Comment commencer à gérer les risques liés à la sécurité des tiers

L'audit de la sécurité des fournisseurs critiques est un aspect important de la gestion des risques de la chaîne d'approvisionnement (également appelée gestion des risques des tiers ou TPRM) et peut être une exigence réglementaire (DORA, NIS2) ou de conformité au cadre (ISO 270001, NIST SP800-161).  

Même si cela n'est pas obligatoire, il est fortement recommandé de contrôler la sécurité de vos fournisseurs, car un grand nombre d'incidents de sécurité (jusqu'à 60 % selon Forrester Research) proviennent des fournisseurs, ou un incident chez un fournisseur critique peut affecter la continuité de vos activités.

Voici quelques mesures que vous pouvez prendre pour contrôler la sécurité de vos fournisseurs essentiels :

1. Définir comment identifier et gérer les risques (de sécurité) de la chaîne d'approvisionnement dans votre entreprise

Il existe plusieurs normes et cadres de référence, mais les deux suivants sont les plus fréquemment utilisés :

• ISO 31000 : Il s'agit d'une norme internationalement reconnue pour la gestion des risques. Elle fournit un cadre pour la gestion systématique et efficace des risques et peut être appliquée à n'importe quel type de risque.
• Le cadre de gestion des risques du NIST : Ce cadre fournit une approche structurée de la gestion des risques de sécurité pour les opérations organisationnelles, les actifs, les individus et d'autres intérêts.

D'autres cadres peuvent être envisagés :

• FAIR : il s'agit d'un cadre de gestion des risques qui se concentre sur la quantification et l'analyse de la sécurité de l'information et des risques opérationnels.
• OCTAVE : il s'agit d'un cadre d'évaluation et de gestion des risques mis au point par l'université Carnegie Mellon. Il est conçu pour aider les organisations à identifier et à hiérarchiser les risques liés à la sécurité de l'information et à élaborer des stratégies d'atténuation des risques.

2. Identifier les fournisseurs critiques

Commencez par identifier les fournisseurs essentiels de votre chaîne d'approvisionnement. Il s'agit des fournisseurs qui proposent des produits ou des services essentiels aux activités de votre entreprise ou qui ont accès à des informations sensibles.

3. Définir les critères de sécurité

Définissez les critères de sécurité que vos fournisseurs essentiels doivent respecter. Il peut s'agir d'exigences en matière de sécurité physique, de sécurité des données, de contrôles d'accès, de réponse aux incidents et d'autres domaines pertinents. Il peut s'agir de politiques de sécurité, de procédures et de contrôles techniques spécifiques.

Ici aussi, des cadres standard peuvent être utilisés pour cette tâche :

• ISO 27001 : il s'agit d'une norme internationalement reconnue pour la gestion de la sécurité de l'information. Elle fournit une approche systématique de la gestion des informations sensibles et permet d'identifier et de gérer les risques liés à la sécurité de l'information.
• Cadre de cybersécurité du NIST : Ce cadre fournit un ensemble de lignes directrices pour améliorer la gestion des risques de cybersécurité pour les organisations. Il comprend un ensemble de bonnes pratiques, de normes et de lignes directrices pour la gestion des risques liés à la cybersécurité.
• SOC 2 : Il s'agit d'une norme élaborée par l'American Institute of CPAs (AICPA) qui définit les critères d'évaluation de l'efficacité des contrôles d'une entreprise en matière de sécurité, de disponibilité, d'intégrité du traitement, de confidentialité et de respect de la vie privée.
• PCI DSS : Il s'agit d'un ensemble de normes de sécurité créées par l'industrie des cartes de paiement pour garantir que les entreprises qui traitent, stockent ou transmettent des informations relatives aux cartes de crédit maintiennent un environnement sécurisé.
• HIPAA : Il s'agit d'un ensemble de normes auxquelles les organisations de soins de santé aux États-Unis doivent se conformer pour protéger la confidentialité et la sécurité des informations sur la santé des patients.  L'HIPAA est une norme américaine, mais elle peut être utilisée à titre de référence.
• Les contrôles CIS : anciennement connus sous le nom de SANS Top 20 Critical Security Controls, sont un ensemble de meilleures pratiques et de lignes directrices développées par le Center for Internet Security (CIS) pour aider les organisations à améliorer leur position en matière de cybersécurité et à se protéger contre les cybermenaces les plus courantes. Ces contrôles sont conçus pour établir des priorités et guider les organisations dans la mise en œuvre de mesures de sécurité efficaces.
• Cloud Controls Matrix : composée de 197 objectifs de contrôle structurés en 17 domaines couvrant tous les aspects clés de la technologie de l'informatique en nuage. Elle peut être utilisée comme outil pour l'évaluation systématique de la mise en œuvre d'un nuage et fournit des indications sur les contrôles de sécurité qui doivent être mis en œuvre par tel ou tel acteur de la chaîne d'approvisionnement du nuage. Le cadre de contrôle est aligné sur le CSA Security Guidance for Cloud Computing et est considéré comme une norme de facto pour l'assurance et la conformité de la sécurité de l'informatique en nuage.
• Cyber Fundamentals : Le Cyber fundamentals Framework est un ensemble de mesures concrètes développées par le Centre belge pour la cybersécurité afin d'accroître la cyber-résilience d'une organisation.   Ce cadre est basé sur quatre cadres de cybersécurité couramment utilisés, auxquels il est lié : NIST CSF, ISO 27001 / ISO 27002, CIS Controls et IEC 62443.
• Lignes directrices de l'ANSSI : Les lignes directrices de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) sont un ensemble de recommandations et de bonnes pratiques en matière de cybersécurité élaborées par l'Agence nationale française de cybersécurité.
• BSI Standard 200-2 : élaboré par l'Office fédéral allemand pour la sécurité de l'information, il définit des méthodes pour mettre en place, réviser et étendre un système de gestion de la sécurité de l'information (SGSI). Différentes procédures sont disponibles pour la protection de base, la protection standard ou la protection fondamentale. La norme est compatible avec la certification ISO 27001.
• Cyber Essentials : il s'agit d'un programme de certification de la cybersécurité mis au point par le National Cyber Security Centre (NCSC) du gouvernement britannique pour aider les organisations à se protéger contre les cybermenaces les plus courantes. Le programme se concentre sur les pratiques de sécurité fondamentales et encourage les organisations à adopter des contrôles de cybersécurité de base pour protéger leurs systèmes et leurs données.
• NIS pour les opérateurs de services essentiels : Rédigé par le groupe de coopération NIS, composé de représentants des États membres, de la Commission et de l'Agence européenne chargée de la sécurité des réseaux et de l'information ("ENISA"), ce document traduit la première directive NIS en un ensemble de mesures de sécurité pour les opérateurs de services essentiels.   Ces mesures devraient être mises à jour dans les années à venir sur la base de la directive NIS 2.

