P.I.L.O.T.E

3 min de lecture

3.6 Risques de la chaîne d’approvisionnement (GV.SC)

Objectif de la catégorie

Cette catégorie vise à identifier, gérer, surveiller et améliorer les risques cybersécurité liés aux fournisseurs, prestataires et partenaires tout au long du cycle de vie des produits ou services.

Danger

La chaîne d’approvisionnement est aujourd’hui l’un des vecteurs d’attaque les plus critiques et complexes à sécuriser.

GV.SC-01 : Établissement du programme SCRM (Cyber Supply Chain Risk Management)

  • Définir une stratégie formelle de gestion des risques fournisseurs :
    • Objectifs et périmètre
    • Rôles et responsabilités (juridique, achats, SSI)
    • Politique et procédure de gestion des tiers
  • Le programme doit être validé au niveau direction.

GV.SC-02 : Rôles et responsabilités internes et externes

  • Documenter les responsabilités de chaque acteur :
    • Internes : RSSI, achats, juridiques, DPO, DSI
    • Externes : fournisseurs, sous-traitants, partenaires
  • Intégrer dans les contrats les clauses SSI et obligations de coopération en cas d’incident.

GV.SC-03 : Intégration du SCRM dans les processus SSI

  • Le SCRM ne doit pas être isolé :
    • Intégré dans les analyses de risque globales
    • Lié au plan de continuité, gestion de crise, gouvernance
  • Audit régulier de la cohérence des pratiques.

GV.SC-04 : Identification et priorisation des fournisseurs critiques

  • Maintenir un référentiel des fournisseurs, avec une classification par criticité :
    • Accès aux données sensibles ?
    • Hébergement de SI critiques ?
    • Impact sur la continuité d’activité ?
  • Cette criticité détermine les exigences contractuelles et les contrôles à appliquer.

GV.SC-05 : Intégration des exigences dans les contrats

  • Clauses types à inclure :
    • Confidentialité, disponibilité, audits SSI
    • Notification d’incident
    • Test de continuité
  • Validation juridique + SSI + achats obligatoire avant signature.

GV.SC-06 : Due diligence avant contractualisation

  • Évaluer les fournisseurs avant signature :
    • Questionnaire de sécurité
    • Analyse documentaire
    • Certification (ISO 27001, HDS, SecNumCloud…)
    • Références clients

GV.SC-07 : Suivi continu des risques fournisseurs

  • Mise à jour régulière des fiches fournisseurs
  • Surveillance des incidents, alertes CSIRT, revues de performance
  • Réévaluation annuelle des risques fournisseurs critiques

Bug

Beaucoup d’organisations ne réévaluent jamais leurs sous-traitants après contrat.

GV.SC-08 : Intégration dans les plans de réponse et reprise

  • Les fournisseurs doivent être intégrés dans :
    • Les plans de gestion de crise
    • Les exercices de simulation
    • Les tests de restauration ou PRA
  • Communication anticipée des rôles et responsabilités.

GV.SC-09 : Suivi des pratiques de sécurité sur tout le cycle de vie

  • Vérification :
    • Lors de la conception
    • Pendant l’exploitation
    • En phase de retrait (déréférencement, nettoyage, purge des accès…)

GV.SC-10 : Prévision des activités post-contrat

  • Les contrats doivent inclure des clauses de fin de prestation :
    • Retour ou destruction des données
    • Suppression des accès
    • Transfert sécurisé vers un nouveau prestataire

Synthèse opérationnelle

ÉlémentBonnes pratiques
Cartographie des tiersRéférentiel fournisseurs avec criticité
Contrats SSIClauses standardisées, validées par le RSSI
Suivi post-signatureRevue annuelle, revues de performance
Intégration SSIFournisseurs inclus dans PRA et gestions de crise
Fin de contratProcédures formelles de sortie fournisseur

Vue Graphique