Guide du NCSC sur la cybersécurité de la chaîne d'approvisionnement

Comprenez pourquoi votre organisation doit se soucier de la cybersécurité de la chaîne d'approvisionnement

Selon unerécente étude sectorielle, 45 % des organisations ont été victimes d'une violation de données ou d'une atteinte à la vie privée par un tiers au cours des 12 derniers mois. Examinons quelques exemples récents et l'impact de ces incidents de sécurité :

Toyota – pertes financières et opérationnelles

En février 2022,Toyota a interrompu ses activités au Japonaprès qu'un important fournisseur de plastique, Kojima Industries, ait été victime d'une violation de données. Kojima avait un accès à distance aux usines de fabrication de Toyota, ce qui augmentait considérablement le risque pour Toyota. À la suite de cette interruption temporaire, Toyota a subi des pertes financières et opérationnelles.

SolarWinds – poursuites judiciaires, amendes, perte de confiance des clients

Des acteurs étatiques russes ont piraté le logiciel Orion, qui a ensuite été distribué aux clients de SolarWinds dans le cadre d'une série de mises à jour régulières. Cette opération a permis aux cybercriminels d'accéder à des milliers de systèmes et de données de l'entreprise. SolarWinds fait désormais face àdes poursuites judiciaires, des amendes, des témoignages devant le Congrès, etc., ce qui aura un impact sur la confiance de ses clients pendant de nombreuses années.

Répondez à ces questions clés :

• Votre organisation peut-elle rester résiliente face à une cyberperturbation de la chaîne d'approvisionnement ?
• Pouvez-vous identifier la cible d'un cyberattaquant ? S'agit-il des données ?
• Pouvez-vous identifier le vecteur d'attaque le plus probable pour un cyberattaquant ?

Si la réponse à l'une de ces questions est « non », vous devez alors évaluer les points faibles de votre chaîne logistique informatique et élaborer un plan pour atténuer ces risques.

Identifiez les acteurs clés au sein de votre organisation.

Disposer des personnes adéquates pour soutenir la cybersécurité de la chaîne d'approvisionnement contribuera à mettre en œuvre les changements nécessaires.

Les participants peuvent inclure des représentants des équipes chargées des achats et de l'approvisionnement, de la gestion des risques, de la sécurité et de l'informatique, des services juridiques et de conformité, ainsi que de la confidentialité des données. La raison pour laquelle autant d'équipes doivent être impliquées dans le processus de gestion des cyberrisques liés à la chaîne d'approvisionnement est que chaque service a tendance à se concentrer sur les risques qui le concernent.

Les équipes chargées de la sécurité informatiqueetde la confidentialitédoivent déterminer quels contrôles sont en place pour protéger les données et l'accès aux systèmes, si le fournisseur a été victime d'une violation, quel en a été l'impact et s'il existe un risque excessif lié à des tiers.

Les équipes chargées des achatspeuvent souhaiter le faire si les antécédents financiers ou de crédit du fournisseur soulèvent des inquiétudes, ou si le fournisseur souffre d'un problème de réputation.

Les équipes chargées de la conformitéet des questions juridiques voudront savoir si le fournisseur a fait l'objet de signalements pour des raisons liées à la confidentialité des données, à l'environnement, aux questions sociales et de gouvernance, à la corruption ou à des sanctions.

Les équipes chargéesde la gestion des risquesvoudront savoir si le fournisseur se trouve dans une région sujette aux catastrophes naturelles ou à l'instabilité géopolitique.

Tout d'abord, établissez une matrice RACI afin de définir qui, au sein de l'organisation, est :

• Responsable de la gestion des risques
  Responsable des résultats
• Consulté avec
• Tenu informé du processus et des résultats

Enfin, obtenez l'adhésion des cadres supérieurs et du conseil d'administration en :

• Présentation d'une vue consolidée de l'exposition actuelle de l'organisation aux risques liés à la chaîne d'approvisionnement
• Communication sur l'état actuel des risques et les efforts de réduction
• Identifier les domaines où le soutien de la direction est nécessaire

Comprendre comment votre organisation évalue les risques

Une méthode courante pour classer les risques consiste à utiliser une « carte thermique » qui mesure les risques selon deux axes : la probabilité de survenue et l'impact sur les opérations. Naturellement, les risques qui obtiennent un score élevé sur les deux axes (par exemple, ceux situés dans le quadrant supérieur droit) doivent être considérés comme plus prioritaires que ceux qui obtiennent un score plus faible.

Étape 2 : Élaborer une approche pour évaluer la cybersécurité de la chaîne d'approvisionnement

La phase 2 consiste à « créer une approche reproductible et cohérente pour évaluer la cybersécurité de vos fournisseurs ». Cette phase comprend :

• Savoir quels actifs l'organisation doit protéger ;
• Définir les contrôles de sécurité idéaux pour protéger l'actif ; et
• Déterminer comment évaluer les fournisseurs et gérer les cas de non-conformité.

Donnez la priorité aux « joyaux de la couronne » de votre organisation.

