Sous-traitants

Le référentiel CMMC

Les risques de cybersécurité liés à la sous-traitance font l’objet à juste titre d’une attention accrue. En Europe, DORApour les institutions financières et NIS 2 pour les entités importantes et essentielles fixent un cadre légal qui prend ce risque très au sérieux. La norme ISO 27036 propose des bonnes pratiques de SCRM. Le département de la défense américain fait appel à de nombreux sous-traitants. CMMC (Cybersecurity Maturity Model Certification) est un programme fédéral pour renforcer le niveau de cybersécurité de la chaîne de sous-traitance pour protéger les informations de défense non classifiées. La chaîne de sous-traitance comprend plus de 220 000 entreprises qui contribuent à la recherche, à l'ingénierie, au développement, à l'acquisition, à la production, à la livraison, au soutien et aux opérations des systèmes, réseaux, installations, capacités et services de la défense américaine.

Les Clauses Contractuelles Types (CCT)

Les Clauses Contractuelles Types (CCT) ou Standard Contractual Clauses (SCC) sont un des mécanismes juridiques de transferts internationaux de données à caractère personnel en dehors de l’espace économique européen. Elles font partie des connaissances à maitriser pour réussir la certification CIPPE/E de l’IAPP. L’entrée en vigueur des nouvelles clauses de la Commission Européenne a été fixée à septembre 2021. Les importateurs et les exportateurs de données peuvent continuer à invoquer les anciennes CCT jusqu’au 27 décembre 2022. Les CCT intègrent la jurisprudence de la Cour de Justice de l’Union Européenne de l’affaire « Schrems II » qui a par ailleurs abouti à l’invalidation d’un autre mécanisme de transfert, le « Privacy Shield ».

Nomenclature SBOM

Software Bill of MaterialsSBOM est un inventaire normé pour les logiciels, ses composants et ses indépendances. Il est développé par la National Telecommunications and Information Administration (NTIA) du ministère du commerce américain. Ces inventaires visent à être exhaustifs - ou à indiquer explicitement les points sur lesquels ils ne peuvent l'être. Les SBOM peuvent inclure des logiciels libres ou propriétaires. Les inventaires peuvent être disponibles publiquement ou à accès restreint. Les SBOM doivent inclure des attributs pour identifier de manière unique les composants dans un format de données standard. La génération la plus efficace de SBOM est intégré au processus de développement. Pour les logiciels plus anciens, il faut recourir à des méthodes manuelles. SBOM concourt à établir une cartographie des SI la plus précise possible et à répondre aux vulnérabilités touchant des composants massivement réutilisés.