À quel point votre chaîne d’approvisionnement est-elle exposée aux cyberattaques? À la suite de récentes compromissions sur les réseaux fédéral et privés, les organismes de réglementation posent précisément cette question. Récemment, le gouvernement fédéral a commencé à y répondre en imposant de nouvelles obligations qui auront non seulement une incidence immédiate et directe sur les secteurs cibles, mais qui fera probablement la promotion d’une culture axée sur la conformité dans tous les secteurs d’activité.
Des règles, des directives et des règlements nouveaux sont mis en œuvre pour établir de nouvelles normes en matière de défense contre les incidents liés à la cybersécurité, ainsi que pour y répondre et les déclarer. Nous décrirons ici ce qui a contribué à la création de certains règlements. Bon nombre de ces règlements visent précisément les organismes fédéraux, mais ils offrent également un aperçu de ce à quoi le secteur privé pourrait s’attendre. Comme toujours, les organisations devraient régulièrement s’entretenir avec leurs conseillers juridiques et réglementaires pour surveiller les exigences et l’évolution liée à la cybersécurité.
Reconstruire la chaîne d’approvisionnement de la cybersécurité
La brèche de sécurité SolarWinds, découverte en décembre dernier, a mis en évidence une importante compromission des systèmes fédéraux. D’autres analyses ont révélé que la vulnérabilité remontait à près d’un an. La vulnérabilité de Microsoft Exchange Server, découverte peu après, a révélé une deuxième intrusion au cœur des secteurs public et privé.
Ces événements ont exigé une réponse. En mai, le président Joe Biden a signé un décret-loi qui redéfinit ambitieusement les exigences en matière de cybersécurité des contrats fédéraux. Les nouvelles exigences visent précisément les entrepreneurs fédéraux engagés par le gouvernement des États-Unis. Cependant, les répercussions devraient résonner bien au-delà, car les organismes de réglementation étatique et sectorielle pourraient avoir à respecter des exigences similaires, et le secteur privé pourrait adopter ces réglementations comme pratiques exemplaires et mettre en œuvre des exigences contractuelles similaires.
Ainsi, chaque entreprise devrait prendre note de ces exigences en matière de cybersécurité.
Parmi les directives du décret-loi, les organismes fédéraux doivent :
Accorder la priorité à certaines pratiques de sécurité, comme établir un modèle à vérification systématique, la détection et l’intervention en matière de points d’extrémité à l’échelle du gouvernement, l’authentification multifactorielle et le chiffrement des données au repos et en transit.
- Développer des pratiques exemplaires en matière de codage et exiger une attestation pour confirmer le respect de ces normes.
- Définir les exigences relatives aux tests du code des logiciels, y compris l’utilisation d’outils automatisés et les tests de pénétration.
- Tirer parti de l’utilisation de l’infonuagique sécurisée.
- Identifier les logiciels les plus importants et les contrôles de sécurité associés.
- Proposer un programme d’étiquetage des produits de consommation qui évalue la sécurité des dispositifs d’Internet des objets (IdO).
- Officialiser les plans d’intervention en cas d’incident à l’échelle du gouvernement.
De plus, les organisations devront transmettre l’information concernant les cybermenaces et coopérer avec les agences fédérales pendant les enquêtes, adopter les pratiques de sécurité recommandées pour le développement de logiciels, respecter les exigences de base pour consigner les activités dans un réseau et fournir une nomenclature logicielle qui divulguera les composants utilisés pour fabriquer des produits technologiques.
Enfin, le nouveau décret-loi établit un Comité d’examen de la cybersécurité pour étudier les cyberincidents importants qui ont touché le gouvernement et l’industrie et faire des recommandations. Les enquêtes menées par le conseil d’administration exigeront une transparence complète et un partage de renseignements en temps réel, et pourraient établir la nouvelle norme concernant les attentes des organismes de réglementation après une brèche.
