.jpg?fit=%2C&ssl=1)
Mesures internes et externes de la sécurité de la chaîne d’approvisionnement
NIST SP 800-161 Révision 1 propose trois niveaux de bonnes pratiques. Les pratiques fondamentales essentielles incluent la création d’un bureau de gestion de programme pour C-SCRM qui est d’une stature égale à celle des cadres de la suite C. Il doit également superviser l’élaboration de stratégies et de politiques qui se répercuteront sur l’ensemble de l’organisation, dit Boyens.
“Beaucoup de gens pensent que C-SCRM est extérieur à l’organisation, aux relations avec les fournisseurs, mais il s’agit en grande partie de processus internes”, dit-il.
Une autre pratique exemplaire fondamentale consiste à développer un programme de gestion des incidents pour identifier, répondre et atténuer les incidents de sécurité, y compris la capacité d’identifier les causes profondes et si les incidents proviennent de la chaîne d’approvisionnement.
Ensuite, les agences peuvent adopter un deuxième niveau de pratiques « durables », qui incluent l’intégration des exigences de gestion des risques de la chaîne d’approvisionnement dans les contrats avec les fournisseurs, explique Boyens. Celles-ci peuvent inclure des tests pour s’assurer que les produits sont sécurisés, obliger les fournisseurs à adopter des pratiques de sécurité spécifiques ou exiger que leurs fournisseurs respectent certaines exigences.
“Ce qui sépare C-SCRM de la sécurité de l’information traditionnelle, c’est la visibilité, la compréhension et le contrôle”, déclare Boyens. « Vous avez le contrôle au sein de votre organisation, mais vous avez très peu de contrôle en dehors de l’organisation. La seule façon d’obtenir ce contrôle avec la chaîne d’approvisionnement est par le biais du processus de passation de marchés. »
Enfin, les agences peuvent mettre en œuvre un troisième ensemble de pratiques “améliorantes”, y compris l’utilisation de l’automatisation et des métriques pour mieux gérer les processus C-SCRM.
APPRENDRE ENCORE PLUS: Réduisez les risques de cybersécurité de la chaîne d’approvisionnement grâce aux normes GSA mises à jour.
Une approche à trois niveaux pour protéger votre chaîne d’approvisionnement
En novembre, la CISA, la NSA et l’ODNI ont publié des directives pour aider les clients à protéger la chaîne d’approvisionnement des logiciels. Cela a suivi les directives précédemment publiées pour les développeurs de logiciels et les fournisseurs.
“Les trois communautés doivent travailler ensemble pour protéger notre chaîne d’approvisionnement en logiciels”, déclare Lee.
Les directives ont été élaborées par le Cadre de sécurité durableun groupe de travail public-privé dirigé par la NSA et la CISA.
Pour atténuer les risques, les meilleures pratiques consistent notamment à exiger des fournisseurs de logiciels qu’ils fournissent un nomenclature du logiciel, un inventaire de tous les composants logiciels qui composent une application, explique Lee. Les agences doivent vérifier le contenu du SBOM.
