Aller au contenu principal

Cybersécurité - Gestion des risques de la chaîne d'approvisionnement (C-SCRM)

Dans cette application, le terme chaîne d'approvisionnement se réfère à l'ensemble interconnecté de ressources et de processus entre plusieurs niveaux d'une entreprise, chacun étant un acquéreur qui débute par l'approvisionnement en produits et services et s'étend tout au long du cycle de vie des produits et services.

Dans cette application, le terme chaîne d'approvisionnement désigne les ressources et processus interconnectés impliquant plusieurs niveaux d'une entreprise et ses tiers, en commençant par l'approvisionnement de produits et services et en s'étendant à travers leur cycle de vie complet.

Compte tenu de la définition de la chaîne d'approvisionnement, les risques de cybersécurité tout au long de la chaîne d'approvisionnement se réfèrent au potentiel de dommages ou de compromissions pouvant provenir des fournisseurs, de leurs chaînes d'approvisionnement, de leurs produits ou de leurs services.

Les risques de cybersécurité tout au long de la chaîne d'approvisionnement sont le résultat de menaces exploitant des vulnérabilités ou des expositions au sein de produits et services qui traversent la chaîne d'approvisionnement ou de menaces qui exploitent des vulnérabilités ou expositions au sein de la chaîne d'approvisionnement elle-même. Des exemples de risques de cybersécurité tout au long de la chaîne d'approvisionnement incluent :

  1. Un fabricant de gadgets dont le matériel de conception est volé dans un autre pays, entraînant la perte de propriété intellectuelle et de parts de marché.
  2. Un fabricant de gadgets qui subit une perturbation de l'approvisionnement en composants de fabrication critiques en raison d’une attaque par rançongiciel chez un fournisseur situé trois niveaux plus bas dans la chaîne d'approvisionnement.
  3. Une chaîne de magasins qui subit une violation massive de données liée à un fournisseur de CVC ayant accès au portail de partage de données de la chaîne de magasins.

(Source : NIST SP 800-161).

Les organisations dépendent de plus en plus de fournisseurs externes pour les produits, systèmes et services nécessaires à la réalisation de leurs missions et fonctions commerciales, mais elles restent responsables des risques encourus. Ces relations peuvent être établies par le biais de coentreprises, de contrats, d'externalisation ou d'autres accords. La dépendance vis-à-vis des fournisseurs externes introduit des risques, tels que la contrefaçon, la falsification, la production non autorisée, les logiciels ou matériels malveillants, et de mauvaises pratiques de fabrication. Ces risques sont amplifiés par la nature mondiale et distribuée des chaînes d'approvisionnement, ce qui limite la visibilité d'une organisation sur la manière dont les produits et services sont développés, intégrés et déployés.

Pour atténuer ces risques, les organisations élaborent une politique de gestion des risques de la chaîne d'approvisionnement (GRCA) et de cybersécurité - gestion des risques de la chaîne d'approvisionnement (C-GRCA) qui s'aligne sur les lois, règlements et politiques internes. Cette politique définit les rôles, les responsabilités et l'intégration de la GRCA avec la gestion des risques et le cycle de vie du développement des systèmes (SDLC). Elle aborde également les acquisitions, les évaluations des risques, le renseignement sur les menaces, les stratégies d'atténuation et le suivi des performances.

Notez que GRCA et C-GRCA se réfèrent au même concept dans le cadre des publications NIST. Dans la pratique générale, la C-GRCA est au carrefour de la gestion traditionnelle des risques de la chaîne d'approvisionnement.

La GRCA nécessite des efforts coordonnés à travers l'organisation, impliquant les parties prenantes internes et externes. Les activités comprennent l'identification des risques, la détermination des actions d'atténuation, l'élaboration des plans GRCA et le suivi des performances.

Le niveau de garantie qu'une organisation obtient de fournisseurs externes dépend du degré de contrôle sur leurs contrôles de sécurité et de confidentialité, établi grâce à des contrats ou des accords de niveau de service. Certaines organisations exercent un contrôle significatif, tandis que d'autres—utilisant des produits standards ou des services de commodité—ont une influence limitée. En fin de compte, les organisations sont responsables de la gestion des risques de leurs fournisseurs externes et doivent s'assurer qu'une chaîne de confiance appropriée est établie