Conformité à la norme NIST SP 800-161r1

CA-2 (2)Évaluations des contrôles | Évaluations spécialisées
Les organisations peuvent mener des évaluations spécialisées, notamment des vérifications et validations, des surveillances de systèmes, des évaluations des menaces internes, des tests d'utilisateurs malveillants et d'autres formes de tests.

Directives applicables SP 800-161r1 relatives à la gestion des risques liés à la cybersécurité :les entreprises doivent utiliser diverses techniques et méthodologies d'évaluation, telles que la surveillance continue, l'évaluation des menaces internes et l'évaluation des utilisateurs malveillants. Ces mécanismes d'évaluation sont spécifiques au contexte et exigent que l'entreprise comprenne sa chaîne d'approvisionnement et définisse l'ensemble des mesures nécessaires pour évaluer et vérifier que les protections appropriées ont été mises en œuvre.

CA-2 (3)Évaluations des contrôles | Exploitation des résultats d'organisations externes
Les organisations peuvent s'appuyer sur les évaluations des contrôles des systèmes organisationnels réalisées par d'autres organisations (externes).

Directives applicables SP 800-161r1 en matière de gestion des risques liés à la cybersécurité :pour le C-SCRM, les entreprises doivent recourir à des évaluations de sécurité externes pour les fournisseurs, les développeurs, les intégrateurs de systèmes, les prestataires de services externes et les autres prestataires de services liés aux TIC/OT. Les évaluations externes comprennent les certifications, les évaluations par des tiers et, dans le contexte fédéral, les évaluations préalables effectuées par d'autres départements et agences. Les certifications de l'Organisation internationale de normalisation (ISO), du National Information Assurance Partnership (Critères communs) et de l'Open Group Trusted Technology Forum (OTTF) peuvent également être utilisées par les entreprises fédérales et non fédérales si ces certifications répondent aux besoins de l'agence.

Prevalent propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers, y compris ceux qui sont spécifiquement conçus pour les contrôles NIST. Avec Prevalent, vous pouvez effectuer des évaluations au moment de l'intégration du fournisseur, du renouvellement du contrat ou à n'importe quelle fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. Prevalent surveille l'Internet et le dark web pour détecter les cybermenaces et les vulnérabilités, ainsi que les sources publiques et privées de sanctions en matière de réputation et d'informations financières.

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Prevalent intègre également des données opérationnelles, financières et de réputation de tiers afin d'ajouter un contexte aux résultats cybernétiques et de mesurer l'impact des incidents au fil du temps.

Si nécessaire, vous pouvez analyser les rapports SOC 2 ou la déclaration d'applicabilité ISO à la place des évaluations de risques d'un fournisseur. Notre service examine la liste des lacunes de contrôle identifiées dans le rapport SOC 2, crée des éléments de risque à l'encontre de la tierce partie, et assure le suivi et le reporting des lacunes au fil du temps.

Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent s'assure que votre programme de réponse aux incidents tiers peut rapidement identifier, répondre, rapporter et atténuer l'impact des incidents de sécurité des fournisseurs tiers. L'équipe de services gérés de Prevalent comprend des experts dédiés qui gèrent vos fournisseurs de manière centralisée, mènent des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent une corrélation entre les risques et les informations de cyber-surveillance continue, et émettent des conseils de remédiation au nom de votre organisation. Les services gérés réduisent considérablement le temps nécessaire à l'identification des fournisseurs touchés par un incident de cybersécurité, à la coordination avec les fournisseurs et à la mise en place des mesures correctives.

Les principales fonctionnalités du service Prevalent Third Party Incident Response sont les suivantes :

• Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
• Suivi en temps réel de l'état d'avancement du questionnaire
• Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
• Rapports proactifs sur les fournisseurs
• Vues consolidées des évaluations des risques, des décomptes, des scores et des réponses signalées pour chaque fournisseur
• Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Modèles de rapports intégrés pour les parties prenantes internes et externes
• Recommandations de remédiation intégrées pour réduire les risques
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Prevalent analyse également des bases de données qui contiennent plusieurs années d'historique de violations de données pour des milliers d'entreprises à travers le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications de violation de données des fournisseurs en temps réel.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts.

