Deux questions simples sont souvent posées par les directions générales à leurs Responsables Sécurité des Systèmes d’Information ou Chief Information Security Officer. Quel est le niveau des cyber risques auxquels nous sommes exposés ? Quel est le gain que nous pouvons espérer si nous dépensons les millions que vous me demandez ? Les réponses encore plus simples sont souvent élevé pour la première et peu pour la deuxième ! C’est ce constat qui a conduit deux américains à concevoir une méthode d’analyse des risques de cyber sécurité avec une approche exclusivement quantitative.

En cybersécurité, les risques liés aux chaines de sous-traitance et d’approvisionnement ou C-SCRM (Cyber Supply Chain Risk Management) peuvent être difficiles à traiter. Le NIST publie des bonnes pratiques dans son référentiel NISTIR 8276 – « Key Practices in Cyber Supply Chain Risk Management ». Ces bonnes pratiques font partie des notions à connaitre dans le cadre des certifications CISSP et CCSP. Elles participent à renforcer la confiance clients-fournisseurs, concept présent depuis longtemps dans l’approche ISAE 3402.  Des mesures de sécurité liées à la sous-traitance sont par exemple disponibles dans la catégorie 15 du référentiel CIS.

La norme ISO 27005 fournit des bonnes pratiques pour analyser et traiter les risques de cybersécurité. Ce guide est particulièrement utile pour mettre en œuvre un SMSI (Système de Management de Sécurité de l’Information) certifié ISO 27001 ou pour les hébergeurs de données de santé en France. ISO 27005 ne constitue pas une méthode comme EBIOS Risk Manager ou FAIR. Cette norme est plutôt un guide qui propose des lignes directrices à la gestion des cyber-risques, à l'instar du référentielde l'ISACA pour les risques IT. Chaque activité décrite dans la norme comprend les éléments d’entrée requis, la description des actions, des préconisations de mise en œuvre et les éléments de sortie.

Les risques de cybersécurité liés à la sous-traitance et à la gestion de la chaîne d'approvisionnement sont nombreux et difficiles à traiter. Les impacts peuvent être importants, par exemple des attaques ciblées au travers d'équipements compromis puis connectés au système d'information ou des modifications du code source d'applications.  Le nouveau programme du CISSP détaille les notions liées au SCRM (Supply Chain Risk Management) dans le premier domaine consacré à la gouvernance.  Si les méthodes classiques d'analyse de risques peuvent être utilisées (Ebios Risk Manager, FAIR...), plusieurs référentiels spécifiques du NIST (par exemple le NISTIR 8276) , de l'ISO 27036, de SAFECode ou d'OpenGroup fournissent des bonnes pratiques pour analyser et traiter les risques liées à la chaine d'approvisonnement.

Retrouvez notre vidéo de présentation du SCRM.