Cartographie des risques : Guide du NCSC sur la sécurité de la chaîne d'approvisionnement

Par John Leyden • 11 juillet 2023

Les cyberattaques affectant la chaîne d'approvisionnement d'une organisation – plutôt que l'organisation directement – sont de plus en plus courantes.

Si votre fournisseur est victime d'une violation, les actifs d'une organisation sont en danger. Conscients de cela, les attaquants ont adopté la tactique consistant à déployer des attaques via la chaîne d’approvisionnement logicielle. Comme indiqué précédemment, une forme d'attaque qui a pris de l'importance avec l'attaque du ransomware NotPetya en 2017 et la violation de SolarWinds en 2020, est en train de devenir un fléau pour la sécurité des entreprises.

Le exploitation d'une vulnérabilité dans le logiciel de transfert de fichiers MOVEit pour voler des données et tenter d'extorquer de l'argent aux utilisateurs de la technologie illustre comment les attaques contre la chaîne d'approvisionnement sont utilisées comme vecteur d'attaque par les cybercriminels ainsi que par les États-nations.

Les progiciels commerciaux, les composants open source et les éléments de la technologie cloud sont tous menacés par les attaques de la chaîne logistique.

Les objectifs des attaques de la chaîne d’approvisionnement peuvent aller du sabotage à la distribution de logiciels malveillants, en passant par les ransomwares et même le cyberespionnage. Une chaîne n'est aussi solide que son composant le plus faible, et des problèmes peuvent survenir aussi bien des fournisseurs de technologie aux fournisseurs d'une organisation que des fournisseurs avec lesquels quelqu'un a une relation commerciale directe, ce qui complique encore davantage la situation.

Dépendances de la chaîne d'approvisionnement

L'examen annuel 2022 du National Cyber Security Centre (NCSC) du Royaume-Uni a identifié la sécurité de la chaîne d'approvisionnement comme un « défi majeur en matière de menaces futures ». Le NCSC a suivi cet avertissement plus tôt cette année en des conseils sur la façon dont les organisations peuvent cartographier les risques de leur chaîne d’approvisionnement.

Ces lignes directrices, destinées aux moyennes et grandes organisations, fournissent des étapes pratiques pour mieux évaluer la cybersécurité dans les chaînes d'approvisionnement. Il s’agit d’une tâche difficile, comme le reconnaît le NCSC.

« Les chaînes d'approvisionnement sont souvent vastes et complexes, et il peut être difficile de sécuriser efficacement la chaîne d'approvisionnement car des vulnérabilités peuvent être inhérentes, introduites ou exploitées à tout moment », explique l'agence de garantie de l'information du gouvernement britannique.

La tâche ardue de cartographie des dépendances de la chaîne d’approvisionnement peut être accomplie en la décomposant en parties gérables, notamment :

Quel produit ou service est fourni, par qui et l'importance de cet actif pour une organisation
Un inventaire des fournisseurs et de leurs sous-traitants, montrant comment ils sont connectés

Les experts en assurance ont accueilli favorablement les conseils de cartographie du NCSC.

Piers Wilson, directeur du Chartered Institute of Information Security (CIISec), a déclaré à ISMS.online : « Les directives du NCSC soulignent la nécessité d'identifier et de comprendre les fournisseurs et leurs risques individuels à tous les niveaux de la chaîne. Certains fournisseurs avec lesquels vous pouvez partager des données, tandis que d'autres ne toucheront pas à vos données tout en fournissant une assistance essentielle. Quoi qu’il en soit, tout cela augmente la surface d’attaque potentielle.

Wilson a poursuivi : « Il existe ensuite des risques systémiques liés aux fournisseurs de services cloud ou gérés, qui peuvent sous-tendre non seulement votre entreprise, mais aussi d'autres organisations sur lesquelles vous comptez. »

Une partie du processus consiste à cartographier les dépendances, un processus semblable à l’inventaire des actifs. Wilson a expliqué : « Les processus d'évaluation et d'audit utilisés pour cartographier la chaîne d'approvisionnement doivent être adaptés à leur objectif, reproductibles et répondre aux besoins de l'entreprise. Ils doivent également fournir les informations nécessaires sur les risques, l’état de la cyberhygiène et la surface d’attaque plus large. Les conseils du NCSC constituent une étape dans cette direction.

Les risques liés à la chaîne d’approvisionnement sont apparus comme un défi crucial dans Le récent rapport d'ISMS.online sur l'état de la sécurité de l'information. Dans une enquête menée auprès de 500 professionnels chevronnés de la sécurité de l'information, 30 % des personnes interrogées ont cité la gestion des risques liés aux fournisseurs et aux tiers comme l'un des « principaux défis en matière de sécurité de l'information ». Plus de la moitié (57 %) des organisations interrogées ont subi une violation due à une compromission de la chaîne d'approvisionnement.

Surcharge

CIISec a averti que la cartographie de la chaîne d'approvisionnement mettrait probablement une pression accrue sur les équipes de sécurité déjà sous pression.

Wilson de CIISec a commenté : « Le respect des directives NCSC et ISO aidera les équipes de sécurité à identifier le moyen le plus efficace et le plus efficace pour cartographier et protéger leurs chaînes d'approvisionnement. Mais en outre, l'industrie doit continuer à investir dans la formation et à attirer du sang neuf, afin que les équipes reçoivent les compétences et le soutien dont elles ont besoin et ne s'épuisent pas.

Esétablir un cadre

ISO 27001 est une norme internationale pour les systèmes de gestion de la sécurité de l'information. Le cadre propose des lignes directrices pour maintenir la confidentialité, l'intégrité et la disponibilité des données d'entreprise.

