L'un des défis pour les praticiens de la sécurité de la chaîne d'approvisionnement est de choisir parmi la multitude de documents d'orientation et de cadres de bonnes pratiques à utiliser lors de la création d'un programme de gestion des risques de la chaîne d'approvisionnement cybernétique (C-SCRM). Il n'y a pas de pierre de touche dans ce domaine; au lieu de cela, nous avons des nuances et des gradations de bonté et une pluralité d'approches.
L'Institut national des normes et de la technologie (NIST) du Département américain du commerce, SAFECode, l'Institut Est-Ouest, les Conseils de coordination des infrastructures critiques et bien d'autres ont publié des conseils sur les méthodes de gestion des risques liés à la chaîne d'approvisionnement cybernétique. Mais à ce jour, il existe peu de preuves que les pratiques C-SCRM soient efficaces pour arrêter ou réduire les cyberattaques.
Ce manque de preuves objectives d'efficacité fait qu'il est difficile pour un praticien de choisir les directives, les pratiques ou le cadre à utiliser dans ses propres opérations.
Confronté à ce problème il y a plusieurs années, au début du développement d'une fonction C-SCRM pour une grande entreprise, j'ai créé une compilation de différentes pratiques issues de diverses publications. Cet article est basé sur la compilation et fournit un bref récit expliquant pourquoi certaines pratiques sont incluses.
La compilation est principalement dérivée des pratiques décrites dans la publication spéciale 800-161 du NIST, Cyber Supply Chain Risk Management Practices for Systems and Organizations, les résultats d'une étude NIST-GSA-University of Maryland (Sandor Boyson, Technovation), SAFECode supply chain guidance , le Build Security In Maturity Model (BSIMM) et une variété d'autres articles, billets de blog et documents dans le domaine public.
Tout comme les publications dont elle est dérivée, la compilation est destinée à être utilisée comme un catalogue de pratiques adapté par l'utilisateur en fonction des circonstances particulières de la chaîne d'approvisionnement qui est gérée et de la phase du cycle de vie de l'approvisionnement où les pratiques sont étant utilisé dans.
Le point de départ consiste à identifier lesquelles des différentes pratiques du document sont les mieux adaptées à votre chaîne d'approvisionnement. Par exemple, si vous achetez du matériel, les pratiques de chaîne de traçabilité et de traçabilité sont probablement plus importantes qu'elles ne le seraient pour un achat de logiciel, et pour les logiciels, les pratiques de cycle de vie de développement sécurisé sont probablement plus importantes que les pratiques de traçabilité.
Les prochaines étapes consistent à intégrer les pratiques sélectionnées dans vos processus de gestion de la chaîne d'approvisionnement, de l'intégration à la performance en passant par la clôture.
Les pratiques décrites ici peuvent être utilisées de plusieurs façons. Ils peuvent être formulés sous forme de questionnaire, comme présenté dans cet article, à utiliser lors de l'étude de marché et de la définition des exigences pour fournir à l'utilisateur une meilleure compréhension des pratiques déjà utilisées dans la chaîne d'approvisionnement étudiée. Suite à une étude de marché, elles peuvent être formulées sous la forme d'un ensemble d'exigences contractuelles à évaluer par l'acheteur lors de la sélection de la source. Ces mêmes critères de sélection des sources peuvent fournir des indicateurs clés de performance utiles lors de l'exécution du contrat. En fin de compte, ces pratiques peuvent être utilisées de multiples façons dans diverses circonstances, le but de la compilation est de fournir des matières premières pour aider les praticiens à développer leurs propres programmes.
Ce questionnaire C-SCRM aborde les domaines de risque suivants :
- Sécuriser le cycle de vie du développement
- Analyse des compositions
- Analyse statique
- Analyse dynamique
- Entrée malformée (test fuzz)
- Analyse des logiciels malveillants connus
- Validation des mesures de sécurité
- Tests d'intrusion tiers
- Nomenclature du logiciel
- Accès à distance
- Chaîne de traçabilité
- Achats OEM
Assurance produit
Achetez des logiciels auprès de fabricants avec un SSDLC démontrable, documenté et mature. C'est l'une des choses les plus importantes à savoir sur le logiciel que vous achetez. Un SSDLC robuste est la base d'un logiciel de qualité et permet d'avoir confiance dans les mesures de sécurité prises tout au long du cycle de vie.
