Sécurisation de la chaîne d’approvisionnement

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

• Décrire les responsabilités d’une organisation en ce qui concerne l’évaluation du niveau de cyberrisque de ses fournisseurs
  
• Énumérer les principales compétences requises pour protéger le processus de développement d’application
  
• Décrire ce qu’est l’approche « zéro confiance » en matière de sécurité
  

Ce module a été réalisé en collaboration avec le Forum économique mondial. Apprenez-en plus sur le contenu partenaire dans Trailhead.

Évaluation du cyberrisque des fournisseurs

Dans le module intitulé Gestion des risques relatifs à la cybersécurité, vous avez appris à penser comme un chef d’entreprise et à favoriser les partenariats tant internes qu’externes. Vous avez également vu comment adopter de solides pratiques de cyberhygiène, mettre en œuvre une authentification forte et vous protéger contre l’hameçonnage. Dans ce module, vous allez découvrir les cinq principes restants du guide du Forum économique mondial, en commençant par la sécurisation de votre chaîne d’approvisionnement.

La gestion des risques liés aux tiers est un problème qui donne des insomnies à de nombreux responsables de la sécurité de l’information. En tant que responsable, il est judicieux de savoir précisément quelles données sont actuellement partagées avec quelles entités et dans quelles conditions. Vous pouvez prendre plusieurs mesures pour atténuer le risque de violation d’informations sensibles : 

• Réalisez un audit préalable concernant les antécédents de vos fournisseurs. Cela implique notamment de définir quelles vérifications de sécurité au sujet des employés de ces tiers doivent être effectuées.
  
• Limitez l’accès des tiers selon leurs besoins. Ne partagez avec un tiers que les informations dont il a besoin pour remplir sa fonction et examinez régulièrement vos accords de partage de données.
  
• Engagez contractuellement vos fournisseurs à respecter des politiques de sécurité. Les accords de partage de données doivent indiquer clairement les politiques que chaque fournisseur doit suivre et les conséquences auxquelles ils s’exposent s’ils ne les respectent pas.
  
• Déterminez une fréquence à laquelle vous procéderez à l’audit et à l’examen de la relation avec chaque tiers, en fonction de la criticité et du risque qui la caractérisent.
  

Sécurisation du cycle de vie du développement logiciel

Les composantes du cycle de vie du développement logiciel d’une organisation constituent un aspect clé de la chaîne d’approvisionnement. Afin de sécuriser ce cycle, les équipes de sécurité les plus avisées permettent aux développeurs d’écrire du code sécurisé dès le départ, intégrant ainsi des pratiques prônant la sécurité dès la conception dans le cycle de vie complet du projet et du développement de produit. Pour en savoir plus sur cette approche, consultez le module Trailhead Responsabilités de l’ingénieur en sécurité des applications. En plus de sécuriser le cycle de vie du développement, les responsables de la cybersécurité les plus avertis réfléchissent à la manière de protéger leurs données où qu’elles circulent : c’est ce que l’on appelle l’approche « zéro confiance ».

Adoption d’une approche « zéro confiance » en matière de sécurité

Par le passé, les organisations déployaient généralement une approche de la sécurité axée sur un périmètre. Elles traitaient alors leur réseau comme une zone de confiance, en plaçant à sa périphérie leurs principales défenses de sécurité, telles que les pare-feux et la protection antivirus. Aujourd’hui, les responsables de la cybersécurité reconnaissent la nécessité d’adopter une approche « zéro confiance », qui ne suppose pas que l’organisation est à l’abri de tout risque dans les limites de son propre réseau d’entreprise « sécurisé ». Une approche « zéro confiance » met en place des contrôles autour des actifs de données eux-mêmes. Pour en savoir plus sur cette approche, consultez le module Trailhead Planification de la sécurité réseau.

Conclusion

Dans cette unité, vous avez découvert comment les organisations procèdent pour protéger leurs données sensibles, quel que soit leur emplacement de stockage. Pour ce faire, elles évaluent et auditent leurs relations avec les tiers, sécurisent le cycle de vie du développement logiciel et adoptent une approche « zéro confiance » en matière de sécurité réseau. Intéressons-nous maintenant à la manière dont les organisations peuvent prévenir, surveiller et traiter les cybermenaces. 

Ressources

• Site externe : FEM : Guide de la cybersécurité dans le monde numérique moderne à l’usage des responsables
  
• Site externe : Chambre de commerce des États-Unis : Évaluation du cyberrisque des entreprises 
  
• Site externe : Forbes : Pourquoi la gestion du cyberrisque des tiers est importante pour les entreprises modernes
  
• Site externe : NIST : Sécurité du personnel tiers – National Institute of Standards and Technology 
  
• PDF : NIST : Bonnes pratiques en matière de sélection et de gestion des fournisseurs
  
• Trailhead : Développement de programmes de cyberrésilience