Le NIST met à jour les directives de cybersécurité pour la gestion des risques de la chaîne d’approvisionnement

La chaîne d’approvisionnement mondiale expose les entreprises et les consommateurs à un risque de cybersécurité en raison des nombreuses sources de composants et de logiciels qui composent souvent un produit fini : un appareil peut avoir été conçu dans un pays et construit dans un autre à l’aide de plusieurs composants fabriqués dans différentes parties du monde. .

Crédit:

B. Hayes/NIST

La chaîne d’approvisionnement est un point vulnérable du commerce mondial : elle permet aux développeurs et aux fournisseurs de technologies de créer et de fournir des produits innovants, mais peut laisser les entreprises, leurs produits finis et, en fin de compte, leurs consommateurs exposés aux cyberattaques. Une nouvelle mise à jour des directives fondamentales de gestion des risques de la chaîne d’approvisionnement en cybersécurité (C-SCRM) du National Institute of Standards and Technology (NIST) vise à aider les organisations à se protéger lorsqu’elles acquièrent et utilisent des produits et services technologiques.

La publication révisée, officiellement intitulée Pratiques de gestion des risques de la chaîne d’approvisionnement en cybersécurité pour les systèmes et les organisations (Publication spéciale NIST 800-161 Révision 1), fournit des conseils sur l’identification, l’évaluation et la réponse aux risques de cybersécurité tout au long de la chaîne d’approvisionnement à tous les niveaux d’une organisation. Il fait partie de la réponse du NIST à Décret exécutif 14028: Améliorer la Cybersécurité de la Nation, Plus précisément Articles 4(c) et (d)qui concernent le renforcement de la sécurité de la chaîne d’approvisionnement des logiciels.

Publié aujourd’hui après un processus de développement pluriannuel qui comprenait deux versions provisoires, la publication propose désormais des pratiques clés que les organisations doivent adopter à mesure qu’elles développent leur capacité à gérer les risques de cybersécurité au sein et à travers leurs chaînes d’approvisionnement. Il encourage les organisations à considérer les vulnérabilités non seulement d’un produit fini qu’elles envisagent d’utiliser, mais aussi de ses composants – qui peuvent avoir été développés ailleurs – et du chemin parcouru par ces composants pour atteindre leur destination.

“La gestion de la cybersécurité de la chaîne d’approvisionnement est un besoin qui est là pour rester”, a déclaré Jon Boyens du NIST, l’un des auteurs de la publication. “Si votre agence ou votre organisation n’a pas commencé, il s’agit d’un outil complet qui peut vous faire passer de l’exploration à la marche à la course, et il peut vous aider à le faire immédiatement.”

Les produits et services modernes dépendent de leurs chaînes d’approvisionnement, qui relient un réseau mondial de fabricants, de développeurs de logiciels et d’autres fournisseurs de services. Bien qu’elles favorisent l’économie mondiale, les chaînes d’approvisionnement mettent également les entreprises et les consommateurs en danger en raison des nombreuses sources de composants et de logiciels qui composent souvent un produit fini : un appareil peut avoir été conçu dans un pays et fabriqué dans un autre à l’aide de plusieurs composants provenant de différents parties du monde qui ont elles-mêmes été assemblées à partir de pièces provenant de fabricants disparates. Non seulement le produit résultant peut contenir des logiciels malveillants ou être vulnérable aux cyberattaques, mais la vulnérabilité de la chaîne d’approvisionnement elle-même peut affecter les résultats d’une entreprise.

“Un fabricant peut subir une interruption de l’approvisionnement en composants de fabrication critiques en raison d’une attaque de ransomware chez l’un de ses fournisseurs, ou une chaîne de vente au détail peut subir une violation de données parce que l’entreprise qui entretient ses systèmes de climatisation a accès au portail de partage de données du magasin, dit Boyens.

Le public principal de la publication révisée est constitué d’acquéreurs et d’utilisateurs finaux de produits, de logiciels et de services. Les conseils aident les organisations à intégrer les considérations et les exigences en matière de risques de la chaîne d’approvisionnement en matière de cybersécurité dans leurs processus d’acquisition et soulignent l’importance de la surveillance des risques. Étant donné que les risques de cybersécurité peuvent survenir à tout moment du cycle de vie ou à tout maillon de la chaîne d’approvisionnement, les directives tiennent désormais compte des vulnérabilités potentielles telles que les sources de code dans un produit, par exemple, ou les détaillants qui le proposent.

“Si votre agence ou organisation n’a pas démarré [C-SCRM], il s’agit d’un outil complet qui peut vous faire passer du crawl à la marche et à la course, et il peut vous aider à le faire immédiatement. —Jon Boyens du NIST

“Cela a à voir avec la confiance et la confiance”, a déclaré Angela Smith du NIST, spécialiste de la sécurité de l’information et autre auteur de la publication. « Les organisations doivent avoir une plus grande assurance que ce qu’elles achètent et utilisent est digne de confiance. Ces nouvelles directives peuvent vous aider à comprendre les risques à rechercher et les mesures à envisager pour y répondre. »

Avant de fournir des conseils spécifiques – appelés contrôles de cybersécurité, qui sont répertoriés à l’annexe A – la publication offre une aide aux différents groupes de son public cible, qui va des spécialistes de la cybersécurité et des gestionnaires de risques aux ingénieurs système et aux responsables des achats. Chaque groupe se voit proposer un « profil d’utilisateur » dans la section 1.4, qui indique quelles parties de la publication sont les plus pertinentes pour le groupe.

Les sections 1.6 et 1.7 de la publication précisent comment elle intègre les conseils promus dans d’autres publications du NIST et adapte ces conseils au C-SCRM. Ces autres publications comprennent le cadre de cybersécurité et le cadre de gestion des risques du NIST, ainsi que Contrôles de sécurité et de confidentialité pour les systèmes d’information et les organisations, ou SP 800-53 Rév. 5, son catalogue phare de sauvegardes des systèmes d’information. Les organisations qui utilisent déjà SP 800-53 Rev. 5 peuvent trouver une perspective utile dans l’annexe B, qui détaille comment SP 800-161 Rev. Les contrôles de cybersécurité de 1 y correspondent.

Les organisations souhaitant mettre en œuvre le C-SCRM conformément au décret 14028 doivent visiter le portail Web dédié du NIST, comme l’indique désormais l’annexe F. Ces informations ont été mises en ligne, en partie pour refléter l’évolution des directives sans affecter directement la version publiée du SP 800-161 Rev. 1.

En partie à cause de la complexité du sujet, les auteurs prévoient un guide de démarrage rapide pour aider les lecteurs qui ne font que commencer l’effort C-SCRM de leur organisation. Boyens a déclaré qu’il prévoyait également de proposer la publication principale sous la forme d’une page Web conviviale.

“Nous prévoyons d’augmenter le format PDF actuel du document avec une version Web cliquable”, a-t-il déclaré. “Selon le groupe d’utilisateurs auquel vous appartenez, cela vous permettra de cliquer sur un lien et de trouver les sections dont vous avez besoin.”

La publication est disponible sur le site du NIST.

Leave a Comment