Cyber-risques liés aux chaines de sous-traitance et d’approvisionnement
En cybersécurité, les risques liés aux chaines de sous-traitance et d’approvisionnement ou C-SCRM (Cyber Supply Chain Risk Management) peuvent être difficiles à traiter. Le NIST publie des bonnes pratiques dans son référentiel NISTIR 8276 – « Key Practices in Cyber Supply Chain Risk Management ». Ces bonnes pratiques font partie des notions à connaitre dans le cadre des certifications CISSP et CCSP. Elles participent à renforcer la confiance clients-fournisseurs, concept présent depuis longtemps dans l’approche ISAE 3402. L'EBA publie des lignes directrices de gestion des risques liés à la sous-traitance pour le secteur bancaire. Des mesures de sécurité liées à la sous-traitance sont par exemple disponibles dans la catégorie 15 du référentiel CIS. Le département de la défense américain met en oeuvre CMMC pour protéger les informations non classifiées mais sensibles manipulées par ses sous-traitants.