Sécurité de la chaîne d'approvisionnement dans le cadre du NIS2 : gestion des risques liés aux tiers

Qui devrait lire ceci : les responsables des achats, les RSSI, les gestionnaires des risques, les fournisseurs et toute personne responsable de la gestion des tiers et des risques liés à la chaîne d'approvisionnement.

La faille SolarWinds survenue en 2020 a donné une leçon amère : un attaquant qui compromet un seul fournisseur de logiciels peut infiltrer des milliers de clients simultanément. Un fournisseur de confiance devient un cheval de Troie.

NIS2 a réagi en rendant la sécurité de la chaîne d'approvisionnement obligatoire. L'article 21 (2) (d) impose à chaque entité essentielle et importante de mettre en œuvre « la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services ».

Il ne s'agit pas d'une directive ou d'une meilleure pratique. Il s'agit d'une obligation réglementaire. Ce guide explique ce dont vous avez besoin, comment élaborer un programme de gestion des risques liés aux fournisseurs et comment réagir face aux risques que vous découvrez.

Qu'est-ce que la sécurité de la chaîne d'approvisionnement ?

La sécurité de la chaîne d'approvisionnement implique la gestion du risque de cybersécurité posé par vos vendeurs, fournisseurs et prestataires de services.

Vos fournisseurs font partie de votre surface d'attaque. Si un fournisseur est compromis, vos systèmes pourraient être compromis. Si le réseau d'un fournisseur se connecte au vôtre (pour l'assistance à distance, le partage de données, etc.), un attaquant qui s'infiltre dans le fournisseur pourrait pénétrer dans vos systèmes. Si vous intégrez le logiciel d'un fournisseur à vos systèmes, les vulnérabilités de ce logiciel deviennent votre problème.

NIS2 en est conscient et vous confie la responsabilité de gérer les risques liés aux fournisseurs. Vous devez :

Identifiez les fournisseurs et prestataires de services essentiels dont la défaillance ou la compromission perturberait vos services.

Évaluez leurs pratiques et leur maturité en matière de cybersécurité.

Définissez les exigences de sécurité contractuelles.

Surveillez leur conformité au fil du temps.

Ayez des plans d'urgence s'ils sont compromis ou deviennent indisponibles.

Il s'agit d'une extension significative de la responsabilité en matière de cybersécurité. Dans le passé, la sécurité des fournisseurs était souvent considérée comme facultative. En vertu du NIS2, il est obligatoire.

Identifier les fournisseurs critiques

La première étape est l'inventaire : qui sont vos fournisseurs et prestataires de services ?

Créez un registre des fournisseurs répertoriant :

Tous les fournisseurs et prestataires de services externes (fournisseurs de cloud, fournisseurs de logiciels, fournisseurs informatiques externalisés, consultants, etc.).

Le service ou le produit qu'ils fournissent.

L'importance de ce service ou produit pour vos opérations (est-ce essentiel à la prestation de services ou est-il périphérique ?).

Qu'ils aient accès à votre réseau ou à vos systèmes.

Qu'ils gèrent ou traitent des données sensibles.

Les fournisseurs ne sont pas tous aussi critiques. Un fournisseur qui fournit des fournitures de bureau présente beaucoup moins de risques qu'un fournisseur qui fournit des services cloud et gère les données des clients. Concentrez vos efforts d'évaluation sur les fournisseurs critiques, c'est-à-dire ceux dont la défaillance, l'indisponibilité ou la compromission perturberaient vos services ou mettraient en danger les données.

L'article 21, paragraphe 3, précise : « Les États membres veillent à ce que, lorsqu'elles examinent quelles mesures visées au paragraphe 2, point d), du présent article sont appropriées, les entités tiennent compte des vulnérabilités propres à chaque fournisseur direct et prestataire de services... »

Cela signifie que vous devez évaluer chaque fournisseur essentiel individuellement, et non appliquer une approche universelle. Un petit consultant local présente des risques différents de ceux d'un fournisseur de cloud mondial. Votre évaluation et vos contrôles devraient refléter cette différence.

