businessman data risk metering management security

Comment les services publics régionaux de Gainesville verrouillent le risque des fournisseurs

Lucas Morel

Le programme VSRA primé de l’agence de Floride protège la communauté en évaluant officiellement les nouveaux fournisseurs de vulnérabilités de sécurité.

Les services publics régionaux de Gainesville (GRU) ne sont pas seulement un fournisseur de services publics – c’est l’épine dorsale des communications pour la communauté. En plus de produire de l’électricité et de l’eau, GRU exploite des réseaux à fibre optique et utilise des technologies de réseaux intelligents et de compensations pour garder les maisons, les entreprises et les installations publiques dans le nord de la ville de Floride connectée et en cours d’exécution.

Dans les coulisses, ces systèmes reposent sur un réseau complexe de fournisseurs tiers. Des fournisseurs de services cloud aux fournisseurs d’équipements, ces partenaires jouent un rôle vital dans les opérations de GRU.

Mais ils présentent également un risque potentiel de cybersécurité.

Pour résoudre ce risque de fournisseur, les équipes de sécurité informatique et de conformité des services publics ont lancé le programme d’évaluation des risques de sécurité (VSRA) en août 2023. L’objectif principal du programme est de s’assurer que les fournisseurs ayant accès à des systèmes, des données ou des réseaux sensibles répondent aux normes de sécurité rigoureuses dans le cadre du processus de révision.

«Nous avons conçu VSRA pour nous assurer que les relations avec les fournisseurs n’introduisent pas de vulnérabilités dans notre environnement», explique Walter Banks, CIO de GRU. «Le programme démarre donc tôt, avant qu’un fournisseur ne soit intégré, un contrat est renouvelé ou que la portée des services d’un fournisseur change.»

Qu’y a-t-il dans le programme VSRA

VSRA comprend les étapes suivantes:

  • Apport et triage: L’unité commerciale demandant soumet un formulaire d’admission détaillant les responsabilités du fournisseur, le service informatique impliqué, les types de données nécessaires et tout accès du système requis. L’équipe de sécurité informatique procède ensuite à un triage de risque initial.
  • Évaluation détaillée: Si le vendeur présente un risque modéré ou élevé, il doit remplir un questionnaire de sécurité et fournir des documents tels que les rapports SOC 2, les résultats des tests de pénétration et les politiques de sécurité.
  • Revue technique: L’équipe de sécurité évalue comment le service du fournisseur s’intègre aux systèmes de GRU, couvrant des catégories telles que la transmission et le stockage de données, les méthodes d’accès et les contrôles de sécurité.
  • Reportage des risques de fournisseur: Suite à l’examen, l’équipe de sécurité rédige un rapport identifiant les risques et recommandant des atténuations. Tous les risques moyens ou élevés nécessitent une reconnaissance officielle par la direction du service demandeur.
  • Tenue de dossiers centralisés: Toutes les évaluations et décisions sont stockées dans une base de données centralisée sécurisée pour la responsabilité et les audits.

Résistance initiale des vendeurs et des dirigeants internes

Le premier obstacle à la mise en œuvre du programme VSRA a été la résistance interne du leadership, dit Banks. Certains dirigeants de GRU craignaient que le programme ajoute des formalités administratives à un processus d’approvisionnement déjà complexe et longue.

Pour surmonter le scepticisme, l’équipe informatique de Gru a partagé de vrais exemples avec le leadership des évaluations des vendeurs passés, les succès et les incidents où une vérification inadéquate a conduit à des vulnérabilités de sécurité. L’équipe informatique a expliqué les délais de redressement et comment les recommandations fondées sur le risque fonctionneraient dans la pratique.

«Nous avons progressivement acquis un soutien à la direction et les avons équipés des informations dont ils avaient besoin pour communiquer les avantages du programme au reste de l’organisation», explique Banks.

La conformité des vendeurs a été un autre défi, en particulier avec des partenaires de longue date qui n’avaient jamais été invités à une documentation de sécurité approfondie. GRU a abordé cela en atteignant directement les vendeurs pour expliquer comment se conformer aux nouvelles normes de GRU. De plus, GRU a créé un système de notation des fournisseurs qui surveille en permanence la posture de sécurité des fournisseurs pour les risques potentiels.

