Sélection de la langue

Government of Canada / Gouvernement du Canada

La cybersécurité et la chaîne d’approvisionnement : évaluation des risques - ITSAP.10.070

Format de rechange : La cybersécurité et la chaîne d’approvisionnement : évaluation des risques - ITSAP.10.070 (PDF, 522 Ko)

Dans notre monde numérique, les auteurs de cybermenaces profitent des failles de la chaîne d’approvisionnement pour lancer leurs attaques et chaque maillon de la chaîne mondiale d’approvisionnement peut représenter un risque contre la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. . Les organisations disposant d’informations ou de services de grande valeur doivent renforcer leurs défenses en matière de cybersécurité en identifiant, évaluant et atténuant les risques associés à la nature mondiale et distribuée des chaînes d’approvisionnement des produits et services des technologies de l’information et de la communication (TIC). Ensemble, ces éléments forment la base d’une stratégie robuste de gestion des risques de cybersécurité liés à la chaîne d’approvisionnement. On encourage les organisations à suivre l’approche du Centre pour la cybersécurité décrite dans la présente publication pour évaluer les risques de cybersécurité liés à la chaîne d’approvisionnement.

 
Cycle de vie des risques liés à la chaîne d’approvisionnement
Description détaillée suit immédiatement
Description detaillée - Cycle de vie des risques liés à la chaîne d’approvisionnement

Illustration des six étapes du cycle de vie de la chaîne d’approvisionnement et des risques associés à chaque étape :

  1. Normes et exigences de l’industrie
    • Risque de tirer parti de l’influence du marché
  2. Conception
    • Risque lié à des pratiques de conception discutables
  3. Production
    • Risque de trafiquage
  4. Livraison et mise en œuvre
    • Risque lié à des pratiques défaillantes en matière de cybersécurité
  5. Exploitation
    • Risque d’exploitation des vulnérabilités
  6. Maintenance
    • Risque de compromission du fournisseur de service

Le diagramme montre qu’au cours des six étapes du cycle de vie de la chaîne d’approvisionnement, des risques sont présents. On doit tenir compte des éléments suivants tout au long du cycle de vie :

  • Les auteurs de menaces peuvent influencer les produits avant même qu’ils ne soient conçus.
  • Des vulnérabilités peuvent être introduites délibérément ou accidentellement lors de la conception et de la production d’un produit.
  • Une fois le produit déployé, les vulnérabilités peuvent être découvertes et exploitées par les auteurs de menace. Il est essentiel à cette étape de mettre en œuvre des contrôles de sécurité appropriés dans l’environnement du produit.
  • Les produits peuvent être compromis lors d’activités régulières de maintenance ou de l’application de correctifs, et être infectés par de nouvelles vulnérabilités ou voir des vulnérabilités existantes exploitées.

Programme ICA du Centre pour la cybersécurité : fournir des connaissances utiles au gouvernement du Canada (GC)

Le cadre d’évaluation des risques liés à l’intégrité IntégritéAptitude à protéger l'information contre les modifications ou les suppressions non intentionnelles ou inopportunes. L'intégrité permet de savoir si l'information est conforme à ce qu'elle est censée être. L'intégrité s'applique également aux processus opérationnels, à la logique des applications logicielles, au matériel ainsi qu'au personnel. de la chaîne d’approvisionnement (ICA) du Centre pour la cybersécurité est un programme exhaustif conçu en vue d’effectuer des évaluations des produits et services des TIC qui seront déployés dans l’infrastructure du GC. Ce programme a pour objectif de protéger la confidentialité ConfidentialitéCaractéristique de l'information sensible protégée contre tout accès non autorisé. , l’intégrité et la disponibilité DisponibilitéCaractéristique de l'information ou des systèmes qui sont accessibles aux personnes autorisées au moment où celles-ci en ont besoin. La disponibilité est un attribut des actifs informationnels, logiciels, et matériels (l'infrastructure et ses composantes). Il est également entendu que la disponibilité comprend la protection des actifs contre les accès non autorisés ou les compromissions. des communications et des données du GC en favorisant la résilience contre les vulnérabilités et les compromissions de la chaîne d’approvisionnement.

Les évaluations des risques de cybersécurité liés à la chaîne d’approvisionnement comprennent des recommandations de stratégies d’atténuation et de mesures visant à réduire les risques envers des technologies potentiellement vulnérables, ainsi qu’à assurer la protection des informations, des réseaux et de l’infrastructure des TI du GC.

Le Centre pour la cybersécurité recommande le recours à l’évaluation des risques liés à l’ICA, car elle constitue un élément essentiel du cadre de gestion des risques de toute organisation. Dans le cas des organisations qui appliquent les principes de La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG33), les évaluations des risques liés à l’ICA fournissent les renseignements nécessaires pour l’application des contrôles de sécurité SA-12(8). « Charter of Trust » est un autre document de référence qui s’aligne sur les normes internationales d’approche commune basée sur les risques envers la chaîne d’approvisionnement numérique (PDF - en anglais seulement).

 

Évaluer les risques de la chaîne d’approvisionnement

Il y a de nombreux éléments à considérer lorsque vous évaluez votre chaîne d’approvisionnement. Le Centre pour la cybersécurité utilise une approche à plusieurs étapes pour évaluer les risques de cybersécurité liés à la chaîne d’approvisionnement des produits et services connectés.

 

Étape 1 : Déterminer la sensibilité de la technologie

Cette évaluation sera spécifique au produit et doit être effectuée au cas par cas. La sensibilité variera en fonction du contexte spécifique. La sensibilité doit être évaluée sur une échelle faible/moyenne/élevée en fonction de facteurs technologiques et contextuels.

