La sécurité de la chaîne d’approvisionnement continue d’être un sujet d’actualité dans le domaine de la cybersécurité en 2024. Nous ne sommes même pas à mi-parcours et plusieurs attaques majeures contre la chaîne d’approvisionnement ont fait la une des journaux. RSSI, soyez avertis !

Après tout, la porte dérobée XZ a montré comment de petites bibliothèques open source vulnérables se faufilent dans de nombreux logiciels. L’agence gouvernementale américaine responsable de la cybersécurité, CISA, a elle-même été victime des vulnérabilités d’Ivanti.

Et Microsoft, qui n’est pas le plus petit acteur après tout, continue de se faire pirater bêtement, ce qui a permis le vol de courriels du gouvernement américain.

Pour être complet, une « attaque de la chaîne d’approvisionnement » est un type de cyberattaque dans lequel les pirates obtiennent un accès indirect à des données sensibles en piratant d’abord un fournisseur et en obtenant l’accès par son intermédiaire.

Il ne suffit donc pas de mettre de l’ordre dans sa propre sécurité, il faut aussi avoir une bonne idée des mesures de sécurité de ses fournisseurs.

C’est plus facile à dire qu’à faire, mais c’est tellement important que même la nouvelle directive NIS2 (directive sur la sécurité des réseaux et de l’information) impose des conditions spécifiques aux organisations pour qu’elles commencent à mieux sécuriser leur chaîne d’approvisionnement.

L’article 21 de la directive mentionne très spécifiquement la nécessité de contrôler la « chaîne d’approvisionnement », ce qui inclut donc le contrôle de la sécurité chez les fournisseurs directs.

C’est une bonne chose que cela figure dans la loi, mais qu’est-ce que cela signifie concrètement ?

Nous vous présentons quelques-unes des mesures classiques :

Visibilité des risques : Quel fournisseur a (accès à) quel type de données ? Quels sont les fournisseurs critiques ? Déterminez correctement quels risques sont liés à quels fournisseurs et veillez à ce que ce processus soit bien documenté.
Sensibilisation au bon endroit: pour contrôler correctement la sécurité chez les fournisseurs, les connaissances en matière de sécurité doivent être disponibles au sein de l’organisation, et pas seulement dans les services informatiques ou de sécurité. Le service des achats, les chefs de projet et le service juridique sont des services évidents qui ont également affaire à des fournisseurs et où la sécurité doit faire partie intégrante du processus avec les fournisseurs.
Descontrats clairs: les accords contractuels avec les fournisseurs doivent inclure des conditions strictes en matière de sécurité de l’information. Essayez de ne pas vous enliser dans des généralités, mais imposez des mesures ou des certificats spécifiques.
Contrôler: conclure des accords est une bonne chose, mais vous devez également contrôler la conformité. Sélectionnez vos fournisseurs les plus importants et vérifiez régulièrement qu’ils respectent les accords de sécurité de l’information au moyen de questionnaires, d’audits ou de vérifications indépendantes.

Avec ces mesures, vous avez au moins déjà répondu aux exigences de la législation NIS2 sur la chaîne d’approvisionnement et votre organisation sera mieux équipée pour faire face à toutes les tendances en matière d’attaques de cybersécurité.

Vous souhaitez en savoir plus sur la chaîne d’approvisionnement ou sur le rôle du RSSI ? N’hésitez pas à consulter notre formation de responsable de la sécurité de l’information (CISO).

Restez informé grâce à notre newsletter

Restez au courant de nos dernières nouvelles, offres et formations disponibles.