Le gouvernement sollicite des commentaires sur la sécurité de la chaîne d’approvisionnement
3 min read
Le gouvernement a dévoilé de nouvelles propositions pour aider les entreprises britanniques à gérer la cybersécurité dans leurs systèmes numériques et tiers Chaînes d’approvisionnement des services informatiques, car de plus en plus de preuves suggèrent que les risques pour la continuité des activités atteignent des sommets sans précédent.
Les chaînes d’approvisionnement étant manifestement menacées par des cyberattaques de grande envergure, une récente vague d’incidents s’est produite violations d’Accellion et Produits Codecov et, sans doute, l’incident de SolarWinds – le Département du numérique, de la culture, des médias et des sports (DCMS) demande des avis sur plusieurs mesures visant à renforcer la sécurité de la chaîne d’approvisionnement.
Des recherches récentes menées par le département suggèrent que seulement 12% des organisations britanniques examinent régulièrement les cyberrisques de leurs fournisseurs immédiats, et que 5% seulement s’attaquent aux vulnérabilités de leur chaîne d’approvisionnement au sens large.
«Il existe une longue histoire d’externalisation des services essentiels», a déclaré le ministre de l’Infrastructure numérique, Matt Warman. «Nous avons vu des attaques telles que« CloudHopper »où des organisations ont été compromises via leur fournisseur de services gérés. Il est essentiel que les organisations prennent des mesures pour sécuriser leurs chaînes d’approvisionnement critiques – et se souviennent qu’elles ne peuvent pas sous-traiter les risques.
«Les entreprises devraient suivre les conseils gratuits du gouvernement. Ils doivent prendre des mesures pour se protéger contre les vulnérabilités et nous devons nous assurer que les kits et services tiers sont aussi sécurisés que possible. Nous recherchons les opinions des entreprises qui achètent et fournissent des services numériques, comme première étape pour déterminer si nous avons besoin de conseils mis à jour ou de règles renforcées.
À cette fin, le Appel à vues sur la cybersécurité de la chaîne d’approvisionnement, qui se déroulera jusqu’au 11 juillet 2021, sollicite des avis à la fois sur les orientations existantes pour la gestion des risques de la chaîne d’approvisionnement – le National Cyber Security Center (NCSC) fournit des conseils sur sécurité de la chaîne d’approvisionnement et assurance des fournisseurs – ainsi que la liaison des fournisseurs de services gérés et d’autres fournisseurs de technologie au 14 Cadre de cyber-évaluation des principes.
Ce cadre comprend plusieurs mesures que les organisations devraient prendre, notamment la mise en œuvre de politiques pour protéger les appareils et arrêter les accès non autorisés, garantir la protection des données au repos et en transit, maintenir des sauvegardes sécurisées et accessibles et former le personnel à une culture de cybersécurité positive.
Le DCMS souhaite également obtenir des commentaires sur des exemples de domaines où la gestion des risques des fournisseurs a été correctement effectuée, en s’appuyant sur les conseils du NCSC.
L’annonce du ministère fait suite au décret présidentiel américain de la semaine dernière, signé par Joe Biden, qui contient propositions de même envergure autour de la sécurisation de la chaîne d’approvisionnement informatique, y compris des normes plus strictes pour le développement de logiciels achetés par le gouvernement américain, et établit une «note» d’hygiène de sécurité pour les solutions logicielles.
Le gouvernement américain a été particulièrement touché par les attaques menées à travers des cas compromis de Plateforme de gestion de réseau Orion de SolarWinds à la fin de 2020, qui a également eu des retombées limitées dans les organisations britanniques.
