Afin de réduire les cyberrisques sur la chaîne des fournisseurs, les organisations doivent connaître et évaluer les risques auxquels elles sont exposées. Elles doivent aussi fixer les conditions et prescriptions régissant le travail des prestataires auxquels elles font appel – fournisseurs, sous-traitants, fournisseurs d’accès ou de services – et bien sûr contrôler leur application. Pour ce faire, les entreprises, autorités et autres organisations devraient recourir à une approche stratégique des risques inhérents à la chaîne logistique, tant du côté des technologies d’information et de communication (TIC) que des technologies opérationnelles (TO). Il s’agit là de l’aspect cybersécurité en gestion des risques de la chaîne logistique (cybersecurity supply chain risk management).
La meilleure option est de fonder sa stratégie sur une observation permanente des dépendances dans la chaîne logistique TIC/TO.
Aux États-Unis, l’institut national des standards et de la technologie (NIST) a publié des informations et des conseils en la matière.
Projet pilote en collaboration avec Planzer Transport AG
Pour que les entreprises, autorités et organisations suisses puissent répondre de manière pragmatique aux exigences de cybersécurité quant à la chaîne logistique, l’Office fédéral de la cybersécurité (OFCS) a lancé un projet pilote en collaboration avec l’entreprise Planzer Transport visant la création d’un cycle relativement simple assorti d’aides concrètes. Les échos concernant ce projet sont recueillis en tout temps grâce au formulaire de feedback.
Mesures de protection contre les cyberattaques touchant la chaîne logistique
1. Connaissance la chaîne logistique et des cyberrisques
Souvent, bon nombre d’entreprises sont impliquées dans une même chaîne logistique. Gérer les risques inhérents à la relation entre fournisseur et sous-traitant, ou imputables à des influences techniques ou autres, requiert un haut degré de transparence. Une organisation qui connaît bien sa propre chaîne logistique (tant TIC que TO) comprendra mieux les cyberrisques – pour elle-même et pour sa clientèle – que peut représenter la relation avec des prestataires et fournisseurs.
2. Sélectionner et hiérarchiser des prestataires
Le fonctionnement sûr d’une organisation passe par une sélection correcte des fournisseurs, sous-traitants et fournisseurs d’accès. Ceux-ci doivent être hiérarchisés en fonction du risque identifié (analyse d’impact) pour chaque prestataire. Le projet pilote distingue trois types de prestataires.
- Partenaires ayant un accès privilégié aux systèmes internes de l’organisation et pouvant donc influencer de manière négative l’environnement TIC et TO de l’organisation (exemple : prestataire contribuant au fonctionnement d’un système dans le réseau de l’organisation)
- Partenaires mettant un logiciel ou du matériel informatique à disposition de l’organisation et pouvant causer des dommages si le système est compromis (exemple : Microsoft Office, ou autres applications autogérées)
- Partenaires fournissant à l’organisation des prestations importantes dont l’interruption aurait des répercussions sur la confidentialité, la disponibilité et l’intégrité des données (exemple : prestataires fournissant des logiciels à la demande, des services logistiques, ou des solutions d’externalisation telles que l’assistance technique ou la sous-traitance)
Lorsqu’elle hiérarchise ses fournisseurs, l’organisation doit tenir compte du cyberrisque qu’ils représentent, de la catégorie d’interdépendance, et des informations partagées. Afin de se poser les bonnes questions et de prendre des mesures concrètes allant vers une meilleure résistance aux cyberrisques, elle peut s’appuyer sur le catalogue de questions établi par l’OFCS en collaboration avec l’entreprise Planzer Transport.
3. Relevé des prestations
Les responsables TIC et TO procèdent à un relevé au sein de l’organisation décrivant les prestations obtenues et les processus qui les concernent, puis à une évaluation. Au besoin, les mesures de protection sont renforcées et adaptées au niveau technologique actuel.
4. Entretien avec le prestataire sur l’audit à venir
L’organisation adapte le catalogue de questions à chaque prestataire. Les questions servent à préparer le premier entretien. Le prestataire est invité à se pencher sur les questions de cybersécurité au sein de la chaîne logistique. C’est l’occasion de parcourir le catalogue ensemble, et de proposer une aide.
5. Audit au prestataire
L’organisation peut réduire les cyberrisques tout au long de la chaîne logistique en gardant un contact étroit avec ses fournisseurs et en introduisant au besoin des structures de contrôle. Les expériences faites par l’entreprise Planzer Transport ont montré que pour améliorer les conditions au sein de la chaîne logistique, il faut impérativement que les prestataires reconnaissent la nécessité et les avantages de ces changements. La gestion de la chaîne logistique doit donc se concentrer sur le développement des compétences des prestataires. Dans la pratique on distingue deux approches, l’auto-évaluation et le contrôle sur place.
Les renseignements qu’une organisation obtient sur elle-même sont une bonne base pour développer d’autres instruments de contrôle tels qu’un audit ou une visite sur place. L’audit se fonde sur l’hypothèse que le prestataire ne souhaite pas forcément répondre à toutes les exigences de sa clientèle, et que donc un contrôle s’impose. Les expériences faites par l’entreprise Planzer Transport montrent que le fournisseur souhaite répondre à ces exigences mais ne le peut pas toujours, ou a besoin d’une réelle incitation. Afin de poser les bonnes questions, l’organisation peut s’appuyer sur le catalogue de questions établi par l’OFCS en collaboration avec l’entreprise Planzer Transport.
6. Évaluation de l’audit et décision sur les mesures
L’organisation analyse ensuite l’auto-évaluation du prestataire. Si elle constate des écarts par rapport aux exigences, elle exige du fournisseur qu’il améliore ses prestations. L’objectif visé, en plus de l’amélioration des prestations, est une meilleure résistance aux cyberrisques.
7. Adaptation du contrat
Une fois l’audit réussi, la prochaine et dernière étape est d’établir ou de modifier le contrat. Celui-ci matérialise un rapport juridique entre organisation et prestataire dans le but de garantir le respect des prescriptions relatives à la sécurité de l’information et la protection des données. Dans le contrat de prestation, l’organisation règle notamment les questions de responsabilité, les exigences de qualité et les modalités de livraison.
Liens
- Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (nist.gov)
- NISTIR 8276 Key Practices in C-SCRM | CSRC
- Directive UE: L_2022333DE.01008001.xml (europa.eu)
- ISO - ISO 9001 and related standards — Quality management
- CCMv4.0 Auditing Guidelines | CSA (cloudsecurityalliance.org)
Dernière modification 01.01.2024