- Le fabricant utilise-t-il un SDLC documenté qui intègre l'assurance logicielle et dont l'efficacité et/ou la maturité sont mesurées ? Si tel est le cas, le fabricant doit :
- Identifiez le modèle SDLC qu'il utilise (le cas échéant)
- Décrire ses méthodes de développement de logiciels, ses méthodes d'ingénierie des systèmes/sécurité, ses processus de contrôle de la qualité, ses techniques de test et d'évaluation et de validation
- Décrire le processus global d'intégration de la fonctionnalité et de la sécurité du système dans toutes les phases du SDLC, de l'exigence au développement en passant par l'élimination
- Décrire les activités pour minimiser le nombre de vulnérabilités et de faiblesses, et incorporer les mécanismes de mise à jour appropriés utilisés lorsque de nouvelles vulnérabilités apparaissent
- Le fabricant effectue-t-il une analyse de tout le code compilé pour identifier tous les composants tiers et open source et toutes les vulnérabilités connues trouvées dans les vulnérabilités et expositions communes (CVE) ?
- Le fabricant fournira-t-il les résultats de l'analyse à l'acheteur ?
- Le fabricant effectue-t-il une analyse de tout le code source disponible dans le produit pour identifier les faiblesses répertoriées dans l'énumération des faiblesses communes (CWE) ?
- Le fabricant fournira-t-il les résultats de l'analyse à l'acheteur ?
- Le fabricant effectue-t-il une analyse du comportement du produit pendant son fonctionnement et détermine-t-il si un tel comportement introduit des vulnérabilités de sécurité potentielles qui pourraient avoir un impact négatif sur la confidentialité, l'intégrité et la disponibilité ?
- Le fabricant fournira-t-il les résultats de l'analyse à l'acheteur ?
- Le fabricant effectue-t-il des tests flous de protocole de communication pour déterminer sa capacité à gérer correctement les messages mal formés et invalides pour tous les protocoles de communication identifiés dans le produit du fournisseur, ainsi que des tests d'épuisement des ressources de données (tels que des tests de charge et des tests DoS) ?
- Le fabricant fournira-t-il les résultats des tests à l'acheteur ?
- Le fabricant effectue-t-il des analyses du logiciel pour déterminer s'il existe des logiciels malveillants connus dans le logiciel et une évaluation des risques ou des contrôles d'atténuation ou la valeur du risque ?
- Le fabricant fournira-t-il les résultats de l'analyse à l'acheteur ?
- Le fabricant s'assure-t-il que toutes les mesures de sécurité décrites dans la documentation de conception du produit sont correctement mises en œuvre et atténuent les risques associés à l'utilisation du composant ou de l'appareil ?
- Le fabricant effectue-t-il des tests d'intrusion effectués par un testeur d'intrusion tiers ? Si oui, les tests portent-ils sur les points suivants :
- Tous les ports et interfaces que le produit a activés et désactivés pour toutes les configurations
- Tous les services externes au produit pour toutes les configurations du produit
- Services opérationnels, de service, de test et non fonctionnels du produit
- Mesures mises en œuvre pour empêcher les attaques par déni de service sur tous les ports, interfaces et services
- Que tous les ports, interfaces et services sont documentés et qu'il n'existe aucun port, interface ou service non documenté
- Tous les ports, interfaces et services qui nécessitent une authentification répondent aux exigences du NIST SP 800-63 ou de toute autre norme applicable équivalente
- Rechercher les vulnérabilités du produit et fournir des exploits conceptuels pour attaquer la vulnérabilité
- Les faiblesses logicielles et matérielles identifiées dans le produit qui sont répertoriées comme critiques ou élevées dans la base de données nationale sur les vulnérabilités et/ou qui ont un impact négatif sur la confidentialité, la disponibilité et l'intégrité du produit du fabricant
- Le fabricant fournira-t-il les résultats des tests d'intrusion à l'acheteur ?
- Le fabricant fournira-t-il, pour toutes les livraisons de logiciels, de micrologiciels ou de tout produit contenant un composant exécutable, une liste complète et confidentielle de chaque composant exécutable tiers, commercial ou open source utilisé dans le logiciel, le micrologiciel ou produit, y compris le numéro de version du composant (SBOM) ?
Le SBOM doit fournir un inventaire imbriqué pour les logiciels, une liste des ingrédients qui composent les composants logiciels. Le SBOM doit être conforme aux directives fournies par la National Telecommunications and Information Administration du Département du commerce des États-Unis, en particulier le Software Suppliers Playbook : SBOM Production and Provision, ainsi qu'à toute future directive SBOM promulguée par la Cybersecurity du Département de la sécurité intérieure des États-Unis. et Infrastructure Security Agency, car elle « fait progresser le concept SBOM pour se concentrer sur la mise à l'échelle et l'opérationnalisation ».