Le produit

  • La fonction de la technologie – Le rôle que jouent un produit ou un service, et l’impact sur la confidentialité, la disponibilité et l’intégrité des données en cas de compromission ou d’interruption.
  • Données traitées – Le type de données traitées par un produit ou un service peut rendre un système plus intéressant pour les auteurs de cybermenace. La classification et l’agrégation des données ont une influence sur le niveau de sensibilité et les risques connexes.

Le contexte

L’importance dans l’écosystème – Des éléments de l’infrastructure essentielle Infrastructure essentielleProcessus, systèmes, installations, technologies, réseaux, actifs et services qui sont essentiels pour assurer la santé, la sécurité et le bien être économique des Canadiens ainsi que le fonctionnement efficace du gouvernement. Les infrastructures essentielles peuvent être autonomes ou interconnectées et interdépendantes dans les administrations provinciales, territoriales ou nationales ou entre celles ci. La perturbation des infrastructures essentielles pourrait donner lieu à des pertes de vie et à des répercussions économiques néfastes de même que considérablement ébranler la confiance du public. , les réseaux gouvernementaux importants et les technologies perturbatrices émergentes, comme l’informatique quantique Informatique quantiqueUn ordinateur quantique peut traiter un grand nombre de calculs simultanément. Tandis qu'un ordinateur classique travaille avec des « 1 » et des « 0 », un ordinateur quantique a l'avantage d'utiliser le « 1 », le « 0 » et des superpositions de « 1 » et de « 0 ». Certaines tâches complexes que les ordinateurs classiques ne pouvaient pas effectuer peuvent désormais être effectuées rapidement et efficacement par un ordinateur quantique. ou l’intelligence artificielle Intelligence artificielleSous-domaine de l'informatique ayant trait au développement de programmes informatiques aptes à résoudre des problèmes, à apprendre, à comprendre des langages, à interpréter des scènes visuelles, bref, à se comporter de façon à reproduire les facultés cognitives de l'intelligence humaine. , peuvent être considérés comme très sensibles.

L’approvisionnement – Valeur monétaire et diversité des options.

 

Étape 2 : Évaluer la fiabilité du fournisseur

Cette évaluation sera spécifique au fournisseur et doit être effectuée au cas par cas. Niveau de confiance envers le fournisseur : pour déterminer le niveau de confiance envers vos fournisseurs, tenez compte des facteurs propres à leur entreprise, ainsi que de leurs pratiques de cybersécurité conformément aux normes internationales. Le niveau d’effort lié à l’étape 2 dépend du niveau de sensibilité.

Les propriétaires du fournisseur

  • Propriété, contrôle et influence de l’étranger (PCIE) – Dans quelle mesure une entreprise et le gouvernement d’un pays où elle réside sont-ils étroitement liés, y compris la probabilité potentielle d’être contraint de mener des activités contraires aux intérêts canadiens.
  • Contexte géopolitique – L’emplacement de l’administration centrale et des centres des opérations de l’entreprise, le cadre législatif auquel l’entreprise est tenue de se conformer en ce qui a trait à la protection des données et les lois nationales qui limitent l’exercice des pouvoirs du gouvernement.
  • Pratiques opérationnelles – Le comportement éthique et le respect des cadres juridiques et politiques peuvent indiquer à quel point une entreprise est digne de confiance. Il faut aussi examiner la transparence des propriétaires de l’entreprise, des investissements et de la passation de marchés.

Maturité de la cybersécurité

Normes et certifications – Respect des normes technologiques internationales et des certifications lors de la conception, la production et la maintenance des produits et services.

Protection des données – Produits ou services conçus pour assurer la confidentialité, l’authenticité, l’intégrité et la disponibilité des données. Les données doivent être protégées contre les accès non autorisés tout au long de leur cycle de vie.

Politiques de cybersécurité – Les politiques et mesures de protection proactives en matière de cybersécurité et la gestion des vulnérabilités de sécurité aident à déterminer la maturité d’une entreprise en matière de cybersécurité.

 

Étape 3 : Définir le déploiement

Les modèles de déploiement doivent être évalués pour chaque produit et correspondre à la posture interne de votre organisation. Considérez le déploiement dans le contexte de la posture de sécurité de votre organisation. Déterminez si l’exposition aux risques d’un fournisseur spécifique est acceptable, si des mesures d’atténuation plus rigoureuses doivent être mises en place ou si une autre technologie ou un autre fournisseur doit être sélectionné pour réaliser la fonction opérationnelle. Les résultats de l’évaluation permettront de déterminer les mesures d’atténuation appropriées et basées en grande partie sur les contrôles de sécurité de l’ITSG-33, Gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie.

Votre organisation

Les auteurs de menace, leurs tactiques, techniques et procédures – En examinant le cycle de vie de la chaîne d’approvisionnement, évaluez les menaces auxquelles l’organisation pourrait être confrontée.

Capacités de cyberdéfense – Évaluez les contrôles de sécurité que l’organisation a mis en place pour se protéger contre ces menaces.

Mesures d’atténuation – La capacité de mettre en œuvre des conseils liés aux mesures d’atténuation afin de réduire les risques résiduels.

Impact des compromissions et résilience – Gestion efficace des incidents liés aux tentatives de piratage ou aux violations de données auxquelles l’entreprise a été confrontée.

En fonction des capacités de votre organisation, l’exposition aux risques est-elle acceptable?

Date de modification :