Exclusion de fournisseurs de technologies de cybersécurité
En plus de renforcer les contrôles de réseau, le gouvernement et l’industrie vont également commencer à examiner de plus près les fournisseurs de technologies utilisées pour construire ces réseaux. En mars, le Département du commerce des États-Unis a émis une réglementation provisoire qui lui permet de rejeter les contrats d’approvisionnement en technologies et en services de communication de l’information lorsque le fournisseur provient d’une « nation adverse » désignée.
En vertu de la réglementation provisoire, le Département du commerce des États-Unis pourrait interdire aux entreprises d’acheter certaines technologies provenant de sources soupçonnées d’intégrer délibérément des vulnérabilités de sécurité dans les réseaux.
1. La réglementation s’applique actuellement à plusieurs secteurs d’activité, notamment les communications, l’énergie, la fabrication, les services financiers, le transport, l’agriculture, les technologies de l’information et dans toutes les secteurs où l’on peut trouver une « infrastructure essentielle ».
2. Plusieurs fournisseurs de technologies et de services de communication de l’information feront l’objet d’un examen, notamment :
- Réseaux locaux sans fil.
- Réseaux mobiles.
- Satellites.
- Points d’accès aux réseaux filaires.
- Systèmes de réseautage de base.
- Hébergement de données ou services informatiques ayant une incidence sur les données personnelles sensibles.
- Capteurs connectés à Internet.
- Caméras Web.
- Dispositifs de surveillance des points d’extrémité.
- Logiciels conçus principalement pour faciliter les communications Internet, intégrés à l’intelligence artificielle et à l’apprentissage automatique, à l’informatique quantique, aux systèmes autonomes ou à la robotique avancée.
3. La réglementation provisoire fournit également un pouvoir exorbitant. Actuellement, selon cette réglementation, le Département du commerce des États-Unis pourrait « enquêter, modifier, bloquer ou révéler des transactions visées impliquant certains adversaires étrangers désignés pour des motifs de sécurité nationale ». De plus, le Département du commerce des États-Unis peut examiner « toute acquisition, importation, transfert, installation, transaction ou utilisation » de technologie sous-jacente, et peut inclure des activités comme les services gérés, la transmission de données, les mises à jour logicielles, les réparations ou les applications de plateformes ou d’hébergement de données.
Bien que le Département du commerce des États-Unis puisse toujours réviser cette réglementation, les entreprises d’infrastructure essentielle et les fournisseurs aux organismes fédéraux devraient s’attendre à un examen plus rigoureux concernant les sources de leurs technologies et de leur manière de l’utiliser.
Les règlements propres au secteur peuvent avoir une incidence sur la chaîne d’approvisionnement
La réglementation de l’ensemble du secteur représente des changements majeurs, mais le gouvernement fédéral dispose d’autres outils propres à chaque secteur. Cela a été mis en évidence lorsque le Département de la Sécurité intérieure (DHS) des États-Unis a annoncé que les entreprises de pipeline auraient de nouvelles exigences en matière de déclaration pour les cyberévénements et qu’elles seraient également confrontées à d’autres réglementations informatiques dans un avenir rapproché.
La façon dont le gouvernement réglemente déjà des parties de l’infrastructure essentielle pourrait donner une indication pour l’avenir. Par exemple, la Federal Energy Regulatory Commission (FERC) des États-Unis supervise les services publics avec des actifs qui touchent les systèmes électriques en vrac, conformément aux normes de la Critical Infrastructure Protection (CIP). Ces mesures exigent des entreprises réglementées qu’elles évaluent les risques et qu’elles appliquent les protections appropriées. La FERC a récemment mis à jour ces normes avec des pratiques de cybersécurité pour les systèmes utilisés pour authentifier, restreindre et surveiller l’accès aux actifs essentiels. D’autres organismes sectoriels pourraient suivre cet exemple en adoptant leurs propres normes, semblables à celles de la CIP.