- Le fabricant fournira-t-il une documentation technique sur les fonctionnalités de tous les produits capables d'effectuer la maintenance du système à distance, les mises à niveau logicielles, le dépannage et les diagnostics ?
- Les produits du fabricant avec des capacités d'accès à distance ont-ils les éléments suivants :
- Mécanismes d'authentification forts pour l'accès aux produits
- Un mécanisme pour effectuer tous les téléchargements de logiciels à distance
- Validé comme un livrable fournisseur sans compromis
- Validé en tant que livrable fournisseur inchangé
- Validé que seule cette action est effectuée
- Validé qu'il ne donne accès à aucun autre système, sauf dans le but de mettre à jour le logiciel vers un livrable fournisseur
- Capable d'empêcher l'introduction de toute activité indésirable non autorisée par le fournisseur
- Le fabricant utilise-t-il et maintient-il une chaîne de traçabilité sécurisée pour prendre en charge la provenance (traçabilité) des composants du système pour chaque livrable ?
- Le fabricant fournira-t-il des artefacts et des preuves de sa chaîne de possession à l'acheteur ?
- Les pratiques de la chaîne de traçabilité du fabricant (y compris les méthodes d'identification et de traçabilité) sont-elles suffisantes pour confirmer la provenance des composants du système en cas de problème de chaîne d'approvisionnement ou d'événement indésirable de la chaîne d'approvisionnement ?
- Le fabricant utilise-t-il des options de distribution, de livraison et d'entreposage fiables/contrôlées pour réduire les risques de la chaîne d'approvisionnement (par exemple, exiger un emballage inviolable des composants du système d'information pendant l'expédition et l'entreposage) ? Si oui, décrivez.
- Le fabricant identifie-t-il de manière unique les mécanismes de livraison et les voies de communication/livraison ainsi que les composants et les outils utilisés, établit-il une chaîne de contrôle pour l'évaluation des activités de la chaîne d'approvisionnement ?
- Est-ce que le fabricant :
- Avoir des processus basés sur les risques (tenant compte des conséquences d'une défaillance d'une pièce électronique) qui permettent de suivre les pièces électroniques depuis le fabricant d'origine jusqu'à l'acceptation du produit par l'acheteur, que la pièce électronique soit fournie en tant que pièce électronique discrète ou contenue dans une assemblée?
- Si le fabricant ne peut pas établir cette traçabilité à partir du fabricant d'origine pour une pièce électronique spécifique, le fabricant assumera-t-il la responsabilité de l'inspection, des tests et de l'authentification, conformément aux normes industrielles applicables ?
- Maintenir la documentation de la traçabilité (paragraphe i de cette sous-section) ou l'inspection, les tests et l'authentification requis lorsque la traçabilité ne peut être établie (paragraphe ii de cette sous-section) ?
- Le fabricant mettra-t-il cette documentation à la disposition de l'acheteur ?
Prévention et atténuation de la contrefaçon
Le fabricant a-t-il une stratégie appropriée pour s'assurer que les produits fournis à l'acheteur dans le cadre de ce contrat ne sont pas des contrefaçons ? Si oui, décrivez.
Gestion des fournisseurs
C-SCRM est comme toute gestion des risques en ce sens qu'il s'agit fondamentalement d'informations - car vous ne pouvez pas gérer ce que vous ne savez pas. Comprendre et évaluer les pratiques C-SCRM de vos fournisseurs contribue grandement à une meilleure gestion des risques de votre propre chaîne d'approvisionnement. Cela semble évident à première vue, mais de nombreuses organisations sophistiquées n'ont pas une solide compréhension de leurs chaînes d'approvisionnement.
Les processus de gestion des risques de la chaîne d'approvisionnement du fabricant sont-ils identifiés, établis, évalués, gérés et acceptés par les parties prenantes de l'organisation ? Si oui, décrivez.
- Le fabricant identifie-t-il, hiérarchise-t-il et évalue-t-il les fournisseurs et les partenaires des systèmes d'information critiques, des composants et des services à l'aide d'un processus documenté d'évaluation des risques de la chaîne d'approvisionnement ? Si oui, décrivez.
- Les fournisseurs et les partenaires du fabricant sont-ils contrôlés pour confirmer qu'ils ont rempli leurs obligations comme requis ?
- Le fabricant procède-t-il à des examens d'audits, à des résumés de résultats d'essais ou à d'autres évaluations équivalentes des fournisseurs/prestataires ? Si oui, décrivez.
- Le fabricant effectue-t-il une planification et des tests d'intervention et de récupération avec des fournisseurs/prestataires critiques ? Si oui, décrivez.
- Le fabricant a-t-il une politique documentée pour
- Tout d'abord, obtenir des pièces électroniques qui sont en production par le fabricant d'origine ou un fabricant de pièces de rechange autorisé ?
- Obtenir actuellement disponible en stock auprès des fabricants d'origine des pièces ?
- Obtenir actuellement disponible en stock auprès d'un fournisseur autorisé ?
- Procurez-vous ces pièces exclusivement auprès des fabricants d'origine des pièces ou de leurs fournisseurs agréés ? fabricant ou activité de conception actuelle pour acheter, stocker, reconditionner, vendre ou distribuer l'article.
- Le fabricant a-t-il établi des méthodes pour qualifier toute source non OEM ou non autorisée et garantir la sécurité et l'intégrité de l'article acheté ? Si oui, décrivez.
- Si le fabricant choisit d'utiliser un revendeur, un distributeur, un grossiste ou un courtier qui n'est pas le FEO ou dans une relation autorisée avec le FEO pour l'article acquis, le fabricant fournira-t-il une description détaillée des méthodes utilisées par le fabricant pour se qualifier la source et garantir la sécurité et l'intégrité de l'article acheté ?
- Le fabricant dispose-t-il de processus cohérents, documentés et bien définis pour la validation et le test des produits finis provenant de sources non OEM ou non autorisées ? Si oui, décrivez.
- Le fabricant suit-il les meilleures pratiques commerciales concernant le recours à des tiers pour effectuer des examens et des approbations de sources ? Si oui, décrivez.
- Le fabricant a-t-il mis en place des mécanismes d'application pour la livraison d'articles qui ne répondent pas aux exigences de validation et de test dans les conditions générales de ses achats effectués auprès de sources non OEM ou non autorisées ?
Gestion des menaces internes
La menace interne n'est pas seulement une préoccupation du gouvernement des États-Unis. Il est bien connu que le vol de propriété intellectuelle est endémique dans les industries de la technologie et de la défense et que les actions humaines sont le plus souvent le facteur favorisant les cyberincidents.
- Le fabricant détient-il une autorisation d'installation en cours et dispose-t-il d'un programme de menace interne (ITP) conforme au manuel d'exploitation du programme national de sécurité industrielle (NISPOM) ?
- L'ITP NISPOM du fabricant couvre-t-il l'unité commerciale qui fournit des produits ou des services à ce programme ?
Si l'ITP du fabricant n'est pas conforme au NISPOM ou ne couvre pas l'unité commerciale qui fournit des produits ou des services à ce programme :
- Le fabricant a-t-il un ITP ?
- Le fabricant propose-t-il une formation sur les menaces internes au personnel ITP et une sensibilisation aux autres employés ?
- Le fabricant surveille-t-il sa propre activité réseau ?
- Le fabricant recueille-t-il, intègre-t-il et fournit-il des informations pertinentes et crédibles indiquant une menace interne potentielle ou réelle pour dissuader les employés de devenir des menaces internes ?
- Le fabricant procède-t-il à des auto-inspections de son ITP ?
Cybersécurité des fournisseurs (par la fonction NIST CSF)
Le cadre de cybersécurité du NIST est de plus en plus la norme C-SCRM mondiale de facto, et il a été adopté sous une forme ou une autre par d'autres gouvernements et une multitude d'organisations du secteur privé. Les pratiques de cette section sont dérivées d'un programme de recherche d'une décennie mené par l'Université du Maryland et ont été adaptées sous forme de questions aux fins de l'élaboration de ce document. Cette recherche a créé la première et la seule analyse empiriquement étayée des effets sur le profil de cyber-risque d'une organisation en corrélation avec l'étendue de son adoption du NIST CSF. En bref, l'adoption de ces pratiques a été scientifiquement démontrée pour réduire le risque de cyberincidents. Cette section est également formulée comme un questionnaire pour les fournisseurs mais peut être reformulée comme des exigences contractuelles comme décrit dans l'introduction.
- Votre programme de gestion des actifs des technologies de l'information et des communications (TIC) identifie-t-il et classe-t-il les données, les systèmes et les processus en fonction du risque/de la criticité ?
- Connaissez-vous le plus grand nombre d'enregistrements confidentiels dans une base de données séparée ?
- Tous les flux de communication réseau/application sont-ils documentés et cartographiés ?
- Votre organisation dispose-t-elle d'une carte avec les centres/nœuds physiques critiques d'approvisionnement, de distribution et de service, et les flux interdépendants pour vous aider à visualiser la chaîne d'approvisionnement des TIC ?
- Avez-vous un programme de gestion des fournisseurs qui établit et surveille les normes de cybersécurité des fournisseurs externes ?
- Votre tableau de bord/registre des risques définit-il les principaux cyberrisques ?
- Votre organisation utilise-t-elle fréquemment ou intensivement NIST SP 800-161, Pratiques de gestion des risques de la chaîne d'approvisionnement pour les systèmes d'information fédéraux et les organisations ?
- Votre organisation utilise-t-elle fréquemment ou intensivement la norme SAE AS649 pour éviter, détecter, atténuer et éliminer les pièces électroniques frauduleuses/contrefaites ?
- Utilisez-vous le contrôle d'accès au réseau (NAC) pour les connexions à distance ?
- Séparez-vous physiquement et logiquement vos segments de réseau sensibles ?
- Est-il interdit aux informations de différents niveaux de sensibilité de résider sur le même système ?
- Outre la protection des données au repos et en transit, les clés de chiffrement sont-elles gérées de manière sécurisée ?
- Les clés de chiffrement sont-elles stockées séparément des données sur un serveur de gestion de clés ?
- Utilisez-vous une cryptographie validée par les FIP ou approuvée par la National Security Agency pour implémenter les signatures ?
- Disposez-vous de normes de configuration de base documentées pour tous les appareils connectés au réseau d'entreprise ?
- L'environnement de production est-il séparé des autres environnements de développement et de test ?
- Les données de production sont-elles uniquement situées dans l'environnement de production ?
- Utilisez-vous des systèmes de gestion de configuration de bout en bout pour suivre les modifications apportées aux logiciels et aux paramètres ?
- Mettez-vous en quarantaine les produits non conformes jusqu'à ce qu'ils puissent être vérifiés par inspection/test ?
- Mettez-vous en quarantaine le code de fournisseurs externes dans des serveurs proxy pour subir des procédures d'analyse antivirus et d'authentification ?
- Une base de référence organisationnelle des flux de données attendus a-t-elle été établie ?
- Votre tableau de bord SIEM affiche-t-il des informations sur les événements pour les unités gérées par le fournisseur de services externe ?
- Un logiciel antivirus est-il déployé sur les terminaux pour détecter le code malveillant ?
- Effectuez-vous en interne des inspections finales et des évaluations de conformité des produits et composants technologiques que vous fabriquez avant utilisation interne ou livraison au client ?
- Exigez-vous que des produits contrefaits/du marché gris qui sont détectés et qui n'ont pas de valeur médico-légale ou de preuve soient détruits par des éliminateurs réputés ?
- Disposez-vous d'une équipe de réponse aux incidents définie avec une participation de haut niveau de toutes les fonctions commerciales pertinentes et des rôles clairement définis pour les membres de l'équipe de réponse ?
- Avez-vous un plan de réponse aux incidents qui traite des détails du système et des procédures de signalement et de gestion d'un incident suspect ?
- Votre capacité d'investigation repose-t-elle sur une société de sécurité tierce avec un mandat permanent ?
- Disposez-vous d'un processus de sauvegarde/restauration des données au niveau du système informatique qui permettra de restaurer le traitement normal de l'entreprise en cas de sinistre (y compris les ransomwares ou DDoS) ?
- Pensez-vous que votre entreprise est en mesure de déposer et de régler les réclamations de cyberassurance plus rapidement que vos concurrents ?
- Avez-vous mis en place des mécanismes de communication sur les cyber-risques pour communiquer l'état de la reprise à vos employés et/ou actionnaires ?
Utilisation de normes commerciales
- Le fabricant utilise-t-il des normes commerciales fondées sur le consensus (par exemple, ISO/IEC, COBIT) dans sa production et la livraison des articles achetés par l'acheteur ?
- Si oui, énumérez toutes les normes utilisées et indiquez si le fabricant possède un certificat de conformité tiers à jour pour chacune, le cas échéant.
La gestion appropriée des risques liés à la cyber-chaîne d'approvisionnement est un gros travail, et comme toute cybersécurité, c'est un travail qui n'est jamais terminé. Comme on l'a dit, la sécurité est un voyage, pas une destination. Les chaînes d'approvisionnement modernes sont mondiales et dynamiques, et bien que les pratiques répertoriées dans cet article puissent être utiles pour créer ou améliorer un programme C-SCRM, elles ne sont pas les seules choses qui doivent entrer dans un tel programme. Un programme C-SCRM est plus efficace lorsqu'il combine la cybersécurité avec les pratiques de gestion de la chaîne d'approvisionnement logistique et les pratiques de gestion financière des fournisseurs pour fournir une image globale des risques.