PM-9Stratégie de gestion des risques
a. Élaborer une stratégie globale pour gérer :
1. les risques liés à la sécurité des opérations et des actifs de l'organisation, des personnes, d'autres organisations et de la nation associés au fonctionnement et à l'utilisation des systèmes de l'organisation ; et
2. les risques liés à la confidentialité des personnes résultant du traitement autorisé d'informations personnelles identifiables ;
b. Mettre en œuvre la stratégie de gestion des risques de manière cohérente dans toute l'organisation ; et
c. Réviser et mettre à jour la stratégie de gestion des risques si nécessaire, afin de tenir compte des changements organisationnels.

Directive applicable SP 800-161r1 relative à la gestion des risques liés à la cybersécurité :la stratégie de gestion des risques doit traiter les risques liés à la cybersécurité tout au long de la chaîne d'approvisionnement.

PM-30Stratégie de gestion des risquesliés à la chaîne d'approvisionnement
a. Élaborer une stratégie à l'échelle de l'organisation pour gérer les risques liés à la chaîne d'approvisionnement associés au développement, à l'acquisition, à la maintenance et à l'élimination des systèmes, des composants et des services.
b. Mettre en œuvre la stratégie de gestion des risques liés à la chaîne d'approvisionnement de manière cohérente dans toute l'organisation.
c. Examiner et mettre à jour la stratégie de gestion des risques liés à la chaîne d'approvisionnement à une fréquence définie par l'organisation ou selon les besoins, afin de tenir compte des changements organisationnels.

Directives applicables SP 800-161r1 relatives à la gestion des risques liés à la cybersécurité :la stratégie de gestion des risques liés à la chaîne d'approvisionnement (également appelée stratégie C-SCRM) doit être complétée par un plan de mise en œuvre C-SCRM qui définit les initiatives et les activités détaillées pour l'entreprise, avec des calendriers et les parties responsables. Ce plan de mise en œuvre peut être un POA&M ou être inclus dans un POA&M. Sur la base de la stratégie C-SCRM et du plan de mise en œuvre du niveau 1, l'entreprise doit sélectionner et documenter les contrôles C-SCRM communs qui doivent répondre aux besoins spécifiques de l'entreprise, du programme et du système.

Prevalent aide votre organisation à mettre en place un programme complet de gestion des risques tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.

Nos experts collaborent avec votre équipe sur :

• Définir et mettre en œuvre des processus et des solutions TPRM et C-SCRM
• Sélection des questionnaires et des cadres d'évaluation des risques
• Optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétence au risque de votre organisation.

Dans le cadre de ce processus, nous vous aidons à définir :

• Rôles et responsabilités clairement définis (par exemple, RACI)
• Inventaires de tiers
• Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation

Avec Prevalent, votre équipe peut évaluer en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurantles indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI)des fournisseurs tiers tout au long du cycle de vie de la relation.

PM 30 (1)Stratégie de gestion des risques liés à la chaîne d'approvisionnement | Fournisseurs d'articles critiques ouessentiels à la mission
Identifier, hiérarchiser et évaluer les fournisseurs de technologies, de produits et de services critiques ou essentiels à la mission.

Directives applicables SP 800-161r1 relatives à la gestion des risques liés à la cybersécurité :voir ci-dessus.

Prevalent quantifie les risques inhérents à tous les tiers. Les critères utilisés pour calculer le risque inhérent en vue de la hiérarchisation des tiers sont les suivants :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
• Niveau de dépendance à l'égard des tiers
• Expérience des processus opérationnels ou en contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

PM-31 Stratégie de surveillance continue

Élaborer une stratégie de contrôle continu à l'échelle de l'organisation et mettre en œuvre des programmes de contrôle continu comprenant les éléments suivants

a. Établir des paramètres à surveiller à l'échelle de l'organisation ;

b. Établir des fréquences définies pour le suivi et l'évaluation de l'efficacité des contrôles ;

c. Contrôle permanent des paramètres définis par l'organisation conformément à la stratégie de contrôle continu ;

d. Corrélation et analyse des informations générées par les évaluations et le suivi des contrôles ;

e. les mesures de réponse aux résultats de l'analyse des informations relatives à l'évaluation et à la surveillance des contrôles ; et

f. Rendre compte de l'état des systèmes de l'organisation en matière de sécurité et de respect de la vie privée au personnel désigné.