«Une fois que nous avons abordé la résistance culturelle, la conformité des fournisseurs et la documentation, toutes les parties impliquées ont commencé à reconnaître la valeur du programme», explique Banks.

L’impact: diminuer le risque des fournisseurs, augmenter l’efficacité

Depuis le lancement de VSRA, GRU a officiellement évalué 144 fournisseurs, produisant 32 rapports d’exception de risque. Dans les deux tiers de ces cas, Gru a évité le risque entièrement en choisissant d’autres fournisseurs.

Le programme a également révélé plus de 70 vulnérabilités moyennes à haut risque qui auraient pu conduire à des violations de données s’ils étaient passés non détectés.

La conformité s’est également améliorée. Plus de fournisseurs fournissent désormais des rapports SOC 2, des certifications et des politiques de sécurité documentées, aidant GRU à répondre aux exigences de protection des données telles que HIPAA et à réduire la probabilité de pénalités de non-conformité.

Une autre victoire pour GRU est que son processus d’évaluation des risques des fournisseurs est tout simplement plus efficace maintenant, explique les banques.

«L’automatisation des parties des évaluations et l’ajout d’une base de données sur les risques des fournisseurs ont conduit à des réponses plus rapides aux menaces et à réduire les travaux manuels de 50%, libérant des membres de l’équipe pour se concentrer sur des tâches plus critiques.»

Conseils pour les leaders de la sécurité: pas de raccourcis, pas de surprise

CIO Banks a appris quelques leçons sur la gestion des risques tiers et offre des conseils aux organisations qui envisagent un programme VSRA.

  • Cherchez des conseils externes: Les banques suggèrent que les DSI et les CISO parlent aux pairs et aux organisations de l’industrie de la gestion des risques des fournisseurs avant de concevoir un programme. Les informations de ces groupes peuvent aider à éviter les «correctifs faciles» qui ignorent la complexité des menaces de sécurité.
  • Faire une partie de la sécurité de l’analyse de rentabilisation et être transparent: Pesez les risques et les récompenses des programmes de sécurité et assurez-vous qu’il existe une analyse de rentabilisation claire pour les évaluations des risques des fournisseurs. Communiquez les avantages commerciaux clairement et fréquemment au leadership et à d’autres départements.
  • Faire des évaluations reproductibles et non négociables: Appliquez la même évaluation des risques à chaque fournisseur. Les processus reproductibles garantissent que les fournisseurs, l’équipement et les services sont évalués de manière cohérente. Faire des exceptions pour certains fournisseurs pourrait introduire des risques.
  • Surveillez les drapeaux rouges: Les vendeurs qui ne veulent pas participer aux évaluations des risques pourraient signaler des problèmes plus profonds. Au début de la VSRA, un vendeur a contacté directement une unité commerciale GRU demandant une exemption du processus VSRA. Des semaines plus tard, ce vendeur a subi une violation de données malveillante. Bien que le processus VSRA n’aurait pas empêché la violation, selon les banques, il souligne l’importance d’évaluer les risques avant de s’engager.

Services publics et communautés plus sûrs, sans exception

En faisant la cuisson des risques dans l’approvisionnement des fournisseurs et en gardant constamment un œil sur les vulnérabilités de sécurité, GRU a réduit son exposition, amélioré la conformité et construit une culture où chacun prend la sécurité au sérieux.

Au fur et à mesure que les cybermenaces évoluent, l’expérience de Gru montre que la protection des infrastructures critiques commence par la connaissance et la confiance, vos fournisseurs.

Pour les banques, le message ne pourrait pas être plus clair: «Les vendeurs qui souhaitent continuer à faire affaire avec votre organisation doivent respecter vos normes. Ne faites aucune exception et respectez vos principes.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

patch
L’utilisation des raccourcis Windows comme vecteur de malware pourrait être interrompue
Cables submarinos
Cybersécurité des câbles sous-marins : protéger les infrastructures critiques
Wie Unternehmen sich gegen neue KI-Gefahren wappnen
Wie Unternehmen sich gegen neue KI-Gefahren wappnen