Cybersécurité de la chaîne d’approvisionnement pour les petites et moyennes organisations (ITSAP.00.070)

La chaîne d’approvisionnement est un réseau d’entreprises et de personnes qui participent à la création d’un produit ou d’un service. C’est le lien essentiel entre votre organisation et les autres organisations qui vous aident à servir vos clientes et clients. Si vous êtes propriétaire d’une boutique de fleurs ou d’une agence de publicité, la qualité et la sécurité de votre chaîne d’approvisionnement sont des facteurs clés pour assurer le succès de votre organisation.

Ces chaînes sont devenues une composante de plus en plus importante du mouvement bidirectionnel de l’information numérique en plus du mouvement des produits, des services et de la monnaie. Les cybermenaces se propagent par le transfert d’information numérique, ce qui signifie que les chaînes d’approvisionnement fournissent une surface d’attaque étendue contre les organisations canadiennes et offrent une option pour les auteurs de cybermenace CybermenaceEntité malveillante qui utilise Internet pour profiter d’une vulnérabilité connue en vue d’exploiter un réseau et l’information qu’il contient. qui leur permet de mener une attaque directe contre les réseaux d’une organisation.

À titre de propriétaire d’une organisation, avez-vous déjà songé au type d’information que vous fournissez à votre chaîne d’approvisionnement? Savez-vous comment vos fournisseurs gèrent et stockent vos informations? Vous avez tout intérêt à poser ces questions et d’autres questions afin de protéger votre organisation. En plus d’être coûteuses à éradiquer, les cybermenaces peuvent mettre en péril votre organisation et sa réputation.

Sur cette page

• Risques pour votre chaîne d’approvisionnement
• Vérifier si votre chaîne d’approvisionnement est vulnérable
• Évaluer votre chaîne d’approvisionnement
• Résoudre les préoccupations en matière de sécurité des TI
• Créer des processus de sécurité pour la chaîne d’approvisionnement
• Renseignements supplémentaires

Risques pour votre chaîne d’approvisionnement

Vous pensez peut-être que votre petite ou moyenne organisation ne représente pas une cible pour les auteurs de menace, mais elle pourrait bien l’être. Toute organisation, peu importe sa taille, détient de l’information qui en faire une cible attrayante pour les auteurs de cybermenace. Les petites et moyennes organisations peuvent utiliser du matériel ou des logiciels qui doivent être remplacés ou mis à jour, car ils sont vulnérables aux attaques d’auteurs de menace qui cherchent des cibles faciles.

Les auteurs de menace peuvent cibler votre chaîne d’approvisionnement, en particulier si votre organisation :

• recueille des renseignements de ses clientes et clients, comme :
  • des noms,
  • des adresses,
  • des numéros de téléphone,
  • des adresses courriel,
  • des dates de naissance;
• a des secrets commerciaux ou toute autre propriété intellectuelle;
• a des concurrents intéressés à connaître vos clientes et clients;
• utilise des systèmes de terminaux de point de vente pour l’information relative aux paiements, qui conservent l’information sur les cartes de crédit et les clientes et clients;
• se connecte par l’entremise de sa chaîne d’approvisionnement à d’autres bases de données ou systèmes qui représentent un intérêt pour les auteurs de menace;
• est responsable de systèmes d’infrastructures essentielles qui peuvent devenir la cible d’attaques parrainées par des États.

N’oubliez pas : même si la sécurité de votre organisation est irréprochable, un seul partenaire vulnérable dans votre chaîne d’approvisionnement peut vous mettre à risque, vous et tous les autres partenaires dans la chaîne.

Vérifier si votre chaîne d’approvisionnement est vulnérable

Une chaîne ne peut être plus forte que son maillon le plus faible. Vous devriez vous attarder sur les risques de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. dans votre chaîne d’approvisionnement et la confiance que vous pouvez avoir envers les produits et les services que vous vous procurez, que vous téléchargez ou auxquels vous accédez gratuitement. Lorsque vous prenez le temps de comprendre et de protéger votre chaîne d’approvisionnement, vous réduisez la possibilité que des auteurs de menace mettent la main sur votre information de nature délicate. En contrepartie, les clientes et clients seront plus à l’aise de collaborer avec votre organisation, puisqu’ils sauront que des mesures ont été prises pour sécuriser leur information.

Évaluer votre chaîne d’approvisionnement

La première étape pour assurer la sécurité d’une chaîne d’approvisionnement est de connaître les fournisseurs qui ont accès à vos données et qui appuient les activités essentielles de votre organisation. Vous devez adopter une approche différente selon le fournisseur. Le fait de connaître vos fournisseurs vous aidera à chercher les faiblesses dans votre chaîne d’approvisionnement. Vous pourriez découvrir des vulnérabilités dans l’équipement et les appareils de technologies de l’information (TI) ou de technologie opérationnelle (TO). Vous découvrirez peut-être que d’autres aspects de votre chaîne d’approvisionnement sont vulnérables, comme les contrôles d’accès aux lieux ou aux systèmes, le transport et la source des produits.

Créez-vous un répertoire de toutes les parties tierces avec lesquelles votre organisation interagit, y compris les vendeurs, les entrepreneures ou entrepreneurs et les fournisseurs de services. Envisagez de les catégoriser ou de les classer selon leur importance pour les activités de votre organisation. Par exemple, un fournisseur crucial qui vous fournit des composantes essentielles aurait de plus grandes répercussions qu’un fournisseur de services non essentiels.