Avec Prevalent, suivez et analysez en permanence les menaces externes qui pèsent sur les tiers. Nous surveillons Internet et le dark web pour détecter les cybermenaces et les vulnérabilités, ainsi que les sources publiques et privées de risques pour la réputation, de sanctions et d'informations financières.

Les sources de surveillance comprennent

• Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui vous permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci.

Vous pouvez ensuite désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise.

RA-1Politique et procédures
Élaborer, documenter et diffuser :
1. Une politique d'évaluation des risques qui :
(a) traite de l'objectif, de la portée, des rôles, des responsabilités, de l'engagement de la direction, de la coordination entre les entités organisationnelles et de la conformité ; et
(b) est conforme aux lois, décrets, directives, règlements, politiques, normes et lignes directrices applicables ; et
2. Procédures visant à faciliter la mise en œuvre de la politique d'évaluation des risques et des contrôles associés ;
b. Désigner un responsable chargé de gérer l'élaboration, la documentation et la diffusion de la politique et des procédures d'évaluation des risques ; et
c. Examiner et mettre à jour l'évaluation des risques actuelle :
1. Politique et
2. Procédures.

Directives applicables SP 800-161r1 relatives à la gestion des risques liés à la cybersécurité :les évaluations des risques doivent être effectuées au niveau de l'entreprise, de la mission/du programme et des opérations. L'évaluation des risques au niveau du système doit inclure à la fois l'infrastructure de la chaîne d'approvisionnement (par exemple, les environnements de développement et de test et les systèmes de livraison) et le système/les composants d'information traversant la chaîne d'approvisionnement. Les évaluations des risques au niveau du système recoupent largement le SDLC et doivent compléter les activités RMF plus larges de l'entreprise, qui interviennent pendant le SDLC. Une analyse de criticité permettra de garantir que les fonctions et composants essentiels à la mission se voient accorder une priorité plus élevée en raison de leur impact sur la mission s'ils sont compromis. La politique doit inclure les rôles liés à la cybersécurité de la chaîne d'approvisionnement qui s'appliquent à la réalisation et à la coordination des évaluations des risques dans toute l'entreprise (voir la section 2 pour la liste et la description des rôles). Les rôles applicables au sein des fournisseurs, des développeurs, des intégrateurs de systèmes, des fournisseurs de services système externes et d'autres fournisseurs de services liés aux TIC/OT doivent être définis.

Voir PM-9 Stratégie de gestion des risques

RA-2 (1)Catégorisation de la sécurité | Hiérarchisation par niveau d'impact
Effectuer une hiérarchisation par niveau d'impact des systèmes organisationnels afin d'obtenir une granularité supplémentaire sur les niveaux d'impact des systèmes.

Guide applicable SP 800-161r1 sur la gestion des risques liés à la cybersécurité :la catégorisation de la sécurité est essentielle pour la C-SCRM aux niveaux 1, 2 et 3. Outre la catégorisation [FIPS 199], la catégorisation de la sécurité pour la C-SCRM doit être basée sur l'analyse de criticité effectuée dans le cadre du SDLC. Voir la section 2 et [NISTIR 8179] pour une description détaillée de l'analyse de criticité.

Voir PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission

RA-3 (1)Évaluation des risques | Évaluation des risques liés à la chaîne d'approvisionnement
(a) Évaluer les risques liés à la chaîne d'approvisionnement associés aux systèmes, aux composants et aux services ; et
(b) Mettre à jour l'évaluation des risques liés à la chaîne d'approvisionnement en cas de changements importants dans la chaîne d'approvisionnement concernée, ou lorsque des changements dans le système, les environnements d'exploitation ou d'autres conditions peuvent nécessiter une modification de la chaîne d'approvisionnement.

Directives applicables SP 800-161r1 relatives à la gestion des risques liés à la cybersécurité :les évaluations des risques doivent inclure une analyse de la criticité, des menaces, des vulnérabilités, de la probabilité et de l'impact, comme décrit en détail dans l'annexe C. Les données à examiner et à collecter comprennent les rôles spécifiques au C-SCRM, les processus et les résultats des acquisitions, de la mise en œuvre et de l'intégration des systèmes/composants et des services. Les évaluations des risques doivent être effectuées aux niveaux 1, 2 et 3. Les évaluations des risques aux niveaux supérieurs doivent principalement consister en une synthèse des différentes évaluations des risques effectuées aux niveaux inférieurs et utilisées pour comprendre l'impact global du niveau (par exemple, au niveau de l'entreprise ou de la mission/fonction). Les évaluations des risques C-SCRM doivent compléter et éclairer les évaluations des risques, qui sont effectuées de manière continue tout au long du SDLC, et les processus doivent être correctement alignés ou intégrés aux processus et à la gouvernance ERM.