Déterminez les aspects critiques de votre organisation que vous devez protéger en priorité.

Créer les éléments clés de l'approche, notamment :

• profils de sécurité à attribuer à chaque fournisseur
• questions visant à déterminer le profil de sécurité de chaque fournisseur
• exigences en matière de cybersécurité pour chaque profil
• plans de gestion visant à contrôler la conformité des fournisseurs aux exigences de sécurité
• clauses relatives à la cybersécurité à insérer dans les contrats avec les fournisseurs

Avant de créer le profil de sécurité du fournisseur, examinez lesrisques inhérentsauxquels il expose l'entreprise. Tenez compte de ce cadre lorsque vous calculez le risque inhérent :

• Criticité pour les performances et les opérations de l'entreprise
• Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
• Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
• Expérience des processus opérationnels ou en contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

Grâce aux informations issues de cette évaluation des risques inhérents, votre équipe peut automatiquement classer et profiler les fournisseurs, établir des clauses contractuelles spécifiques pour faire respecter les normes, définir des niveaux appropriés de diligence supplémentaire, déterminer la portée des évaluations continues et définir des mesures correctives en cas de non-conformité.

Pour vérifier la conformité aux exigences de sécurité, envisagez de normaliser les évaluations par rapport aux normes Cyber Essentials, ISO ou à d'autres cadres de contrôle de la sécurité de l'information couramment adoptés.

Étape 3 : Appliquer l'approche aux nouvelles relations avec les fournisseurs

À l'étape 3, les directives du NCSC recommandent d'intégrer « de nouvelles pratiques de sécurité tout au long du cycle de vie des contrats des nouveaux fournisseurs, depuis l'approvisionnement et la sélection des fournisseurs jusqu'à la clôture du contrat ». Cela implique de contrôler le respect des dispositions contractuelles et de sensibiliser l'équipe à ses responsabilités tout au long du processus.

Former l'équipe

Veillez à ce que les personnes qui participeront à l'évaluation des fournisseurs soient formées à la cybersécurité.

Envisagez d'exiger des employés responsables des relations avec les fournisseurs qu'ils obtiennent des certifications de sécurité individuelles ou soutiennent les certificationsCyber EssentialsouISO 27036-2de l'organisation.

Intégrer des contrôles de cybersécurité tout au long de la durée du contrat

Prendre en compte la cybersécurité tout au long du cycle de vie du contrat : de la décision d'externalisation à la résiliation, en passant par la sélection du fournisseur, l'attribution du contrat et la livraison. Réfléchissez aux pratiques qui peuvent être mises en place pour s'assurer qu'il en est ainsi pour chaque acquisition.

Ces directives exigent des organisations qu'elles soient conscientes des risques àchaque étape du cycle de vie des fournisseurs, notamment :

• Effectuer une vérification préalable au contrat en recueillant des informations sur la cybersécurité ou l'historique des violations de données des fournisseurs potentiels avant de prendre une décision de sélection.
• Évaluer et classer les fournisseurs afin de savoir comment les trier et quelles mesures de diligence raisonnable continues sont nécessaires.
• Validation des résultats d'évaluation à l'aide de données de surveillance informatique en temps réel
• Suivi centralisé de tous les contrats et des attributs liés à la sécurité des contrats
• Mesurer l'efficacité des fournisseurs, notamment les indicateurs clés de performance (KPI), les indicateurs clés de risque (KRI) et les accords de niveau de service (SLA) par rapport aux mesures de conformité afin de s'assurer que ces fournisseurs respectent les exigences contractuelles.
• Mettre fin à des relations de manière à garantir le respect des contrats, la destruction des données et la vérification des derniers éléments.

Surveiller les performances des fournisseurs en matière de sécurité

Réalisezdes évaluationsde la cybersécurité des fournisseurs lors de leur intégration, du renouvellement de leur contrat ou à toute fréquence requise (par exemple, tous les trimestres ou tous les ans). Assurez-vous que les évaluations s'appuient sur des capacités de gestion des flux de travail, des tâches et d'examen automatisé des preuves.

Ensuite, suivez et analysez en permanenceles menaces externes pesant sur des tiersen surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Les sources à surveiller doivent inclure : les forums criminels, les pages onion, les forums à accès spécial du dark web, les flux de menaces, les sites de partage de données pour les identifiants divulgués, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et les bases de données de violations de données.

Corrélation de toutes les données de surveillance avec les résultats d'évaluation et centralisation dans un registre des risques unifié pour chaque fournisseur, rationalisant ainsi l'examen des risques, la production de rapports et les initiatives d'intervention.

Étape 4 : Intégrer l'approche dans les contrats existants avec les fournisseurs

À l'étape 4, le NCSC recommande de revoir « vos contrats existants soit lors de leur renouvellement, soit plus tôt lorsqu'il s'agit de fournisseurs essentiels ». Ces recommandations supposent un certain niveau de gestion du cycle de vie des contrats.

