L’Institut national des normes et de la technologie (NIST) a publié jeudi une mise à jour des directives de cybersécurité pour la gestion des risques dans la chaîne d’approvisionnement, car elle apparaît de plus en plus comme un vecteur d’attaque lucratif. « Cela encourage les organisations à considérer les vulnérabilités non seulement d’un produit fini qu’elles envisagent d’utiliser, mais aussi de ses composants – qui peuvent avoir été développés ailleurs – et du chemin parcouru par ces composants pour atteindre leur destination », a déclaré le NIST dans un communiqué. La nouvelle directive décrit les principaux contrôles et pratiques de sécurité que les entités doivent adopter pour identifier, évaluer et répondre aux risques à différentes étapes de la chaîne d’approvisionnement, y compris la possibilité de fonctionnalités malveillantes, de failles dans les logiciels tiers, l’insertion de matériel contrefait et mauvaises pratiques de fabrication et de développement.

Le développement fait suite à un décret exécutif publié par le président américain sur « l’amélioration de la cybersécurité de la nation (14028) » en mai dernier, obligeant les agences gouvernementales à prendre des mesures pour « améliorer la sécurité et l’intégrité de la chaîne d’approvisionnement des logiciels, en accordant la priorité aux logiciels critiques. . »

Cela survient également alors que les risques de cybersécurité dans la chaîne d’approvisionnement sont passés au premier plan ces dernières années, en partie aggravés par une vague d’attaques ciblant des logiciels largement utilisés pour violer simultanément des dizaines de fournisseurs en aval. Selon le paysage des menaces pour les attaques de la chaîne d’approvisionnement de l’Agence de l’Union européenne pour la cybersécurité (ENISA), 62 % des 24 attaques documentées de janvier 2020 au début de 2021 se sont avérées « exploiter la confiance des clients dans leur fournisseur ». « La gestion de la cybersécurité de la chaîne d’approvisionnement est un besoin qui est là pour rester », a déclaré Jon Boyens du NIST et l’un des auteurs de la publication. « Si votre agence ou votre organisation n’a pas commencé, il s’agit d’un outil complet qui peut vous faire passer de l’exploration à la marche à la course, et il peut vous aider à le faire immédiatement. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *