Le National Institute of Standards and Technology (NIST) a publié des directives actualisées sur la sécurisation de la chaîne d’approvisionnement contre les cyberattaques.
Depuis 2020, le NIST a publié deux projets de documents sur la manière dont l’entreprise peut mieux se défendre contre les attaques de la chaîne d’approvisionnement.
Aujourd’hui, en réponse à Décret exécutif 14028 : Améliorer la cybersécurité de la nationle NIST a publié ‘Pratiques de gestion des risques de la chaîne d’approvisionnement en cybersécurité pour les systèmes et les organisations‘ pour fournir des conseils sur l’identification et la réponse aux risques de cybersécurité de la chaîne d’approvisionnement.
« La gestion de la cybersécurité de la chaîne d’approvisionnement est un besoin qui est là pour rester », a déclaré Jon Boyens du NIST, l’un des auteurs de la publication. « Si votre agence ou votre organisation n’a pas commencé, il s’agit d’un outil complet qui peut vous faire passer de l’exploration à la marche à la course, et il peut vous aider à le faire immédiatement. »
Le document est une longue lecture, pesant 326 pages, mais comprend des informations précieuses sur les risques de la chaîne d’approvisionnement, de l’évaluation du contrôle étranger sur le développement d’un logiciel/produit aux risques associés à l’utilisation de fournisseurs de services informatiques externes.
Source : NIST
« Cela a à voir avec la confiance et la confiance », a déclaré Angela Smith du NIST, spécialiste de la sécurité de l’information et autre auteur de la publication. « Les organisations doivent avoir une plus grande assurance que ce qu’elles achètent et utilisent est digne de confiance. Ces nouvelles directives peuvent vous aider à comprendre les risques à rechercher et les mesures à envisager pour y répondre. »
En raison de la longueur et de la complexité du document, le NIST prévoit de publier un guide de démarrage rapide pour aider les organisations qui commencent tout juste leurs efforts C-SCRM (Gestion des risques de la chaîne d’approvisionnement en cybersécurité).
Les attaques de la chaîne d’approvisionnement deviennent des cibles de plus en plus populaires pour les acteurs de la menace, car elles leur permettent de compromettre un seul produit et d’avoir un impact sur de nombreuses entreprises en aval qui l’utilisent.
La gravité des attaques de la chaîne d’approvisionnement a été démontrée dans des scénarios réels lorsque les acteurs de la menace ont compromis SolarWinds pour infecter les clients en aval, le logiciel MSP de Kaseya a été utilisé pour chiffrer plus d’un millier d’entreprises et comment les modules npm ont été utilisés pour exécuter des commandes à distance.
Ces attaques ont eu des conséquences généralisées pour de nombreuses organisations simplement en compromettant une source unique, illustrant la nécessité pour l’entreprise d’ajouter des protections contre les attaques de la chaîne d’approvisionnement.