Au moment d’évaluer votre chaîne d’approvisionnement, considérez d’abord les mesures suivantes :

• Évaluez le type d’information que vous transmettez aux fournisseurs et aux entrepreneures et entrepreneurs;
• Sachez ce que vous devez protéger, comme les actifs organisationnels, l’information de nature délicate;
• Ayez conscience des cybermenaces qui pourraient viser votre entreprise et établissez des mesures de contrôle de sécurité en fonction de votre environnement de menace précis.
• Sachez qu’il peut survenir du trafiquage ou que des pièces de remplacement non autorisées peuvent être installées au moment de :
  • procéder à l’entretien ou à la réparation d’équipement,
  • faire livrer ou de recevoir du nouvel équipement;
• Comprenez que les activités malveillantes, y compris l’installation secrète d’un logiciel non autorisé, peuvent survenir au moment d’installer, de mettre à jour ou de désinstaller un logiciel.
• Méfiez-vous des produits contrefaits vendus par des revendeurs non officiels et procurez-vous toujours du matériel et des logiciels auprès de vendeurs approuvés par le fabricant.
• Veillez à ce que seul du personnel de confiance ait accès aux données de nature délicate, comme les secrets commerciaux, l’information financière et les renseignements personnels;
• Exigez et évaluez le plan de sécurité dans les installations du fournisseur si vous avez l’intention d’entreposer des dispositifs ou de stocker de l’information de nature délicate hors site.

Résoudre les préoccupations en matière de sécurité des TI

Collaborez avec votre fournisseur de services de TI et les autres fournisseurs pour résoudre vos préoccupations relatives à la chaîne d’approvisionnement. Il pourrait s’agir de l’entreprise qui héberge votre magasin en ligne, l’équipe de services de TI qui maintient votre équipement ou l’entreprise qui vous vend l’équipement de TI. Votre chaîne d’approvisionnement comprend tous les logiciels et tous les services numériques que vous utilisez, notamment les logiciels libres gratuits, les applications mobiles (applis) et les modèles de tableurs.

Vous pourriez poser les questions suivantes à vos fournisseurs :

• Quelles mesures prenez-vous afin de protéger les données de la clientèle?
• Comment chiffrez-vous les données?
• Où stockez-vous l’information de la clientèle : le nuage, sur place, sur un ordinateur portable?
• Quelle connexion permanente avez-vous avec le matériel et les logiciels de notre organisation?
• Combien de temps conservez-vous l’information et comment la détruisez-vous?
• Transmettez-vous de l’information à des tiers?
• Comment protégez-vous votre réseau et vos dispositifs contre les attaques?
• Comment vous assurez-vous que les logiciels sont à jour et comment gérez-vous les vulnérabilités connues?
• Quelle est votre stratégie de reprise après sinistre?
• Respectez-vous les règlements concernant les données que vous traitez et détenez-vous les certifications nécessaires?
• Combien de temps prenez-vous à apporter les correctifs de sécurité et les mises à jour si des vulnérabilités sont découvertes?
• M’informerez-vous s’il y a un cyberévénement? Le cas échéant, en combien de temps?

Créer des processus de sécurité pour la chaîne d’approvisionnement

Votre organisation aurait tout intérêt à créer des processus clairs pour éviter les problèmes de sécurité qui découleraient de votre chaîne d’approvisionnement. Ces processus devraient comprendre les mesures suivantes :

• établir des exigences minimales de sécurité avec vos fournisseurs;
• accorder la priorité aux considérations liées à la sécurité dans le cas de deux solutions présentant des coûts et des fonctions comparables;
• ajoutez des clauses au contrat pour tenir compte des risques de base liés à la chaîne d’approvisionnement au moment de passer un contrat pour l’achat de produits et services susceptibles d’avoir une incidence sur votre infrastructure ou vos données;
• stipulez que le fournisseur doit informer votre organisation selon une échéance précise en cas d’incident de sécurité ou de découverte d’une vulnérabilité;
• intégrez des activités d’assurance comme des audits internes et des évaluations des risques dans votre stratégie de gestion de la chaîne d’approvisionnement;
• examinez la sécurité de votre chaîne d’approvisionnement à mesure que votre organisation évolue;
• évaluez les entrepreneures et entrepreneurs et les fournisseurs continuellement pour vous assurer qu’ils satisfont toujours à vos exigences de sécurité;
• tenez compte de l’origine et des implications associées à la propriété étrangère dans votre approvisionnement;
• communiquez régulièrement avec les fournisseurs;
• encouragez la sensibilisation et l’amélioration continue relativement à la sécurité de votre chaîne d’approvisionnement;
• soyez au fait des cyberattaques les plus récentes et les plus courantes et préparez un plan d’intervention qui comprend des exercices de simulation;
• refaites régulièrement le filtrage de sécurité de votre personnel et formez-le de nouveau sur les mesures essentielles en matière de cybersécurité dans la chaîne d’approvisionnement;
• veillez à ce que vos systèmes soient toujours à jour en apportant les plus récents correctifs de sécurité qui protègent contre les cyberattaques et les menaces à la sécurité;
• utilisez des parties tierces pour évaluer vos fournisseurs essentiels;
• créez des plans de gestion de l’obsolescence des produits fournis.

Renseignements supplémentaires

• La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)
• Protection de l’information de grande valeur : Conseils pour les petites et moyennes organisations (ITSAP.40.001)
• Les meilleures mesures pour renforcer la cybersécurité des petites et moyennes entreprises (ITSAP.10.035)
• Mesures de cybersécurité de base à l’intention des petites organisations (ITSAP.10.300)
• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• La cybermenace provenant des chaînes d’approvisionnement