Évaluation de la sécurité des fournisseurs

Une fois que vous avez identifié les fournisseurs critiques, évaluez leurs pratiques en matière de cybersécurité. Cela implique généralement :

Questionnaire pour fournisseurs

Créez un questionnaire de sécurité pour recueillir des informations sur les pratiques du fournisseur. Le questionnaire doit couvrir :

Gouvernance de la sécurité : le fournisseur dispose-t-il d'un responsable de la sécurité des systèmes d'information ou d'un agent équivalent ? Disposent-ils d'une politique de cybersécurité ?

Évaluation des risques : effectuent-ils des évaluations des risques ? À quelle fréquence ?

Réponse aux incidents : disposent-ils d'une capacité de réponse aux incidents ? En combien de temps peuvent-ils réagir ?

Continuité des activités : disposent-ils d'une capacité de sauvegarde et de reprise après sinistre ? Quel est leur objectif en matière de temps de rétablissement ?

Contrôle d'accès : comment gèrent-ils l'accès aux systèmes ? Utilisent-ils l'authentification multifactorielle ?

Chiffrement : chiffrent-ils les données en transit et au repos ?

Gestion des correctifs : à quelle vitesse corrigent-ils les vulnérabilités ?

Gestion des fournisseurs : évaluent-ils leurs propres fournisseurs ? (Il s'agit du « risque tiers », à savoir les fournisseurs de votre fournisseur.)

Formation et sensibilisation : organisent-ils des formations en matière de sécurité ?

Audits et certifications : disposent-ils de certifications (ISO 27001, SOC 2, etc.) ou font-ils l'objet d'audits réguliers ?

Conformité : sont-ils conformes aux réglementations pertinentes (RGPD, NIS2, PCI DSS, HIPAA, etc.) ?

Utilisez des questionnaires standard dans la mesure du possible (le questionnaire de collecte d'informations standard (SIG) des évaluations partagées est largement utilisé). Adaptez le questionnaire au rôle du fournisseur et à l'importance de ses services.

Audit ou évaluation

Pour les fournisseurs critiques, ne vous contentez pas d'un questionnaire. Envisagez de réaliser ou de commander un audit de sécurité.

Les options incluent :

Auto-évaluation du fournisseur : le fournisseur effectue une auto-évaluation par rapport à une norme (par exemple, ISO 27001) et fournit un rapport.

Audit par un tiers : vous engagez un auditeur indépendant pour évaluer les pratiques de sécurité du fournisseur.

Tests d'intrusion : pour les fournisseurs les plus critiques, effectuez un test d'intrusion afin d'identifier les vulnérabilités exploitables.

Certification du fournisseur : demandez au fournisseur d'obtenir une certification reconnue (ISO 27001, SOC 2 Type II). Cela permet une vérification indépendante de leurs pratiques.

La profondeur de l'évaluation doit refléter la criticité. Un fournisseur fournissant des services de base peut répondre à un questionnaire uniquement. Un fournisseur de cloud qui gère des données clients critiques doit être soumis à un audit tiers et détenir les certifications pertinentes.

Évaluation de la sécurité des produits

Pour les éditeurs de logiciels, évaluez la sécurité de leurs produits. Cela inclut :

Révision du code : demandez que le code du fournisseur soit révisé par une société de sécurité indépendante (ce n'est pas obligatoire pour tous les fournisseurs, mais cela convient aux logiciels critiques).

Historique des vulnérabilités : renseignez-vous sur les vulnérabilités passées de leurs produits. Combien ? Quelle est la gravité ? En combien de temps ont-ils été corrigés ?

Pratiques de développement sécurisées : utilisent-ils des normes de codage sécurisées, une révision du code et des tests ?

Politique de divulgation des vulnérabilités : disposent-ils d'une politique coordonnée de divulgation des vulnérabilités ? Comment traitent-ils les chercheurs qui découvrent des vulnérabilités ?

Sécurité de la chaîne d'approvisionnement : évaluent-ils leurs propres fournisseurs et sous-traitants ?

Contrôles contractuels

Vos contrats fournisseurs doivent énoncer les exigences de sécurité. Les contrats types n'abordent souvent pas la question de la sécurité. Vous devez ajouter des clauses de sécurité.

