En cybersécurité, les risques liés aux chaines de sous-traitance et d’approvisionnement ou C-SCRM (Cyber Supply Chain Risk Management) peuvent être difficiles à traiter. Le NIST publie des bonnes pratiques dans son référentiel NISTIR 8276 – « Key Practices in Cyber Supply Chain Risk Management ». Ces bonnes pratiques font partie des notions à connaitre dans le cadre des certifications CISSP et CCSP. Elles participent à renforcer la confiance clients-fournisseurs, concept présent depuis longtemps dans l’approche ISAE 3402. L'EBA publie des lignes directrices de gestion des risques liés à la sous-traitance pour le secteur bancaire. Des mesures de sécurité liées à la sous-traitance sont par exemple disponibles dans la catégorie 15 du référentiel CIS.
L 'Autorité bancaire européenne (European Bankin Authority) fait partie du système européen de surveillance financière avec les Autorités européennes des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP). Cette autorité est à l’origine de plusieurs textes destinés au secteur bancaire. Ces dernières années, les institutions financières ont de plus en plus externalisé leurs activités pour réduire les coûts et d'améliorer leur flexibilité et leur efficacité. L’utilisation des services de Cloud par le secteur bancaire s’est ainsi intensifiée. Les lignes directrices de l’EBA précisent les critères d’externalisation et d’identification des fonctions critiques ou importantes ayant un impact élevé sur le profil de risque de l'institution financière ou sur son cadre de contrôle interne. Les lignes directrices donnent un cadre pour maitrise le risque lié à la sous-traitance de fonctions critiques ou importantes. En dehors du secteur bancaire, d’autres bonnes pratiques sont disponibles pour traiter les risques de sous-traitance, notamment sur les aspects de cybersécurité SCRM comme l’ISO 27036 ou le NISTIR 8276.
L 'Autorité bancaire européenne (European Bankin Authority) fait partie du système européen de surveillance financière avec les Autorités européennes des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP). Les lignes directrices sur la gestion des risques de cybersécurité et IT sont applicables depuis le 30 juin 2020 pour les institutions financières.
Les risques de cybersécurité liés à la sous-traitance et à la gestion de la chaîne d'approvisionnement sont nombreux et difficiles à traiter. Les impacts peuvent être importants, par exemple des attaques ciblées au travers d'équipements compromis puis connectés au système d'information ou des modifications du code source d'applications. Le nouveau programme du CISSP détaille les notions liées au SCRM (Supply Chain Risk Management) dans le premier domaine consacré à la gouvernance. Si les méthodes classiques d'analyse de risques peuvent être utilisées (Ebios Risk Manager, FAIR...), plusieurs référentiels spécifiques du NIST (par exemple le NISTIR 8276) , de l'ISO 27036, de SAFECode ou d'OpenGroup fournissent des bonnes pratiques pour analyser et traiter les risques liées à la chaine d'approvisonnement.
Retrouvez notre vidéo de présentation du SCRM.
La cybersécurité des fournisseurs fait partie des risques majeurs à analyser et traiter. Le concept de SCRM est souvent évoqué et fait partie du programme de la certification CISSP. Le NIST a publié des bonnes pratiques dans son référentiel 8276. La série de normes ISO 27036 propose des guides et des bonnes pratiques pour sécuriser les relations avec ses fournisseurs. L'EBA publie des lignes directrices pour le secteur bancaire.