La plate-forme Prevalent TPRM comprend une vaste bibliothèque de modèles préétablis pour les évaluations des risques des tiers, y compris ceux qui sont spécifiquement conçus pour les contrôles NIST. Les évaluations peuvent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations sont gérées de manière centralisée et soutenues par des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

RA-3 (2)Évaluation des risques | Utilisation des renseignements provenant de toutes les sources
Utiliser les renseignements provenant de toutes les sources pour faciliter l'analyse des risques.

RA-3 (3)Évaluation des risques | Sensibilisation dynamique aux menaces
Déterminer en permanence l'environnement actuel des cybermenaces.

RA-3 (4)Évaluation des risques | Analyse prédictive des cybermenaces
Utilisez des capacités avancées d'automatisation et d'analyse pour prévoir et identifier les risques.

Directives applicables en matière de gestion des risques liés à la cybersécurité SP 800-161r1 :voirRA-3 (1)

Prevalent vous permet de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, nous surveillons l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent

• Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

RA-7Réponse aux risques
Répondre aux conclusions des évaluations, de la surveillance et des audits en matière de sécurité et de confidentialité, conformément à la tolérance au risque de l'organisation.

Directive applicable SP 800-161r1 relative à la gestion des risques liés à la cybersécurité :les entreprises doivent intégrer des capacités permettant de répondre aux risques liés à la cybersécurité tout au long de la chaîne d'approvisionnement dans leur stratégie globale de réponse, en veillant à ce que ces réponses soient alignées sur la tolérance au risque de l'entreprise et s'inscrivent dans ses limites. La réponse aux risques doit inclure l'identification des réponses aux risques, l'évaluation des alternatives et les activités décisionnelles en matière de réponse aux risques.

Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui vous permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci.

Enfin, assigner des responsables et suivre les risques et les mesures correctives dans la plate-forme jusqu'à un niveau acceptable pour l'entreprise.

RA-9Analyse de criticité
Identifier les composants et fonctions critiques du système en effectuant une analyse de criticité à des points de décision définis dans le cycle de vie du développement du système.

Directives applicables SP 800-161r1 relatives à la gestion des risques liés à la cybersécurité :les entreprises doivent réaliser une analyse de criticité comme condition préalable à l'évaluation des activités de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement. Tout d'abord, les entreprises doivent réaliser une analyse de criticité dans le cadre de l'étape « Cadre » du processus de gestion des risques C-SCRM. Ensuite, les conclusions générées lors des activités de l'étape « Évaluer » (par exemple, analyse de criticité, analyse des menaces, analyse des vulnérabilités et stratégies d'atténuation) permettent de mettre à jour et d'adapter l'analyse de criticité. Il existe une relation symbiotique entre l'analyse de criticité et les autres activités de l'étape « Évaluer », dans la mesure où elles s'alimentent et se renforcent mutuellement. Pour obtenir une analyse de criticité de haute qualité, les entreprises doivent l'utiliser de manière itérative tout au long du SLDC et simultanément aux trois niveaux. Les entreprises doivent exiger de leurs principaux sous-traitants qu'ils mettent en œuvre ce contrôle et transmettent cette exigence aux sous-traitants concernés. Les ministères et les agences doivent également se référer à l'annexe F pour compléter ces directives, conformément au décret 14028, « Améliorer la cybersécurité nationale ».

