Les fournisseurs tiers sont un risque bien connu, mais ils ne sont souvent pas le dernier point de la chaîne d’approvisionnement et les dirigeants de la cybersécurité doivent s’assurer que les fournisseurs de quatrième parties reçoivent le même traitement.
Les fournisseurs de quatrième partie sont devenus une sérieuse à barres à mort en cybersécurité de la chaîne d’approvisionnement sérieuse. Contrairement aux tiers ayant des relations contractuelles directes, les quatrièmes parties – les fournisseurs sur lesquels vos fournisseurs comptent – opèrent souvent dans l’ombre, laissant aux organisations peu de visibilité et de contrôle limité.
«La plupart des cisos jouent toujours à la défense en ce qui concerne les risques de quatrième partie, le traitant comme une boîte noire parce qu’ils n’ont pas de contrôle direct», explique Steve Tcherchian, CISO chez Xypro. « Mais la vérité est que si vous ne pouvez pas nommer les dépendances critiques de votre fournisseur, vous pariez votre entreprise sur la confiance aveugle. »
Pour combler ces lacunes, les chefs de sécurité adoptent des stratégies en couches pour évaluer, surveiller et atténuer les risques résultant de ces relations en aval. Ce n’est qu’en incorporant la sécurité profondément dans les écosystèmes des fournisseurs – et l’autonomisation de votre Vendorsto principal faire de même – les entreprises peuvent-elles réduire le risque qu’un sous-traitant éloigné devienne le prochain lien faible.
Les approches suivantes peuvent aider les équipes de sécurité à découvrir et à gérer les risques cachés dans les relations quatrième-partis, où la visibilité et le contrôle sont souvent les plus faibles.
Commencez par la cartographie de la chaîne d’approvisionnement pour découvrir les dépendances cachées
La première étape de la gestion des risques de quatrième partie est de savoir qui sont ces vendeurs. Pourtant, de nombreuses organisations ont du tout à les identifier. «Une bonne pratique consiste à demander à vos fournisseurs directs sur lesquels ils s’appuient, en particulier pour les services critiques comme l’hébergement, le support, le stockage de données ou le développement», explique Erez Tadmor, CTO sur le terrain chez Tufin.
Tadmor dit que les organisations devraient utiliser des outils tels que l’analyse du domaine ou les analyses de risque externes pour découvrir des relations cachées. « En termes simples, vous ne pouvez pas surveiller ce que vous ne savez pas.
Tcherchian recommande que les entreprises utilisent des factures de matériaux de logiciels, de la télémétrie DNS et de l’intelligence des menaces pour identifier les partenaires sur lesquels leurs fournisseurs dépendent et recherchent des risques plus loin dans la chaîne d’approvisionnement. «Le problème le plus difficile n’est pas technique, c’est culturel», dit-il. «Vous devez obtenir vos (principaux fournisseurs) pour traiter la sécurité de la chaîne d’approvisionnement comme leur problème également.»
Lenovo offre un exemple de la façon dont cette approche est mise en pratique. Grâce à son programme de fournisseurs de confiance, la Société exige que ses fournisseurs de niveau 1 surveillent et sécurisent leurs propres fournisseurs critiques – les quatrième partenaires de Lenovo. «Nous obligeons les contrôles de sécurité en cascade et effectuons des évaluations de risques de routine à travers ces relations», explique Doug Fisher, en chef de la sécurité et de l’officier de l’IA de Lenovo.
Définir des limites de données claires
La réalité est que toute organisation consommant des offres et services de logiciels tiers en tant que service a un contrôle extrêmement limité sur les partenaires avec lesquels leurs tiers travaillent, explique Curtis Simpson, CISO à Armis.
«C’est pourquoi il est extrêmement important de comprendre les sous-processeurs impliqués dans la livraison d’offres et de services SaaS contractés, les résultats dont ces sous-processeurs sont responsables et les données nécessaires pour fournir ces résultats», dit-il.
«La première et la plus importante étape pour commencer à appliquer les normes de sécurité pour les quatrièmes parties est de s’assurer que les tiers ont accès uniquement aux données nécessaires pour livrer une offre et que tout sous-ensemble de ces données partagé avec leurs partenaires est tout aussi déterminé et approprié», ajoute-t-il. « Contractuellement, il est important de s’assurer qu’un niveau de responsabilité approprié et raisonnable est attribué à des tiers au cas où leurs partenaires seront violés et que ces données sont perdues. »
Étendre la surveillance de la cybersécurité à l’aide de cadres de risque standard
Une fois les relations cartographiées, le prochain défi consiste à étendre la gouvernance de la sécurité au-delà des fournisseurs immédiats. De nombreuses organisations adoptent des normes de l’industrie, telles que NIST SP 800-161, ISO / IEC 27036 et SOC 2 pour appliquer des attentes cohérentes à tous les niveaux de la chaîne d’approvisionnement.
«NIST SP 800-161 et le cadre de cybersécurité NIST mis à jour 2.0 traitent la gestion des risques de la chaîne d’approvisionnement comme un impératif stratégique, offrant des conseils structurés pour lutter contre les risques à tous les niveaux», a déclaré Christos Tulumba, CISO à Cohesity.
Selon les outils d’évaluation partagés, ISO / IEC 27036 se concentre spécifique
«En termes d’approches pratiques, les principales organisations exigent désormais que les fournisseurs divulguent leurs sous-processeurs critiques et leurs quatrièmes parties, mettent en œuvre des modèles de surveillance à niveaux de risque avec surveillance continue et obligeant l’adhésion aux cadres de contrôle établis comme les contrôles CIS ou ISO 27001 pour tous les fournisseurs matériels et leurs sous-traitants», note-t-il.
Utiliser des contrats pour tenir les fournisseurs et leurs fournisseurs responsables
Étant donné que les entreprises ont rarement des contrats directs avec les quatrièmes parties, elles doivent compter sur leurs fournisseurs pour faire respecter les protections juridiques avec ces quatrièmes parties.
Le mécanisme le plus courant est la clause d’écoulement, une exigence contractuelle pour les tiers d’imposer des normes de cybersécurité équivalentes à leurs propres fournisseurs. Ces clauses traitent souvent de la protection des données, de la notification de violation, des pratiques de développement sécurisées et des droits d’audit.
«Pour faire respecter les normes de sécurité en aval, les entreprises s’accomplissent généralement d’obligations de débit – des clauses de contrat qui obligent les fournisseurs tiers à imposer les mêmes exigences de sécurité ou équivalentes à tous leurs sous-traitants», explique Paul Malie, partenaire de Tucker Ellis.
Il ajoute que les contrats solides devraient également inclure les droits d’audit pour inspecter les pratiques du quatrième parti, les clauses d’approbation des sous-traitants et les dispositions d’indemnisation qui détiennent les vendeurs responsables des violations causées par leurs fournisseurs.
Les clauses d’écoulement, les droits d’audit et les clauses de notification de changement donnent aux entreprises les leviers dont ils ont besoin pour appliquer les exigences de sécurité plus approfondies dans l’écosystème du fournisseur, explique Tulumba.
Équilibrez le besoin de visibilité avec la confidentialité des fournisseurs
Trouver le bon équilibre entre la transparence et la discrétion devient encore plus complexe lorsqu’il s’agit de relations quatrième-partis. Bien que la visibilité sur ces fournisseurs indirects soit essentielle pour gérer les risques, exiger que trop de divulgation peut exprimer la confiance et compromettre les informations propriétaires.
Alors que les entreprises deviennent plus interconnectées, les entreprises comptent fortement sur des fournisseurs tiers qui ont souvent leurs propres sous-traitants, créant des couches complexes de dépendances en aval.
«Il devient un délicat équilibre pour décider de la quantité d’informations à partager tout en protégeant les informations propriétaires et la propriété intellectuelle», explique Mandy Andress, CISO chez Elastic. «La clé réside dans la compréhension du modèle commercial, les résultats potentiels, la planification de manière proactive et la mise en œuvre de stratégies d’atténuation des risques pour se protéger contre les scénarios dommageables.»
La réalisation d’une transparence complète à travers une vaste chaîne d’approvisionnement en couches est souvent irréaliste. Au lieu de cela, les organisations devraient se concentrer sur leurs dépendances les plus critiques et appliquer la surveillance lorsque l’exposition est la plus élevée.
«De nombreuses organisations le reconnaissent et adoptent une approche d’échantillonnage basée sur les risques, hiérarchisant la surveillance basée sur la criticité et l’exposition plutôt que de tenter un contrôle total», note Tulumba. «En fin de compte, la gouvernance efficace dépend davantage de la promotion de la responsabilité et de la confiance plutôt que de l’application de la visibilité granulaire à tous les niveaux.»
Reiko Feaver, partenaire de CM Law, ajoute que le partage de toute information confidentielle – que ce soit directement ou adopté aux entrepreneurs, aux agents ou aux représentants – devrait être régi par de fortes obligations de confidentialité. Elle souligne que le fournisseur direct est chargé de protéger ses propres informations propriétaires et celle de ses fournisseurs.
«Je ne vois pas comment il est raisonnable pour le vendeur direct de retenir ces relations à ses clients», explique Feaver. «Il appartiendrait au fournisseur direct de protéger ces informations vis-à-vis de son client. Il est courant de restreindre les divulgations de certains types d’informations propriétaires de la divulgation ou de l’utilisation par les concurrents. Bien sûr, les informations les plus confidentielles sont recueillies, plus le risque de violation des obligations de confidentialité et de la responsabilité associée.»
Aller au-delà des audits ponctuels
De nombreuses entreprises dépendent toujours de questionnaires annuels ou d’attestations de conformité pour évaluer la sécurité des fournisseurs – une approche dangereusement dépassée. La surveillance continue est absolument cruciale lorsqu’il s’agit de réduire le risque.
«La majorité (des entreprises) continue de se concentrer principalement sur les fournisseurs tiers directs, s’appuyant souvent sur des assurements d’auto-assurance ou des évaluations ponctuelles qui ne parviennent pas à saisir les risques en aval», explique Tulumba.
En conséquence, les entreprises ne découvrent généralement les quatrièmes parties qu’après que quelque chose ne va pas, comme une violation de sécurité, une panne de service ou pendant les audits réglementaires, dit-il. Et découvrir les problèmes uniquement après leur arrivée montre pourquoi il est important d’avoir une surveillance constante et active en place.
Ajoutant à ce point de vue, Jim Routh, directeur de la confiance chez Saviynt, fait valoir que l’avenir de la gestion des risques réside dans le score en temps réel et basé sur les données, et non des enquêtes dépassées. «Les questionnaires sont inadéquats», dit-il. «Nous devons appliquer la science des données pour suivre quotidiennement les risques et éduquer les régulateurs et les auditeurs sur les raisons pour lesquelles cela est nécessaire.»
Une vulnérabilité découverte aujourd’hui pourrait être exploitée demain. Pour cette raison, s’appuyer uniquement sur des évaluations ponctuelles ou des attestations tierces n’est pas suffisante pour gérer le risque de quatrième partie, Lorri Janssen-Anessi, directeur des cyber-évaluations externes chez Bluevoyant, a déclaré. Lorsque les entreprises manquent de contrats directs avec les quatrièmes parties et ne peuvent donc pas appliquer des audits ou des contrôles spécifiques, l’intelligence externe devient essentielle.
Cependant, la mise en pratique de la surveillance continue devient encore plus difficile dans les chaînes d’approvisionnement mondiales complexes.
«Le plus grand défi consiste à obtenir un aperçu précis et précis de la posture de sécurité des fournisseurs multicouches distribués à l’échelle mondiale, en particulier ceux qui ne sont pas sous contrat direct», explique Fisher. «Lenovo aborde cela avec une approche en couches: nous combinons l’analyse des risques géopolitiques, la notation automatisée des fournisseurs et les flux d’intelligence des menaces de l’industrie avec une activité d’audit pratique.»
Faire de la quatrième partie risque une responsabilité partagée
Enfin, gérer le risque de quatrième partie n’est pas seulement un problème de sécurité – c’est organisationnel.
Le changement le plus efficace dans la gestion des risques de quatrième partie a été l’alignement interne, ce qui signifie travailler en étroite collaboration avec l’approvisionnement, le juridique et l’ingénierie pour traiter le risque de quatrième partie comme une responsabilité partagée, explique Swapnil Deshmukh, responsable de la cybersécurité, Certus Cybersecurity Solutions.
Deshmukh souligne la nécessité d’une coordination interfonctionnelle pour intégrer la sécurité dans chaque couche de la chaîne d’approvisionnement. Cependant, ce travail de base interne doit être apparié par une diligence externe, explique Andress.
«Tout revient à construire une forte chaîne de confiance», explique Andress. «Cela implique de sélectionner soigneusement des tiers réputés et de s’assurer qu’ils choisissent également des fournisseurs de confiance avec de fortes protections.»