Votre contrat doit obliger le fournisseur à :

Maintenir un programme de cybersécurité répondant à certaines normes (ISO 27001, NIST Cybersecurity Framework, ou équivalent).

Vous informer des incidents de sécurité importants affectant vos données ou vos systèmes dans un délai défini (par exemple, 24 heures).

Préservez la confidentialité et ne divulguez pas vos données ou les informations relatives à vos systèmes à des tiers sans votre consentement écrit.

Implémentez l'authentification multifacteur pour accéder à vos systèmes et à vos données.

Chiffrez les données sensibles en transit et au repos.

Procédez régulièrement à des évaluations de sécurité (tests d'intrusion, analyses de vulnérabilité) et corrigez les résultats.

Gérez leurs propres fournisseurs et demandez-leur de respecter des normes de sécurité équivalentes.

Maintenez la continuité des activités et la capacité de reprise après sinistre avec des objectifs de temps de reprise définis.

Fournissez des droits d'audit : vous avez le droit de vérifier leurs pratiques de sécurité.

Vous permettre de résilier le contrat s'ils sont victimes d'un incident de sécurité matériel ou s'ils ne répondent pas aux exigences de sécurité.

Exigez une assurance responsabilité civile qui couvre les failles de sécurité.

Ces clauses doivent faire partie de votre modèle de contrat fournisseur standard. Lorsque vous négociez avec un nouveau fournisseur, les exigences de sécurité doivent être négociées en même temps que le prix et le niveau de service.

Surveillance continue

Il ne suffit pas d'évaluer un fournisseur une seule fois. La sécurité de la chaîne d'approvisionnement est permanente.

Vous devez :

Surveillez les incidents de sécurité : suivez les incidents des fournisseurs dans l'actualité, vérifiez s'ils sont violés, surveillez les bulletins de sécurité pour détecter les vulnérabilités de leurs produits.

Procéder à des réévaluations périodiques : Au moins une fois par an, réévaluez les fournisseurs critiques à l'aide du même questionnaire ou audit. Mettez à jour votre évaluation en fonction des nouveaux résultats.

Passez en revue les correctifs de sécurité : restez informé des correctifs publiés par le fournisseur. Vérifiez que vos systèmes sont rapidement corrigés.

Surveillez les modifications : le fournisseur change-t-il de propriétaire ? Externaliser les fonctions critiques ? Ces modifications peuvent affecter la sécurité.

Participez aux séances d'information sur la sécurité des fournisseurs : certains fournisseurs proposent des mises à jour de sécurité trimestrielles à leurs clients. Assistez à ces séances pour en savoir plus sur les menaces récentes et la réponse du fournisseur.

Renégociez les contrats selon les besoins : si un fournisseur est racheté ou si ses pratiques de sécurité se dégradent, renégociez les conditions du contrat pour faire face à l'évolution du risque.

Évaluations coordonnées des risques

L'article 21, paragraphe 3, exige que vous « preniez en compte les résultats des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques effectuées conformément à l'article 22, paragraphe 1 ».

L'article 22 (1) autorise le Groupe de coopération (un organe de coordination des États membres de l'UE) à effectuer des évaluations coordonnées des risques de sécurité liés à des chaînes d'approvisionnement de services, de systèmes ou de produits TIC critiques spécifiques. Ces évaluations sont effectuées au niveau de l'UE afin d'évaluer les risques auxquels sont exposés les composants critiques de l'infrastructure numérique.

Lorsque le groupe de coopération publie une évaluation coordonnée des risques d'une chaîne d'approvisionnement critique (par exemple, services de cloud computing, services DNS, chaîne d'approvisionnement en semi-conducteurs), vous devez tenir compte de cette évaluation lorsque vous gérez vos propres risques liés aux fournisseurs. Si l'évaluation identifie des vulnérabilités dans une chaîne d'approvisionnement sur laquelle vos fournisseurs s'appuient, vous devez en tenir compte dans vos décisions de gestion des fournisseurs.

Surveillez les évaluations du groupe de coopération pertinentes pour vos fournisseurs et intégrez les résultats dans votre gestion des risques.

