Gestion de la chaîne d’approvisionnement : pourquoi vous devez combler vos failles de sécurité
Le National Cyber Security Center (NCSC) a mis en avant la gestion de la chaîne d’approvisionnement comme l’un de ses 10 étapes vers la cybersécurité après que de récentes violations très médiatisées aient soulevé la question. En conséquence, il y a plus de conseils et de soutien disponibles, et une plus grande importance est accordée à la sécurité de la chaîne d’approvisionnement. Notre responsable du développement commercial de la gouvernance, des risques et de la conformité, Louis Coates, explique pourquoi la gestion de la sécurité de la chaîne d’approvisionnement est un élément crucial de la stratégie de cybersécurité de toute organisation.
Ces dernières années, plusieurs organisations de premier plan ont été piratées en raison de logiciels compromis dans leurs chaînes d’approvisionnement, notamment le service 111 du NHS, Microsoft, le Trésor américain, la sécurité intérieure et d’autres agences fédérales américaines. Cela montre qu’indépendamment de la taille de l’industrie ou de l’organisation et des contrôles de cybersécurité que vous avez déployés en interne, si vous ne gérez pas les failles de sécurité au sein de votre chaîne d’approvisionnement, vous n’êtes pas entièrement protégé.
L’enquête du gouvernement britannique sur les atteintes à la cybersécurité a révélé que seuls 13 % des entreprises examinent les risques de sécurité posés par leurs fournisseurs immédiats, et seulement 7 % examinent la chaîne d’approvisionnement au sens large. Ces chiffres sont préoccupants car les attaques de la chaîne d’approvisionnement ont tendance à éviter les contrôles de périmètre et autres contrôles de sécurité qui empêchent les attaques ciblées sur Internet en utilisant une voie directe vers une organisation via sa chaîne d’approvisionnement. Les organisations doivent inclure des contrôles qui gèrent cela pour empêcher les cybercriminels d’accéder à vos systèmes et réseaux via votre fournisseur si leurs contrôles de cybersécurité ne sont pas aussi robustes que les vôtres ou si elles n’ont pas mis en place la bonne stratégie.
Dans de nombreux cas, les organisations ne peuvent même pas être sûres qu’un sous-traitant utilisant un compte provisionné est bien celui qu’elles prétendent être. Les comptes partagés pour les sous-traitants prenant en charge les services sont courants et il n’y a souvent pas de garanties en place pour garantir que des contrôles techniques et de gestion suffisants sont établis dans l’infrastructure du fournisseur. Ce manque de visibilité sur qui et ce qui entre et sort de votre réseau entraîne des niveaux de risque élevés, ce qui donne aux acteurs de la menace une surface d’attaque puissante, rendant inutiles les solutions de sécurité coûteuses et les défenses contre les permis. Vous pouvez dépenser un budget illimité sur des pare-feu et des technologies qui défendront votre organisation, mais si vous ne passez pas en revue les contrôles de cybersécurité des fournisseurs fournissant des services sur votre réseau, vous vous exposez aux cybermenaces contre lesquelles vous pensiez être protégé. .
Comment puis-je combler les lacunes dans la sécurité de la chaîne d’approvisionnement de mon organisation ?
Il est d’une importance vitale que les organisations appliquent des contrôles de sécurité rigoureux, non seulement à leur propre environnement, mais également à l’environnement de leur chaîne d’approvisionnement afin de garantir que le même niveau de sécurité existe partout, évitant ainsi des lacunes potentiellement dangereuses dans les barrières de sécurité.
Le NCSC continue de répondre rapidement au paysage des menaces en constante évolution et a récemment publié des conseils sur la façon d’aborder la gestion de la chaîne d’approvisionnement avec les relations nouvelles et existantes, et sur la façon d’améliorer continuellement vos processus.
Conseils en gestion de la chaîne d’approvisionnement du NCSC
Informé par les 12 principes de sécurité de la chaîne d’approvisionnement, le NCSC recommande de prendre les mesures suivantes pour protéger votre organisation contre les menaces de la chaîne d’approvisionnement :
- Assurez-vous qu’il n’y a pas de comptes tiers partagés
- Établir une politique d’accès robuste où l’accès aux ressources et aux droits est accordé selon le principe du moindre privilège et uniquement aussi longtemps que nécessaire
- Examinez les privilèges et les accords d’accès actuellement en place, en supprimant les droits et les autorisations qui ne sont pas nécessaires
- Demandez une preuve de conformité aux normes de sécurité informatique auxquelles votre organisation adhère, telles que Cyber Essentials Plus ou ISO27001
- Mettre en place des mécanismes de prévention des pertes de données (DLP) pour s’assurer que l’exfiltration de données par un fournisseur est alertée et prévenue
- Examiner les accords contractuels en place pour garantir la confidentialité, l’intégrité et la disponibilité de toutes les données dont vous êtes responsable
Obtenez de l’aide pour gérer la sécurité de la chaîne d’approvisionnement dès aujourd’hui
Nos spécialistes de la gouvernance, des risques et de la conformité (GRC) sont disponibles pour aider votre organisation à identifier où se trouvent vos plus grands risques de cybersécurité et vous aider à combler les lacunes de sécurité de la chaîne d’approvisionnement qui existent.