Partout dans le monde, la sauvegarde des installations nationales cruciales (CNI) revêt une importance primordiale. Permettre qu’il soit compromis de quelque manière que ce soit pourrait avoir des conséquences désastreuses pour la sécurité nationale, la stabilité économique et la sécurité publique. Cependant, à mesure que la société se numérise, les dangers ne se limitent plus aux attaques physiques. Les cyberattaques, les violations d’informations et autres activités en ligne destructrices représentent toutes des dangers pour CNI.
Pour garantir que les activités qui approvisionnent CNI ne soient pas compromises, un volume croissant de cadres de cybersécurité sont mis en place par le gouvernement fédéral. gouvernements et entreprises internationales dans leur domaine.
Aux États-Unis, le Cyber Security Framework (CSF) de l’Institut national américain des normes et de l’innovation (NIST) est promu par les régulateurs du secteur, tandis que les entreprises opérant dans l’UE devrait respecter les lois des États membres mises en œuvre dans le cadre de l’instruction sur la sécurité des réseaux et de l’information (NIS qui seront bientôt encore renforcées par NIS2). En quittant l’UE, le Royaume-Uni a amélioré ses propres politiques NIS, et les fournisseurs australiens de CNI devraient se conformer à la loi sur la sécurité des infrastructures vitales (SOCI).
Ce ne sont pas seulement les fournisseurs de CNI qui doivent être conscients de ces réglementations. Pour garantir que tous les points d’entrée possibles des cyberattaques sont protégés, les sociétés de chaîne d’approvisionnement associées aux sociétés CNI doivent également prendre des mesures pour garantir leur propre cybersécurité.
Pourquoi les fournisseurs tiers des sociétés CNI doivent-ils être cyberprotégés ?
« Vous pourriez avoir un fournisseur comme chemin à mettre en péril ; quelqu’un pirate son intermédiaire pour accéder aux systèmes de ses clients », a déclaré Chris Proctor, conseiller senior chez le spécialiste de la cybersécurité NCC Group.
« Vous pourriez avoir un fournisseur comme chemin à mettre en péril ; quelqu’un pirate son intermédiaire pour accéder aux systèmes de ses clients », a déclaré Chris Proctor, conseiller pour personnes âgées chez les spécialistes de la cybersécurité NCC Group. p>
« Vous pouvez faire supprimer le fournisseur, ce qui entraînera une interruption pour le client. Ou il se peut que son produit, logiciel ou matériel, destiné au client, soit utilisé comme voie de compromis. Le paysage réglementaire est progressivement axé sur la chaîne d’approvisionnement en raison du nombre d’aléas. »
Lorsqu’il conseille les prestataires de services CNI, NCC Group les motive à considérer leur chaîne d’approvisionnement en plus de leurs propres systèmes. Ils doivent constamment revoir leur niveau de cybersécurité depuis le moment où la société tierce est sélectionnée et intégrée jusqu’après la résiliation de l’accord lorsqu’ils doivent séparer les informations de connexion et de dommages.
Rick Tahesh, partenaire Directeur de l’organisation, a déclaré : « La chaîne d’approvisionnement intègre un grand nombre de fonctions de service. Pensez à vos achats, pensez à vos aspects informatiques et juridiques, pensez à la gestion de la continuité de l’entreprise.
« C’est pourquoi nous veillons à disposer d’une stratégie intégrée. approche au nom de nos clients. Ce n’est qu’alors que nous pourrons parvenir à une compréhension mutuelle du danger que représente ce fournisseur pour l’activité du client. menace d’effet d’un cyber-événement », a déclaré Mick Flitcroft, responsable mondial du fournisseur de conformité gouvernementale chez NCC Group. « En général, cette technologie n’est pas prise en charge au sens informatique conventionnel ; nous n’avons pas toujours de doubles sauvegardes et de technologie cloud. »
Mais, au cours des dernières années, les activités de chaîne d’approvisionnement sont devenues progressivement importantes pour les activités de CNI elles-mêmes, ce qui signifie que toute absence de procédures de cybersécurité sur leur rôle met le CNI encore plus en danger.
Mick a déclaré : « Par exemple, nous assistons à ce que nous appelons une ‘surveillance de l’état’ par la chaîne d’approvisionnement, où ils ont une vue en direct et en permanence des aspects cruciaux de ce client. infrastructure, recherchent des éléments tels que des vibrations ou de l’usure, et tentent de prévoir une panne avant qu’elle ne se produise. Ainsi, avant que le [gadget] ne cesse de fonctionner, le nouveau est là et est en cours d’installation pour réduire l’impact sur la disponibilité des systèmes vitaux.
« Bien que cette approche proactive présente des avantages fonctionnels, elle présente un vecteur de danger qui [ils] n’auraient peut-être jamais eu besoin de traiter de manière traditionnelle. Plutôt que de résumer la pile – à travers l’entreprise, à travers ce logiciel de pare-feu et dans le réseau de technologie opérationnelle (OT) – nous voyons souvent la chaîne d’approvisionnement passer directement par le côté et arriver au niveau de la couche de contrôle ou même au niveau de la couche de contrôle. couche du système de contrôle industriel. pour rétablir les contrats avec les fournisseurs de CNI et améliore leur capacité de survie en cas de cyberattaque.
Rendre une organisation de chaîne d’approvisionnement conforme aux directives de cybersécurité de CNI peut être un défi, notamment étant donné que les cadres sont élaborés spécifiquement pour être vérifié et interprété par les sociétés CNI qui sont soumises aux lignes directrices.
Mick a déclaré : « Très souvent, vous regardez NIS et il indique simplement ‘vous devriez considérer votre chaîne d’approvisionnement’ et après cela, il y a quelques des déclarations générales et un certain nombre de déclarations techniques sur l’accès à distance, de sorte que les exigences elles-mêmes ne sont souvent pas articulées en détail. «
Par conséquent, il est, au moins en partie, du devoir du L’organisation CNI doit comprendre ce qu’elle attend de ses fournisseurs tiers en matière de sécurité et le leur communiquer.
» [Pour la société CNI], il s’agit de comprendre quels sont vos atouts cruciaux et de comprendre si votre chaîne d’approvisionnement prend en charge la résilience dont vous avez besoin », a décrit Mick.
Rick a déclaré : « Alors [les fournisseurs ] doivent en fait offrir l’assurance qu’ils disposent des processus, des structures, des outils, etc. pour sécuriser également la chaîne d’approvisionnement. «
Les consultants du groupe NCC motivent les prestataires de services CNI à décrire les exigences en matière de cybersécurité. ils ont fait appel à des prestataires tiers dans leurs contrats, même s’ils sont en fait déjà sur place depuis de nombreuses années et n’ont jamais eu besoin d’être examinés dans le passé. Les fournisseurs doivent mettre à niveau leurs produits et systèmes existants pour respecter ces exigences.
Comment le groupe NCC peut-il vous aider ?
Le groupe NCC aide les fournisseurs des entreprises CNI à naviguer dans les subtilités du devenir conforme à différents cadres de cybersécurité.
Chris a déclaré : « De nombreux fournisseurs reçoivent tous ces questionnaires de la part de types potentiellement différents de clients CNI ; vous pouvez vous retrouver submergé par une multitude de documents réglementaires. Nous pouvons aider les gens à comprendre comment être plus efficace pour s’en sortir et bénéficier du soutien offert pour les aider s’ils en ont besoin. »
Rick a ajouté : « Étant donné l’environnement économique actuel, nous savons que les budgets sont soumis à beaucoup de pression. Les clients de CNI, ainsi que les fournisseurs, doivent comprendre quels sont les actifs cruciaux qu’ils doivent réellement protéger afin que nous puissions concentrer le plan d’investissement et le budget sur ces sites. une évaluation approfondie des menaces qui déterminera leurs propriétés cruciales. Ce sont celles-ci qui auraient un effet négatif important sur la société CNI en cas de rupture ou de refus de service. Les conseillers évalueront le coût de cette éventuelle indisponibilité par rapport aux dépenses liées à sa réglementation.
« Il s’agit d’avoir la capacité de séparer les propriétés importantes des choses importantes qui peuvent attendre », a déclaré Rick. « Nous les aidons à parvenir à une compréhension mutuelle des contrôles et des mesures de sécurité autour de ces actifs vitaux, et s’il existe des espaces ou des préoccupations. »
À l’avenir, les fournisseurs des sociétés CNI pourraient être invités à examiner leurs de la même manière si des politiques sont incluses et couvrent les fournisseurs CNI tiers. Le Digital Operational Durability Act (DORA) de l’UE et le Financial Services and Markets Act du Royaume-Uni ouvrent la voie à ce que les fournisseurs tiers essentiels au secteur des services financiers soient soumis à la réglementation CNI.
Si vous le souhaitez. pour en savoir plus sur ce qui est nécessaire de votre service pour se conformer aux politiques locales de cybersécurité, contactez un consultant du groupe NCC ici.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