Les risques liés aux fournisseurs dans différents contextes

Le risque lié à la chaîne d'approvisionnement varie selon le type de fournisseur. Voici les principaux éléments à prendre en compte pour les différentes catégories :

Fournisseurs de services cloud

Votre fournisseur de cloud a accès à vos données et à vos systèmes. Les contrôles critiques incluent :

Contrats de niveau de service (SLA) définissant la disponibilité, les objectifs de temps de restauration et les délais de notification des incidents.

Clauses de protection des données nécessitant le cryptage, les contrôles d'accès et la confidentialité.

Droits d'audit : vous devez être en mesure d'auditer les contrôles de sécurité du fournisseur.

Exigences relatives aux sous-processeurs : le fournisseur de cloud doit divulguer et approuver tous les sous-processeurs (fournisseurs auxquels il fait appel) et s'assurer qu'ils répondent à des normes de sécurité équivalentes.

Conservation et suppression des données : définissez la manière dont les données sont traitées à la fin du contrat.

Fournisseurs de logiciels

Les logiciels que vous intégrez à vos systèmes font partie intégrante de votre posture de sécurité. Les contrôles incluent :

Délais de divulgation des vulnérabilités et de correction : le fournisseur doit divulguer les vulnérabilités et les corriger rapidement.

Pratiques de développement sécurisées : obligez le fournisseur à suivre des normes de codage sécurisées et à effectuer des tests.

Nomenclature logicielle (SBOM) : demandez au fournisseur de fournir une liste de tous les composants open source et tiers de son logiciel. Cela vous permet d'identifier les vulnérabilités dans les dépendances.

Conformité des licences : assurez-vous que le logiciel est correctement concédé sous licence et qu'il n'inclut pas de composants volés ou non autorisés.

Services externalisés (support informatique, opérations de sécurité, etc.)

Si vous externalisez les opérations informatiques ou les fonctions de sécurité, votre fournisseur dispose d'un accès et de connaissances élevés. Les contrôles incluent :

Vérification des antécédents du personnel ayant accès à vos systèmes.

Autorisations de sécurité ou contrôle équivalent en cas de manipulation de données sensibles.

Des accords de confidentialité liant l'ensemble du personnel.

Séparation des tâches : limitez l'accès du fournisseur à ce qui est nécessaire à sa fonction.

Surveillance continue : enregistrez et surveillez l'accès des fournisseurs à vos systèmes.

Des audits réguliers pour vérifier qu'ils respectent leurs obligations.

Chaîne d'approvisionnement en matériel et en approvisionnement

Les composants physiques (serveurs, équipements réseau, etc.) peuvent être altérés. Les contrôles incluent :

Vérification de l'authenticité : assurez-vous que le matériel est authentique et qu'il ne s'agit pas d'une contrefaçon ou d'une remise à neuf.

Vérification de la chaîne d'approvisionnement : suivez le matériel depuis le fabricant jusqu'à vous pour vous assurer qu'il n'est pas intercepté ou modifié.

Vérification du microprogramme : vérifiez que le microprogramme des appareils n'a pas été modifié ou qu'il contient des portes dérobées.

Pour les entités gouvernementales ou celles qui traitent des données hautement sensibles, cela peut impliquer des processus d'approvisionnement spécialisés ou des services de vérification de la chaîne d'approvisionnement.

Planification d'urgence

Vous devez disposer de plans d'urgence en cas de défaillance, de compromission ou d'indisponibilité d'un fournisseur essentiel.

Pour chaque fournisseur essentiel, posez-vous la question suivante : que se passerait-il si ce fournisseur devenait soudainement indisponible ? Comment pourrions-nous maintenir le service ?

Les plans d'urgence peuvent inclure :

Fournisseurs alternatifs : entretenez des relations avec les fournisseurs de sauvegarde qui pourraient prendre le relais en cas de défaillance de votre fournisseur principal.

Arrangements hybrides : faites appel à plusieurs fournisseurs pour le même service, afin qu'aucun fournisseur ne soit un point de défaillance unique.

Capacité interne : développer les capacités internes pour fournir une fonction critique en cas d'indisponibilité d'un fournisseur (cela nécessite plus de ressources mais assure une résilience maximale).