L'approche des meilleures pratiques de la norme de sécurité de l'information aide les organisations à gérer la sécurité de leurs informations avec des recommandations qui couvrent les personnes, les processus et la technologie.

Les conseils cartographiques du NCSC cite ses propres Cyber Essentials et les certifications ISO et de produits en tant qu'outils permettant de cartographier la chaîne d'approvisionnement.

Luke Dash, directeur général d'ISMS.online, a déclaré que les organisations doivent travailler avec leurs fournisseurs dans un effort conjoint pour cartographier les risques de la chaîne d'approvisionnement, en utilisant la norme ISO 27001 comme guide. « La norme ISO 27001, réputée pour son approche globale de la gestion des risques liés à la sécurité de l'information, complète parfaitement les conseils en matière de cartographie de la chaîne d'approvisionnement du NCSC en fournissant un cadre solide aux organisations cherchant à protéger leurs actifs numériques », a expliqué Dash. « Les deux entités donnent la priorité à l'étape critique d'évaluation des risques, soulignant la nécessité pour les organisations d'identifier et d'évaluer les risques associés à leurs actifs informationnels et à leurs chaînes d'approvisionnement.

Dash a ajouté : « En entreprenant un parcours commun d’évaluation des risques, les organisations peuvent comprendre de manière globale les vulnérabilités potentielles, ce qui leur permet de mettre en œuvre des mesures de sécurité ciblées. »

Une partie du processus de gestion des risques consiste à évaluer la maturité en matière de sécurité des fournisseurs avant d'utiliser ces données pour éclairer les décisions d'achat. Dash d'ISMS.online explique : « Les conseils de cartographie de la chaîne d'approvisionnement du NCSC soulignent l'importance d'évaluer les pratiques de sécurité des fournisseurs, y compris leur compréhension des menaces émergentes et leurs capacités de réponse aux incidents. L'harmonisation de ces critères permet aux organisations de prendre des décisions éclairées, en sélectionnant des fournisseurs dotés de mesures de sécurité robustes et conformes à leurs normes strictes.

Les accords contractuels jouent également un rôle essentiel dans la création d'un cadre cohérent. « La norme ISO 27001 souligne l'importance d'établir des accords clairs définissant les responsabilités en matière de sécurité de l'information et les attentes des fournisseurs », a déclaré Dash d'ISMS.online. « En parfaite adéquation, les conseils en matière de cartographie de la chaîne d'approvisionnement du NCSC encouragent les organisations à intégrer les exigences de sécurité dans les accords contractuels, garantissant ainsi le respect de normes de sécurité rigoureuses tout au long de la chaîne d'approvisionnement.

La surveillance et l'examen continus sont des éléments essentiels à la fois des conseils en matière de cartographie de la chaîne d'approvisionnement du NCSC et de la norme ISO 27001, permettant aux cadres complémentaires d'être appliqués en tandem les uns avec les autres.« L'accent mis par la norme ISO 27001 sur l'amélioration continue s'aligne parfaitement avec la recommandation du NCSC pour une réévaluation régulière des risques de la chaîne d'approvisionnement et des examens périodiques des pratiques de sécurité des fournisseurs », a conclu Dash d'ISMS.online.

« En adoptant cette approche partagée, les organisations restent agiles, font face de manière proactive aux menaces émergentes et garantissent la sécurité continue de leurs chaînes d'approvisionnement. »

Simplifiez la gestion de votre chaîne d'approvisionnement dès aujourd'hui

Découvrez comment notre solution ISMS permet une approche simple, sécurisée et durable de la gestion de la chaîne d'approvisionnement et de la gestion de l'information avec la norme ISO 27001 et plus de 50 autres cadres.

John Leyden

John Leyden écrit sur les réseaux informatiques et la cybersécurité depuis plus de 20 ans. Avant l'avènement d'Internet, il travaillait comme journaliste policier dans un journal local de Manchester. John est titulaire d'un diplôme en ingénierie électronique de la City, Université de Londres.

Lire la suite de John Leyden

Confidentialité des données 22 Août 2024

les entreprises sont invitées à suivre la réglementation sur l'IA « à évolution rapide »

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

L'intelligence artificielle (IA) transforme le secteur des technologies de l'information à une vitesse vertigineuse. Elle a transformé des applications, notamment la gestion des données…

John Leyden

La cyber-sécurité 20 Juin 2024

pourquoi les fournisseurs peuvent avoir du mal à maintenir la bannière « sécurisé dès la conception »

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

De nombreux fournisseurs de technologies ont adhéré à l'engagement « Secure by Design » soutenu par le gouvernement américain. Mais cet engagement marquera-t-il une rupture avec le passé ?

John Leyden

La cyber-sécurité 28 mai 2024

décoder les nouvelles directives du ncsc pour la bannière scada hébergée dans le cloud

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud

Les systèmes de technologie opérationnelle (OT) surveillent et contrôlent automatiquement les processus et les équipements qui exécutent tout, des centrales électriques aux hôpitaux intelligents...

John Leyden

Cartographie des risques : Guide du NCSC sur la sécurité de la chaîne d'approvisionnement

Dépendances de la chaîne d'approvisionnement

Surcharge

Esétablir un cadre

Simplifiez la gestion de votre chaîne d'approvisionnement dès aujourd'hui

John Leyden

Articles connexes

Contrôle continu simplifié : Intune et Entra désormais disponibles dans IO

Mise à jour de la plateforme ISMS.online : de nouveaux outils pour améliorer votre conformité en matière de sécurité de l'information

Une étape importante à célébrer : 45,000 XNUMX utilisateurs actifs font confiance à ISMS.online

Lire la suite de John Leyden

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud