En cybersécurité, les risques liés aux chaines de sous-traitance et d’approvisionnement ou C-SCRM (Cyber Supply Chain Risk Management) peuvent être difficiles à traiter. Le NIST publie des bonnes pratiques dans son référentiel NISTIR 8276 – « Key Practices in Cyber Supply Chain Risk Management ». Ces bonnes pratiques font partie des notions à connaitre dans le cadre des certifications CISSP et CCSP. Elles participent à renforcer la confiance clients-fournisseurs, concept présent depuis longtemps dans l’approche ISAE 3402. L'EBA publie des lignes directrices de gestion des risques liés à la sous-traitance pour le secteur bancaire. Des mesures de sécurité liées à la sous-traitance sont par exemple disponibles dans la catégorie 15 du référentiel CIS. Le département de la défense américain met en oeuvre CMMC pour protéger les informations non classifiées mais sensibles manipulées par ses sous-traitants.
Software Bill of Materials, SBOM est un inventaire normé pour les logiciels, ses composants et ses indépendances. Il est développé par la National Telecommunications and Information Administration (NTIA) du ministère du commerce américain. Ces inventaires visent à être exhaustifs - ou à indiquer explicitement les points sur lesquels ils ne peuvent l'être. Les SBOM peuvent inclure des logiciels libres ou propriétaires. Les inventaires peuvent être disponibles publiquement ou à accès restreint. Les SBOM doivent inclure des attributs pour identifier de manière unique les composants dans un format de données standard. La génération la plus efficace de SBOM est intégré au processus de développement. Pour les logiciels plus anciens, il faut recourir à des méthodes manuelles. SBOM concourt à établir une cartographie des SI la plus précise possible et à répondre aux vulnérabilités touchant des composants massivement réutilisés.
Les risques de cybersécurité liés à la sous-traitance et à la gestion de la chaîne d'approvisionnement sont nombreux et difficiles à traiter. Les impacts peuvent être importants, par exemple des attaques ciblées au travers d'équipements compromis puis connectés au système d'information ou des modifications du code source d'applications. Le nouveau programme du CISSP détaille les notions liées au SCRM (Supply Chain Risk Management) dans le premier domaine consacré à la gouvernance. Si les méthodes classiques d'analyse de risques peuvent être utilisées (Ebios Risk Manager, FAIR...), plusieurs référentiels spécifiques du NIST (par exemple le NISTIR 8276) , de l'ISO 27036, de SAFECode ou d'OpenGroup fournissent des bonnes pratiques pour analyser et traiter les risques liées à la chaine d'approvisonnement. Le département américain de la défense a mis en place le référentiel CMMC pour protéger les informations non classifiées mais sensibles manipulées par les sous-traitants.
Retrouvez notre vidéo de présentation du SCRM.