, corréle les risques avec des informations issues d'une surveillance cybernétique continue et émettent des recommandations de mesures correctives. Les services gérés peuvent réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et garantir la mise en place de mesures correctives.
Les principales fonctionnalités d'un service tiers de réponse aux incidents doivent inclure : * Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications en temps réel des fournisseurs en cas de violation de données. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts. |
| GV.SC-09 : Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées aux programmes de cybersécurité et de gestion des risques d'entreprise, et leur performance est surveillée tout au long du cycle de vie des produits et services technologiques. | Veuillez consulter les documents GV.SC-01 et GV.SC-02. |
| GV.SC-10 : Les plans de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement comprennent des dispositions relatives aux activités qui ont lieu après la conclusion d'un partenariat ou d'un contrat de service. |
En s'appuyant sur les meilleures pratiques recommandées pour GV.SC-05, automatiser les évaluations des contrats et départ procédures visant à réduire les risques liés à l'exposition post-contractuelle de votre organisation.
* Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées |
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
