Les cyberagences internationales publient des directives sur la chaîne d'approvisionnement suite à la récente augmentation des cyberattaques

Le mois dernier, dans le cadre d'un comité consultatif conjoint, les organes directeurs de la cybersécurité des États-Unis, du Royaume-Uni, de l'Australie, du Canada et de la Nouvelle-Zélande ont publié directives officielles en matière de cybersécurité de la chaîne d'approvisionnement pour aider les organisations à assurer la sécurité de leurs informations et données.   

Les nouvelles orientations, axées sur le soutien aux moyennes et grandes entreprises et aux personnes au sein des organisations responsables de la gestion des risques, de l'information et de la cybersécurité, aideront à établir ou à améliorer les approches organisationnelles pour évaluer les risques de cybersécurité de la chaîne d'approvisionnement. 

Pourquoi les cyberagences se concentrent-elles sur la sécurité de la chaîne d'approvisionnement

Les compromissions au niveau de la chaîne d’approvisionnement ont fait la une des journaux dans des proportions sans précédent. L’attaque de SolarWinds en 2020 a apparemment ouvert les vannes, et les brèches ne cesseront de se produire.  

Au cours du seul mois dernier, MediBank en Australie a vu plus de 4 millions de dossiers de patients compromis et divulgués en ligne. Supeo, fournisseur de DSB, le plus grand réseau ferroviaire du Danemark, a été victime d'une brèche qui a empêché physiquement les trains de circuler pendant plus de deux heures. Et Chase UK a subi une attaque qui a empêché ses clients d'accéder à son application bancaire pendant près de deux jours.  

Alors que les organisations s'appuient sur un nombre croissant de fournisseurs pour fournir des produits, des systèmes et des services, le risque que des vulnérabilités soient introduites ou exploitées via ces fournisseurs augmente considérablement. Cette complexité croissante fait qu’il est difficile pour les entreprises de savoir dans quelle mesure leur chaîne d’approvisionnement est sécurisée et si elles disposent de suffisamment de protections.  

En fin de compte, ces cyberattaques peuvent avoir un impact dévastateur sur les entreprises, avec des conséquences coûteuses et à long terme pour les organisations concernées, leurs fournisseurs essentiels et leurs clients.  

Pourquoi la sécurité de la chaîne d’approvisionnement est-elle si difficile à gérer pour les entreprises   

Malgré les risques bien documentés, de nombreuses entreprises perdent encore de vue leurs chaînes d’approvisionnement. En fait, selon le Enquête 2022 sur les atteintes à la sécurité, "un peu plus d'une entreprise sur dix examine les risques posés par ses fournisseurs immédiats (13 %), et la proportion pour l'ensemble de la chaîne d'approvisionnement est la moitié de ce chiffre (7 %)." 

Les cyber-risques associés à une attaque de la chaîne d’approvisionnement n’ont jamais été aussi élevés ; les attaquants font évoluer leurs méthodes et outils d’attaque à un rythme de plus en plus alarmant. Pourtant, malgré une sensibilisation croissante du public aux menaces et une surveillance réglementaire accrue, les entreprises ne suivent pas le rythme.  

Selon le National Cyber ​​Security Center (NCSC), même si de nombreuses organisations comprennent que leur chaîne d'approvisionnement devrait être un sujet de préoccupation, il reste :  

• manque d'investissement pour se prémunir contre ce risque cyber 
• visibilité limitée sur les chaînes d’approvisionnement 

• outils et expertise insuffisants pour évaluer la cybersécurité des fournisseurs 
• manque de clarté sur ce que vous devriez demander à vos fournisseurs de faire

Ces problèmes exposent les chaînes d’approvisionnement et les exposent au risque d’exploitation par les cybercriminels.   

Étapes pratiques permettant aux organisations de sécuriser leur chaîne d’approvisionnement 

Les orientations publiées par les organismes cyber-gouvernementaux décomposent la meilleure approche en cinq étapes clés : 

1. Comprenez pourquoi votre organisation devrait se soucier de la sécurité de la chaîne d'approvisionnement 

 Les organisations doivent comprendre ce qui doit être protégé au sein de leur écosystème et pourquoi cela doit être sécurisé pour établir un contrôle significatif sur la chaîne d’approvisionnement.  