Identifier les contrats existants

Évaluez les risques liés à vos contrats

Soutenez vos fournisseurs

Réviser les clauses contractuelles

Centralisez la distribution, la discussion, la conservation et la révision descontrats fournisseursafin que toutes les équipes concernées puissent participer à la révision des contrats et s'assurer que les clauses de sécurité appropriées y figurent. Les pratiques clés à prendre en compte dans la gestion des contrats fournisseurs comprennent :

• Stockage centralisé des contrats
• Suivi de tous les contrats et attributs contractuels tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
• Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
• Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
• Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Rendre compte des progrès réalisés au conseil d'administration

Commencez par déterminer la différence entre les indicateurs clés de performance(KPI) et les indicateurs clés de risque (KRI)et comment ils sont liés.

• Les indicateurs clés de performance (KPI)mesurent l'efficacité des fonctions et des processus.
• Les indicateurs clés de risque (KRI)indiquent le niveau de risque auquel l'organisation est exposée et les mesures à prendre pour y remédier.

Lorsqu'il s'agit de mesurer les KPI et les KRI, classez-les comme suit :

• Les mesures des risquespermettent de comprendre les risques liés à la collaboration avec un fournisseur, ainsi que les mesures d'atténuation associées.
• Les mesures des menacesrecoupent quelque peu les risques et donnent une vision plus complète et validée des risques.
• Les mesures de conformitépermettent de déterminer si les fournisseurs respectent vos exigences en matière de contrôles internes.
• Les mesures de couverturerépondent à la question suivante : « Ai-je une couverture complète de l'empreinte de mes fournisseurs et ceux-ci sont-ils classés par niveau et traités en conséquence ? »

Ensuite, veillez à relier les résultats aux dispositions du contrat afin d'assurer une gouvernance complète du processus.

Enfin, assurez-vous que votre équipe comprend parfaitement le type d'informations que le conseil d'administration doit voir. Cette approche devrait permettre à votre équipe de :

• Présenter une vue consolidée de l'exposition actuelle au risque de l'organisation provenant de la chaîne d'approvisionnement.
• Communiquer l'état actuel des fournisseurs essentiels qui soutiennent les efforts majeurs de l'entreprise.
• Afficher les risques inhérents et résiduels provenant des sources de renseignements sur les menaces afin de démontrer les progrès réalisés dans la réduction des risques au fil du temps.
• Identifier les domaines dans lesquels le soutien de la direction est nécessaire

Étape 5 : Améliorer continuellement

La dernière étape des recommandations du NCSC stipule qu'« affiner régulièrement votre approche à mesure que de nouveaux problèmes apparaissent réduira le risque que des menaces soient introduites dans votre organisation via la chaîne d'approvisionnement ».

Évaluer régulièrement l'approche et ses composantes

Réviser en permanence le programme de cybersécurité de la chaîne d'approvisionnement de l'organisation à chaque étape du cycle de vie du fournisseur. Les principaux domaines à examiner sont les suivants :

• Rôles et responsabilités (par exemple, RACI)
• Profils de sécurité des fournisseurs
• Évaluation des risques et seuils basés sur la tolérance au risque de l'organisation
• Méthodes d'évaluation et de surveillance basées sur l'
  par des tiers Criticité
• Participation de quatrièmes et n-ièmes parties à la fourniture de services essentiels
• Sources de données de surveillance continue (cybersécurité, activité,
  réputation, finances)
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
• Politiques, normes, systèmes et processus régissant la protection des systèmes et des données d'
  
• Exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service d'
  
• Processus de réponse aux incidents
• Rapports destinés aux parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

Rester vigilant face à l'évolution des menaces et mettre à jour les pratiques en conséquence.

Restez vigilant face aux menaces émergentes et utilisez les connaissances acquises pour mettre à jour la cybersécurité de votre chaîne d'approvisionnement en conséquence.

Suivre et analyser en permanenceles menaces externes pesant sur des tiersen surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Corrélation de toutes les données de surveillance avec les résultats d'évaluation et centralisation dans un registre des risques unifié pour chaque fournisseur, rationalisant ainsi l'examen des risques, la production de rapports et les initiatives d'intervention.

Les sources de surveillance devraient inclure

• Des forums criminels, des milliers de pages en oignon, des forums d'accès spécial sur le dark web, des flux de menaces et des sites de collage d'informations d'identification ayant fait l'objet d'une fuite, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Sources publiques et privées d'informations sur la réputation, notamment les activités de fusion-acquisition, les actualités économiques, les informations négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
• Les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc.
• Sources d'informations mondiales
• Profils des personnes politiquement exposées
• Listes mondiales de sanctions

Collaborez avec vos fournisseurs

Élaborer des plans d'assainissement avec des recommandations que les fournisseurs peuvent suivre pour réduire le risque résiduel. Fournir un forum permettant aux fournisseurs de télécharger des preuves et de communiquer sur des mesures correctives spécifiques, avec une piste d'audit sécurisée permettant de suivre les mesures correctives jusqu'à leur terme.