ISO27036

En cybersécurité, les risques liés aux chaines de sous-traitance et d’approvisionnement ou C-SCRM (Cyber Supply Chain Risk Management) peuvent être difficiles à traiter. Le NIST publie des bonnes pratiques dans son référentiel NISTIR 8276 – « Key Practices in Cyber Supply Chain Risk Management ». Ces bonnes pratiques font partie des notions à connaitre dans le cadre des certifications CISSP et CCSP. Elles participent à renforcer la confiance clients-fournisseurs, concept présent depuis longtemps dans l’approche ISAE 3402.  L'EBA publie des lignes directrices de gestion des risques liés à la sous-traitance pour le secteur bancaire. Des mesures de sécurité liées à la sous-traitance sont par exemple disponibles dans la catégorie 15 du référentiel CIS.
 

La cybersécurité des fournisseurs fait partie des risques majeurs à analyser et traiter. Le concept de SCRM est souvent évoqué et fait partie du programme de la certification CISSP. Le NIST a publié des bonnes pratiques dans son référentiel 8276. La série de normes ISO 27036 propose des guides et des bonnes pratiques pour sécuriser les relations avec ses fournisseurs. L'EBA publie des lignes directrices pour le secteur bancaire.