Ce que les organisations peuvent faire maintenant
- Passez en revue les directives gouvernementales existantes
Plus tôt cette année, la National Institute of Standards and Technology (NIST) a publié des directives concernant la chaîne d’approvisionnement, Key Practices in Supply Chain Risk Management: Observations from Industry (Pratiques clés de la gestion des risques de la chaîne d’approvisionnement : observations de l’industrie), pour aider les entreprises à trouver et à fortifier les faiblesses de leur chaîne d’approvisionnement. Parmi les pratiques visant à remédier aux faiblesses en cybersécurité de la chaîne d’approvisionnement, la NIST recommande notamment :
- Faire de la cybersécurité de la chaîne d’approvisionnement un effort à l’échelle de l’entreprise.
- Évaluer la chaîne d’approvisionnement de l’organisation et concentrer la gestion des risques sur les fournisseurs les plus importants.
- Collaborer étroitement avec les fournisseurs.
- Renforcer la résilience informatique.
Les directives de la NIST fournissent également des recommandations pratiques pour mettre en œuvre les pratiques clés. Les organismes de réglementation des secteurs d’infrastructure essentielle comme les soins de santé, le transport et les sciences de la vie pourraient éventuellement adopter des normes similaires en matière de cybersécurité de la chaîne d’approvisionnement.
- Renforcer les examens réglementaires de l’approvisionnement technologique
La plupart des entreprises ont déjà des processus rigoureux pour passer en revue les exigences réglementaires. Ces processus pourraient devoir être revus afin de tenir compte de possibles changements à venir. Par exemple, une entreprise peut utiliser des logiciels fabriqués dans une « nation adverse » désignée en vertu du règlement du Département du commerce des États-Unis, sans qu’aucun règlement n’interdise cette pratique. Les entreprises ne doivent pas seulement surveiller les changements de réglementation et y répondre, mais aussi évaluer leur utilisation de technologies fabriquées à l’étranger qui pourraient être visées par le règlement. Ce faisant, les entreprises pourraient prendre des décisions d’achat qui leur éviteraient des perturbations plus tard.
- Évaluer et déterminer des paramètres pour juger la maturité de la cybersécurité de la chaîne d’approvisionnement
Le développement d’évaluations et de paramètres peut être difficile, mais bientôt il pourrait ne plus être optionnel. Les lignes directrices émises par la Securities and Exchange Commission en 2018 stipulent que les entreprises doivent harmoniser la gestion des cyberrisques avec des catégories particulières de répercussions sur les activités. À la suite des brèches généralisées de la chaîne d’approvisionnement et de l’attention accrue du gouvernement fédéral concernant la cybersécurité de la chaîne d’approvisionnement, les entreprises devraient déterminer si celle-ci est visée par cette directive.
- Élaborer des critères pour évaluer la sécurité des technologies et des services clés en main
Il est recommandé aux entreprises d’utiliser des critères objectifs pour établir un processus qui garantit que la technologie utilisée pour bâtir le réseau répond à leurs normes minimales de sécurité et améliore l’ensemble de leur position en matière de risque. Les entreprises peuvent également tirer parti des directives disponibles. Par exemple, les équipes du programme Cyber Catalyst de Marsh, qui ont des assureurs de premier plan, doivent sensibiliser les assureurs à la façon dont les souscripteurs voient certaines technologies conçues pour gérer les cyberrisques. De plus, les entreprises peuvent tenir compte de programmes gouvernementaux lorsqu’elles évaluent la sécurité de leurs technologies et services. Par exemple, le programme de la Loi sur la sécurité du DHS (DHS SAFETY Act) offre aux entreprises admissibles certaines garanties de responsabilité pour les technologies antiterrorisme approuvées, qui peuvent comprendre des technologies et des produits de cybersécurité.
Regard vers l’avenir
Des changements à la chaîne d’approvisionnement numérique sont à venir. La complexité croissante des cyberattaques contre la chaîne d’approvisionnement va obliger le secteur et le gouvernement à déterminer les pratiques exemplaires en matière de cyberdéfense pour assurer la sécurité de la chaîne d’approvisionnement, ce qui servira de base pour l’élaboration de règlements futurs. Par conséquent, les organisations devront développer des pratiques informatiques qui protègent contre les répercussions d’une attaque et qui peut résister à un examen règlementaire.