Voir PM 30 (1) Stratégie de gestion des risques liés à la chaîne d'approvisionnement - Fournisseurs d'articles critiques ou essentiels à la mission

SR-1Politique et procédures
Élaborer, documenter et diffuser :
1. Une politique de gestion des risques liés à la chaîne d'approvisionnement qui :
(a) traite de l'objectif, de la portée, des rôles, des responsabilités, de l'engagement de la direction, de la coordination entre les entités organisationnelles et de la conformité ; et
(b) est conforme aux lois, décrets, directives, règlements, politiques, normes et lignes directrices applicables ; et
2. Procédures visant à faciliter la mise en œuvre de la politique de gestion des risques liés à la chaîne d'approvisionnement et des contrôles associés ;
b. Désigner un responsable chargé de gérer l'élaboration, la documentation et la diffusion de la politique et des procédures de gestion des risques liés à la chaîne d'approvisionnement ; et
c. Examiner et mettre à jour la gestion actuelle des risques liés à la chaîne d'approvisionnement :
1. Politique et
2. Procédures

Directives applicables SP 800-161r1 relatives à la gestion des risques liés à la cybersécurité :les politiques C-SCRM sont élaborées au niveau 1 pour l'ensemble de l'entreprise et au niveau 2 pour des missions et fonctions spécifiques. Les politiques C-SCRM peuvent être mises en œuvre aux niveaux 1, 2 et 3, en fonction de leur niveau de détail et de profondeur. Les procédures C-SCRM sont élaborées au niveau 2 pour des missions et des fonctions spécifiques et au niveau 3 pour des systèmes spécifiques. Les fonctions de l'entreprise, notamment la sécurité de l'information, les aspects juridiques, la gestion des risques et les acquisitions, doivent examiner et approuver l'élaboration des politiques et procédures C-SCRM ou fournir des conseils aux propriétaires de systèmes pour l'élaboration de procédures C-SCRM spécifiques aux systèmes.

Voir PM-9 Stratégie de gestion des risques

SR-2Plande gestion des risquesliés à la chaîne d'approvisionnement
a. Élaborer un plan de gestion des risques liés à la chaîne d'approvisionnement associés à la recherche et au développement, à la conception, à la fabrication, à l'acquisition, à la livraison, à l'intégration, à l'exploitation et à la maintenance, ainsi qu'à l'élimination des systèmes, des composants ou des services
b. Examiner et mettre à jour le plan de gestion des risques liés à la chaîne d'approvisionnement selon les besoins, afin de faire face aux menaces, aux changements organisationnels ou environnementaux ; et
c. Protéger le plan de gestion des risques liés à la chaîne d'approvisionnement contre toute divulgation et modification non autorisées.

Guide applicable SP 800-161r1 sur la gestion des risques liés à la cybersécurité :les plans C-SCRM décrivent les mises en œuvre, les exigences, les contraintes et les implications au niveau du système. Les plans C-SCRM sont influencés par les autres activités d'évaluation des risques de l'entreprise et peuvent hériter et adapter les bases de référence de contrôle communes définies aux niveaux 1 et 2. Les plans C-SCRM définis au niveau 3 fonctionnent en collaboration avec la stratégie et les politiques C-SCRM de l'entreprise (niveaux 1 et 2) et le plan de mise en œuvre C-SCRM (niveaux 1 et 2) afin de fournir une approche systématique et holistique de la gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement dans toute l'entreprise. Les plans C-SCRM doivent être élaborés sous forme de document autonome et ne doivent être intégrés dans les plans de sécurité des systèmes existants que si les contraintes de l'entreprise l'exigent.

Voir PM-9 Stratégie de gestion des risques

SR-3Contrôles et processus de la chaîne d'approvisionnement
a. Mettre en place un ou plusieurs processus permettant d'identifier et de traiter les faiblesses ou les lacunes des éléments et des processus de la chaîne d'approvisionnement, en coordination avec le personnel chargé de la chaîne d'approvisionnement ;
b. Utiliser les contrôles suivants pour protéger le système, ses composants ou ses services contre les risques liés à la chaîne d'approvisionnement et pour limiter les dommages ou les conséquences des événements liés àla chaîned'approvisionnement ; et
c. Documenter lesprocessus et contrôles sélectionnés et mis en œuvredans le plan de gestion des risques liés à la chaîne d'approvisionnement.

Guide applicable SP 800-161r1 sur la gestion des risques liés à la cybersécurité :la section 2 et l'annexe C du présent document fournissent des conseils détaillés sur la mise en œuvre de cette mesure de contrôle. Les départements et agences doivent se reporter à l'annexe F pour mettre en œuvre ces conseils conformément au décret 14028 sur l'amélioration de la cybersécurité nationale.

Voir PM-9 Stratégie de gestion des risques

SR-4 (4)Provenance | Intégrité de la chaîne d'approvisionnement – Pedigree
Mettre en œuvre des contrôles et des analyses pour garantir l'intégrité du système et de ses composants en validant la composition interne et la provenance des technologies, produits et services critiques ou essentiels à la mission.

Directive applicable SP 800-161r1 relative à la gestion des risques liés à la cybersécurité :la provenance doit être documentée pour les systèmes, les composants système et les données associées tout au long du cycle de vie du développement logiciel (SDLC). Les entreprises doivent envisager de produire des SBOM pour les catégories de logiciels applicables et appropriées, y compris les logiciels achetés, les logiciels open source et les logiciels internes. Les SBOM doivent être produites en utilisant uniquement des formats SBOM pris en charge par la NTIA qui peuvent satisfaire aux éléments SBOM minimaux [NTIA SBOM] EO 14028 NTIA. Les entreprises qui produisent des SBOM doivent utiliser les éléments SBOM minimaux [NTIA SBOM] comme cadre pour l'inclusion des composants principaux. Les SBOM doivent être signées numériquement à l'aide d'une clé vérifiable et fiable. Les SBOM peuvent jouer un rôle essentiel en permettant aux organisations de conserver la traçabilité. Cependant, à mesure que les SBOM mûrissent, les organisations doivent veiller à ne pas déprioriser les capacités C-SCRM existantes (par exemple, les pratiques de gestion des vulnérabilités et les évaluations des risques des fournisseurs) en partant du principe erroné que les SBOM remplacent ces activités. Les SBOM et la transparence accrue qu'elles sont censées apporter aux organisations sont des capacités complémentaires, et non substituables. Les organisations qui ne sont pas en mesure d'intégrer, d'analyser et d'exploiter de manière appropriée les données fournies par les SBOM ne parviendront probablement pas à améliorer leur posture globale en matière de C-SCRM. Les agences fédérales doivent se reporter à l'annexe F pour mettre en œuvre ces recommandations conformément au décret 14028 sur l'amélioration de la cybersécurité nationale.

Dans le cadre du processus de diligence raisonnable, Prevalent permet aux fournisseurs de fournir des nomenclatures logicielles (SBOM) actualisées pour leurs produits logiciels. Cela vous aide à identifier les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation.

SR-5Stratégies, outils et méthodes d'acquisition
Utilisez des stratégies d'acquisition, des outils contractuels et des méthodes d'approvisionnement pour vous protéger contre les risques liés à la chaîne d'approvisionnement, les identifier et les atténuer.

Guide applicable SP 800-161r1 sur la gestion des risques liés à la cybersécurité :la section 3 et les contrôles SA fournissent des conseils supplémentaires sur les stratégies, les outils et les méthodes d'acquisition. Les départements et les agences doivent se reporter à l'annexe F pour mettre en œuvre ces conseils conformément au décret 14028 sur l'amélioration de la cybersécurité nationale.

Prevalent permet à votre équipe de centraliser et d'automatiser la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'information (RFI) dans une solution unique qui permet de comparer les attributs clés.

Comme tous les fournisseurs de services sont centralisés et examinés, la plateforme Prevalent crée des profils de fournisseurs complets qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes.

Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions concernant la sélection des fournisseurs.

SR-6Évaluations et examens des fournisseurs
Évaluer et examiner les risques liés à la chaîne d'approvisionnement associés aux fournisseurs ou sous-traitants et au système, aux composants du système ou aux services système qu'ils fournissent.

Guide applicable SP 800-161r1 sur la gestion des risques liés à la cybersécurité :en règle générale, une entreprise doit prendre en considération toute information pertinente concernant la sécurité, l'intégrité, la résilience, la qualité, la fiabilité ou l'authenticité du fournisseur ou des services ou produits qu'il fournit. Les entreprises doivent envisager d'appliquer ces informations à un ensemble cohérent de facteurs de base et de critères d'évaluation afin de faciliter une comparaison équitable (entre les fournisseurs et dans le temps). En fonction du contexte spécifique et de l'objectif de l'évaluation, l'entreprise peut sélectionner des facteurs supplémentaires. La qualité des informations (par exemple, leur pertinence, leur exhaustivité, leur exactitude, etc.) utilisées pour l'évaluation est également un élément important à prendre en compte. Les sources de référence pour les informations d'évaluation doivent également être documentées. Le C-SCRM PMO peut aider à définir les exigences, les méthodes et les outils pour les évaluations des fournisseurs de l'entreprise. Les départements et les agences doivent se reporter à l'annexe E pour obtenir des conseils supplémentaires concernant les facteurs de risque de base et la documentation des évaluations, et à l'annexe F pour mettre en œuvre ces conseils conformément au décret 14028, « Improving the Nation's Cybersecurity » (Améliorer la cybersécurité nationale).

Voir RA-3 (1) Évaluation des risques - Évaluation des risques de la chaîne d'approvisionnement

SR-8Accords de notification
Établir des accords et des procédures avec les entités impliquées dans la chaîne d'approvisionnement du système, des composants du système ou des services du système pour la notification des compromissions de la chaîne d'approvisionnement et des résultats des évaluations ou des audits.

Directive applicable SP 800-161r1 relative à la gestion des risques liés à la cybersécurité :les entreprises doivent au minimum exiger de leurs fournisseurs qu'ils concluent des accords de notification avec les entités de leur chaîne d'approvisionnement qui ont un rôle ou une responsabilité liés à ce service ou produit essentiel. Les départements et agences doivent se reporter à l'annexe F pour mettre en œuvre cette directive conformément au décret 14028 intitulé « Improving the Nation's Cybersecurity » (Améliorer la cybersécurité nationale).

Prevalent permet à votre équipe de centraliser la distribution, la discussion, la conservation et la révision des contrats fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés.

Les principales capacités sont les suivantes

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
• Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
• Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
• Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

SR-13Inventaire des fournisseurs
Développer, documenter et tenir à jour un inventaire des fournisseurs qui :
1. Reflète de manière précise et minimale les fournisseurs de premier rang de l'organisation qui peuvent présenter un risque de cybersécurité dans la chaîne d'approvisionnement ;
2. Est au niveau de granularité jugé nécessaire pour évaluer la criticité et le risque de la chaîne d'approvisionnement, le suivi et le reporting ;
3. Documente les informations suivantes pour chaque fournisseur de premier rang (par exemple, le contractant principal) : examine et met à jour l'inventaire des fournisseurs.
i. Identifiant unique pour l'instrument d'approvisionnement (c'est-à-dire le contrat, la tâche ou le bon de livraison) ;
ii. Description des produits et/ou services fournis ;
iii. Programme, projet et/ou système qui utilise les produits et/ou services du fournisseur ; et
iv. Niveau de criticité attribué qui correspond à la criticité du programme, du projet et/ou du système (ou d'un composant du système).
b. Examiner et mettre à jour l'inventaire des fournisseurs.

Directive applicable SP 800-161r1 sur la gestion des risques liés à la cybersécurité :les entreprises font appel à de nombreux fournisseurs pour mener à bien leurs missions et fonctions. De nombreux fournisseurs fournissent des produits et des services qui soutiennent plusieurs missions, fonctions, programmes, projets et systèmes. Certains fournisseurs sont plus importants que d'autres, en fonction de l'importance des missions, fonctions, programmes, projets et systèmes que leurs produits et services soutiennent, et du niveau de dépendance de l'entreprise à l'égard du fournisseur. Les entreprises doivent recourir à une analyse de criticité pour déterminer quels produits et services sont essentiels afin de déterminer la criticité des fournisseurs à documenter dans l'inventaire des fournisseurs. Voir la section 2, l'annexe C et la RA-9 pour obtenir des conseils sur la réalisation d'une analyse de criticité.

La plateforme TPRM de Prevalent centralise toutes les informations sur les fournisseurs dans un profil unique, de sorte que tous les départements qui travaillent avec les fournisseurs utilisent les mêmes informations, ce qui améliore la visibilité et la prise de décision.

Importer les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante, éliminant ainsi les processus manuels sujets aux erreurs.

Renseignez les détails clés du fournisseur à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

Avec Prevalent, vous pouvez établir des profils de fournisseurs complets qui comparent et surveillent les données démographiques, la situation géographique, les technologies de quatrième partie et les informations opérationnelles récentes des fournisseurs. L'accumulation de ces données vous permettra de signaler les risques de concentration géographique et technologique et de prendre les mesures qui s'imposent.