En fin de compte, une cybersécurité efficace doit être adaptée à vos systèmes, vos processus, votre personnel, votre culture et le niveau de risque que vous êtes prêt à prendre.   

2. Développer une approche pour évaluer la sécurité de la chaîne d’approvisionnement 

 Déterminez les aspects critiques de votre organisation que vous devez le plus protéger (vos « joyaux de la couronne »), en tenant compte des menaces potentielles, des vulnérabilités, de l'impact et de l'appétit pour le risque de votre organisation.  

En utilisant les aspects clés identifiés de votre organisation, créez un certain nombre de profils de sécurité des fournisseurs à plusieurs niveaux. Chaque profil doit représenter une échelle d'impact croissante, puis attribuez-les à chacun de vos fournisseurs.  

3. Appliquer l'approche aux conversations avec les nouveaux fournisseurs 

Intégrez de nouvelles pratiques de sécurité tout au long du cycle de vie des contrats des nouveaux fournisseurs, depuis l'approvisionnement et la sélection des fournisseurs jusqu'à la clôture du contrat.   

Ce processus devrait également commencer à sensibiliser davantage votre personnel à la sécurité et à créer une culture de surveillance continue de la conformité en matière de sécurité et de gestion de l'information.  

4. Intégrer l'approche dans les accords avec les fournisseurs existants

Avec une nouvelle approche convenue, révisez vos contrats existants soit lors du renouvellement, soit plus tôt lorsqu'il s'agit de fournisseurs critiques. 

5. Améliorer continuellement

Affiner régulièrement votre approche à mesure que de nouveaux problèmes émergent réduira la probabilité que des risques impactent votre organisation via la chaîne d'approvisionnement.  

Comment la norme ISO 27001 peut garantir une sécurité durable de la chaîne d'approvisionnement  

ISO 27001 est une norme internationalement reconnue pour la gestion de l'information, mais il s'agit en réalité de la gestion des risques. Et c'est à cela que reviennent sans cesse les directives publiées par le NCSC, la CISA, le FBI, l'ACSC, le CCCS et le NZ NCSC. C'est pourquoi travailler dans le cadre ISO 27001 entraînera des comportements et des avantages en matière de sécurité pour toute entreprise cherchant à améliorer sa cyber-résilience. et se démarque de ses concurrents.  

ISO 27001 conseille aux entreprises d'avoir un processus simple en place pour l'intégration et la gestion des fournisseurs. En particulier, concentrez-vous sur les éléments suivants :  

• En gardant politiques de sécurité de l'information, procédures et contrôles à jour 
• Maintien des effets critiques informations d'affaires, systèmes et processus 
• S'assurer de réévaluer les risques identifiés et vérifier que les fournisseurs répondent aux exigences de sécurité en cours  

Cela peut sembler un conseil essentiel de bon sens, mais il peut permettre aux organisations d’économiser du temps, de l’argent, des dommages à leur réputation et de la frustration s’il est mis en œuvre correctement. De plus, la conformité au cadre ISO 27001 peut offrir un avantage commercial significatif en démontrant vos informations d'identification de sécurité certifiées aux clients actuels et futurs. 

Renforcez la sécurité de votre chaîne d'approvisionnement dès aujourd'hui  

Si vous souhaitez commencer votre voyage vers une meilleure sécurité de la chaîne d’approvisionnement, nous pouvons vous aider.   

Notre solution ISMS permet une approche simple, sécurisée et durable de la gestion de l'information avec la norme ISO 27001, le NIST et d'autres cadres. Il propose des modules de sécurité de la chaîne d'approvisionnement qui peuvent être rapidement adoptés, adaptés et complétés au fil du temps pour parvenir à une cybersécurité réussie et à une meilleure adoption de comportements sécurisés au sein de votre organisation. Libérez votre avantage concurrentiel dès aujourd’hui.  

Réserver une démonstration