Cyber-risques liés aux chaines de sous-traitance et d’approvisionnement
En cybersécurité, les risques liés aux chaines de sous-traitance et d’approvisionnement ou C-SCRM (Cyber Supply Chain Risk Management) peuvent être difficiles à traiter. Le NIST publie des bonnes pratiques dans son référentiel NISTIR 8276 – « Key Practices in Cyber Supply Chain Risk Management ». Ces bonnes pratiques font partie des notions à connaitre dans le cadre des certifications CISSP et CCSP. Elles participent à renforcer la confiance clients-fournisseurs, concept présent depuis longtemps dans l’approche ISAE 3402. L'EBA publie des lignes directrices de gestion des risques liés à la sous-traitance pour le secteur bancaire. Des mesures de sécurité liées à la sous-traitance sont par exemple disponibles dans la catégorie 15 du référentiel CIS. Le département de la défense américain met en oeuvre CMMC pour protéger les informations non classifiées mais sensibles manipulées par ses sous-traitants.
Adapter le C-SCRM à l’entité
La direction des achats fait généralement appel à plusieurs fonctions transverses pour mettre en œuvre son processus dont l’IT, les opérations, les affaires juridiques et la gestion des risques. Le C-SCRM pourra bénéficier des processus et procédures en place pour s’intégrer plus facilement à l’entité et à la culture de l’entreprise.
Formaliser un programme C-SCRM
Le programme devra être pragmatique et adapté à la taille et à la maturité de l’organisation. Des exemples de principes habituellement recommandés pour un programme de ce type sont les suivants :
- Support à bon niveau de la direction.
- Gouvernance précisant les rôles et responsabilités.
- Procédures simples fixant les attendus pour chacune des activités.
- Intégration des aspects cybersécurité dans le cycle de développement.
- Clarification des fonctions en charge des aspects cybersécurité des fournisseurs.
- Indicateurs pour mesurer l’efficacité du processus.
- Maintien à jour d’une liste de fournisseurs approuvés.
- Inventaires des composants logiciels et matériels, en utilisant par exemple la nomenclature SBOM.
- Procédures de test et d’évaluation des composants critiques.
- Respect du « besoin d’en connaitre » (need-to-know) pour les informations accessibles aux fournisseurs.
- Identification de sources alternatives d’approvisionnements des composants critiques.
Gestion des fournisseurs et des composants critiques
Les fournisseurs critiques sont les fournisseurs qui apportent les composants essentiels de la chaine d’approvisionnement ou les fournisseurs dont l’indisponibilité pourraient avoir un impact très important pour l’entreprise. Ce sont aussi les entités qui accèdent à des ressources critiques du système d’information. Des exemples de critères pour déterminer la criticité des fournisseurs sont :
- Contribution au chiffre d’affaire.
- Volume de données auquel le fournisseur a accès.
- Accès aux systèmes d’information sensibles.
- Possibilité pour un attaquant d’utiliser le fournisseur pour rebondir sur le système d’information.
Un outil est proposé par le NIST pour identifier et calculer ces critères. Ces pratiques rejoignent les activités menées dans l’analyse des impacts métiers (Business Impact Analysis) des scénarios de types « perte de prestataires essentiels ».
Connaissance de la chaine de sous-traitance.
Analyser et traiter les risques de cybersécurité liés à la sous-traitance nécessitent de bien comprendre la chaîne de sous-traitance de l’organisation. Cette chaine peut impliquer de multiples niveaux de sous-traitances avec des conséquences en cascade peu visibles au premier abord. Une vision précise est pourtant indispensable, par exemple pour être en mesure de réagir en cas de compromission d’un composant matériel ou logiciel utilisé par un produit.
Collaboration avec les sous-traitants
Une collaboration étroite avec les fournisseurs essentiels apporte beaucoup de valeur, en particulier au travers les actions suivantes :
- Visites et communications.
- Travail de revue des mesures de cybersécurité en place.
- Mise en place de protections et standards de sécurité communs.
- Inclusion des fournisseurs clés aux plans de continuité et aux exercices de gestion de crise.
- Supervision permanente du processus et actions régulières d’audits et d’évaluations.
Dans le cadre la mise en place de son SMSI (Système de Management de la Sécurité de l’Information), les normes ISO 27036 (sécurité de l’information pour la relation avec les fournisseurs) peuvent être utilisées pour mettre en œuvre son C-SCRM :
- ISO 27036-1 : Aperçu et concepts.
- ISO 27036-2 : Exigences.
- ISO 27036-3 : Bonnes pratiques.
- ISO 27036-4 : Bonnes pratiques pour le Cloud, voir aussi les certifications Cloud.
Ce sujet est aussi abordé dans la série ISO 27034 sur la sécurité des applications.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :
CISSP, CCSP, Cyber Risques, ISO27001, ISAE3402, SCRM, SupplyChain, Sous-traitance, C-SCRM, ISO27036