Pour les entreprises qui débutent, nous recommandons de commencer par les critères NIS, CIS ou (une sélection de) ISO 27001.

4. Procéder à une évaluation des risques

Procédez périodiquement à une évaluation des risques de vos fournisseurs essentiels afin d'identifier les vulnérabilités et les menaces potentielles pour leur sécurité.  Cela peut impliquer les activités suivantes :

• Examiner leurs pratiques et politiques de sécurité sur la base de la documentation fournie, des certifications obtenues, ainsi que des incidents ou violations de sécurité qu'ils ont pu connaître dans le passé.
• Envoyer un questionnaire : Envoyez à vos fournisseurs essentiels un questionnaire sur la sécurité afin de recueillir des informations sur leurs pratiques et contrôles en matière de sécurité. Le questionnaire doit porter sur les critères de sécurité que vous avez définis à l'étape 3.   Notez que Ceeyu fournit des modèles de questionnaires pour les frameworks les plus populaires.   Nous recommandons fortement de commencer par un ensemble limité de questions, plutôt que par l'ensemble des questions ISO ou NIST, car d'après notre expérience, plus le questionnaire est long, plus le taux de réponse et la qualité des réponses sont faibles.
• Analyser la surface d'attaque :   L'analyse de la surface d'attaque d'un fournisseur révèle son réseau exposé et ses actifs informatiques (souvent appelés empreinte numérique) et leur niveau de sécurité.   Cela donne une indication de la manière dont le fournisseur gère ses risques externes en matière de cybersécurité.
• Demandez des audits de sécurité : Demandez des audits de sécurité à vos fournisseurs essentiels. Vous pouvez effectuer ces audits vous-même ou faire appel à un auditeur tiers. Les audits doivent porter sur les critères de sécurité que vous avez définis à l'étape 3 et peuvent être affinés en fonction des résultats des trois étapes précédentes.

Assurer le suivi des conclusions et des recommandations des rapports d'audit : Examinez les rapports d'audit et identifiez les domaines de préoccupation. Le cas échéant, collaborez avec vos fournisseurs essentiels afin d'élaborer des plans de remédiation pour résoudre les problèmes de sécurité identifiés.

5. Contrôler la conformité en cours

Contrôlez en permanence le respect de vos critères de sécurité et des plans de correction élaborés. Il peut s'agir d'audits périodiques, d'examens périodiques des pratiques de sécurité, d'une analyse permanente de la surface d'attaque pour identifier la présence de vulnérabilités critiques dans le réseau de votre fournisseur et d'un suivi des incidents et des failles de sécurité (et de la manière dont le fournisseur gère ces failles).

6. Établir des plans d'urgence

Enfin, il convient d'établir des plans d'urgence au cas où l'un des fournisseurs essentiels connaîtrait une faille de sécurité ou d'autres problèmes liés à la sécurité. Ces plans doivent décrire les mesures à prendre pour atténuer l'impact d'un tel incident.

En suivant ces étapes, vous pouvez contrôler efficacement la sécurité de vos fournisseurs essentiels et gérer plus efficacement les risques liés à la chaîne d'approvisionnement.