Exigences contractuelles : demandez à votre fournisseur de maintenir la capacité de continuité des activités et de définir des objectifs en matière de temps de reprise.

Tests réguliers : testez régulièrement vos plans d'urgence. Pouvez-vous réellement passer à un fournisseur de solutions de sauvegarde dans les délais requis ?

L'objectif n'est pas d'éliminer les risques liés aux tiers. La plupart des organisations modernes dépendent de fournisseurs. L'objectif est plutôt de comprendre le risque et d'élaborer des plans pour l'atténuer.

Gouvernance des risques liés aux fournisseurs

Établissez une gouvernance autour de la gestion des fournisseurs :

Examen des achats : avant de passer un contrat avec un nouveau fournisseur, effectuez une évaluation de sécurité. N'acceptez pas les fournisseurs qui refusent de divulguer leurs pratiques de sécurité ou d'autoriser les audits.

Comité des risques liés aux fournisseurs : établissez un comité chargé d'examiner les évaluations des risques liés aux fournisseurs, d'approuver les relations avec les fournisseurs et de surveiller les performances des fournisseurs.

Registre des risques liés aux fournisseurs : tenez à jour un registre des fournisseurs critiques, leur niveau de risque et tous les problèmes de sécurité en suspens.

Révision annuelle : au moins une fois par an, passez en revue toutes les relations critiques avec les fournisseurs. Répondent-ils aux exigences de sécurité ? De nouveaux risques sont-ils apparus ?

Visibilité du conseil d'administration : transmettez les relations à haut risque avec les fournisseurs au conseil d'administration ou au comité du conseil d'administration à des fins de supervision.

Le point de vue du fournisseur

Si vous êtes un fournisseur, NIS2 vous concerne également. Vos clients évalueront votre sécurité et imposeront des exigences contractuelles. Pour être compétitif efficacement :

Élaborez un programme de cybersécurité solide (la certification ISO 27001 est une bonne base de référence).

Procédez à des évaluations de sécurité régulières et faites preuve de transparence quant aux résultats.

Adoptez une politique coordonnée de divulgation des vulnérabilités.

Soyez prêt à répondre à des questionnaires de sécurité et à vous soumettre à des audits.

Développez un programme de gestion des risques liés aux fournisseurs pour vos propres fournisseurs.

Publiez un livre blanc ou une documentation sur la sécurité décrivant vos pratiques en matière de sécurité.

Principaux points à retenir

- La sécurité de la chaîne d'approvisionnement (article 21 (2) (d)) est désormais une obligation réglementaire obligatoire ; vous devez identifier les fournisseurs critiques, évaluer leurs pratiques en matière de cybersécurité, définir des exigences contractuelles et contrôler la conformité au fil du temps.

- L'évaluation critique des fournisseurs doit être proportionnée à la criticité et au risque ; utiliser des questionnaires de sécurité pour tous les fournisseurs, effectuer des audits pour les fournisseurs critiques qui traitent des données sensibles ou fournissent des services critiques, et exiger des certifications (ISO 27001, SOC 2) le cas échéant.

- Les contrats des fournisseurs doivent inclure des clauses de sécurité obligeant le fournisseur à maintenir un programme de cybersécurité, à vous informer des incidents, à mettre en œuvre l'authentification multifactorielle et le cryptage, à effectuer des évaluations, à gérer ses propres fournisseurs, à assurer la continuité des activités et à vous permettre d'auditer ses pratiques.

- Une surveillance continue est essentielle : suivez les incidents liés aux fournisseurs dans l'actualité, effectuez des réévaluations annuelles, surveillez les correctifs de sécurité, restez informé des modifications apportées aux pratiques ou à la propriété du fournisseur et renégociez les contrats si le risque change.

- Les évaluations coordonnées des risques menées par le groupe de coopération (au niveau de l'UE) des chaînes d'approvisionnement critiques en TIC doivent être surveillées et intégrées à vos décisions de gestion des fournisseurs.

- La planification d'urgence nécessite d'identifier ce qui se passerait en cas de défaillance d'un fournisseur essentiel, de développer des relations alternatives avec les fournisseurs ou de développer des capacités internes, et de tester régulièrement votre capacité à activer les imprévus.