Les attaques contre la cha?ne d¡¯approvisionnement constituent l¡¯une des plus grandes menaces actuelles en mati¨¨re de cybers¨¦curit¨¦. Gartner pr¨¦voit que d¡¯ici 2025, auront subi une attaque sur leur cha?ne d¡¯approvisionnement en logiciels, ce qui d¨¦montre la n¨¦cessit¨¦ d¡¯une r¨¦glementation plus stricte en mati¨¨re de cybers¨¦curit¨¦ pour les organisations au sein de l¡¯industrie de la cha?ne de valeur.
R¨¦glementation de la SEC en mati¨¨re de d¨¦clarations sur la cybers¨¦curit¨¦
En r¨¦ponse ¨¤ la menace croissante, le 26 juillet 2023, la (SEC) a adopt¨¦ les r¨¨gles ? Gestion des risques en cybers¨¦curit¨¦, strat¨¦gie, gouvernance et signalement des incidents ?, qui seront effectives ¨¤ partir du 5 septembre 2023.
En vertu de la nouvelle d¨¦cision, les organisations sont tenues de comprendre et de d¨¦montrer de mani¨¨re proactive qu¡¯elles se conforment ¨¤ ces nouvelles obligations en signalant ¨¤ la SEC les incidents importants en mati¨¨re de cybers¨¦curit¨¦. La divulgation des risques et incidents li¨¦s ¨¤ la cybers¨¦curit¨¦ aux investisseurs, ainsi qu¡¯¨¤ d¡¯autres acteurs du march¨¦ lorsque leurs services de conseil sont affect¨¦s de mani¨¨re significative, est ¨¦galement une exigence.
Impact sur les cha?nes d¡¯approvisionnement
En raison du nombre croissant d¡¯atteintes ¨¤ la s¨¦curit¨¦ des fournisseurs tiers, les entreprises doivent imp¨¦rativement comprendre leur cha?ne d¡¯approvisionnement et les risques qu¡¯une attaque peut repr¨¦senter pour leur organisation. Le non-respect de ces r¨¦glementations peut exposer les organisations ¨¤ des cybermenaces potentielles, ¨¤ des risques pour leur r¨¦putation et ¨¤ des cons¨¦quences juridiques.
Les exigences des r¨¨gles propos¨¦es peuvent ¨ºtre r¨¦parties en trois grandes cat¨¦gories et initiatives de contr?le :
- Politiques et proc¨¦dures de gestion des risques de cybers¨¦curit¨¦ et alignement sur un cadre connexe pour garantir que les contr?les d¡¯acc¨¨s, la s¨¦curit¨¦ des r¨¦seaux et des infrastructures, la gestion des vuln¨¦rabilit¨¦s, la r¨¦ponse aux incidents et d¡¯autres domaines sont coh¨¦rents dans l¡¯ensemble de l¡¯organisation et de sa cha?ne d¡¯approvisionnement.
- Signaler ¨¤ la SEC des incidents importants en mati¨¨re de cybers¨¦curit¨¦
- Divulgation des risques et incidents li¨¦s ¨¤ la cybers¨¦curit¨¦
Implications
Les implications de la r¨¨gle diff¨¨rent selon qu¡¯une organisation est ou non sur la liste de la SEC.
- Organisations sur la liste de la SEC : Le respect de cette r¨¨gle implique un changement important dans leur approche de la cybers¨¦curit¨¦ et de la gestion des risques num¨¦riques, d¨¦passant les limites traditionnelles des fonctions informatiques et technologiques. Les entreprises sur la liste de la SEC sont susceptibles d¡¯¨ºtre tr¨¨s pr¨¦occup¨¦es par la profondeur de leur cha?ne d¡¯approvisionnement, qui pourrait r¨¦v¨¦ler des faiblesses en mati¨¨re de cybers¨¦curit¨¦ r¨¦sultant de transactions avec des entreprises qui ne le sont pas et qui fournissent des services essentiels ¨¤ l¡¯entreprise.
- Organismes qui ne sont pas sur la liste de la SEC : Le risque le plus important pour ces entreprises sera d¡¯identifier les clients inscrits sur la liste de la SEC auxquels des services importants sont fournis. Lorsque des faiblesses existent ou sont suspect¨¦es, on s¡¯attend ¨¤ ce que les organisations sur la liste de la SEC cherchent ¨¤ imposer des garanties, des responsabilit¨¦s et des indemnit¨¦s tout au long de leur cha?ne d¡¯approvisionnement afin de se prot¨¦ger contre le non-respect des r¨¨gles de la SEC.
Les cons¨¦quences potentielles de la non-conformit¨¦ comprennent les sanctions financi¨¨res impos¨¦es par la SEC, l¡¯augmentation des co?ts de conformit¨¦ si l¡¯organisation choisit d¡¯¨ºtre r¨¦active plut?t que proactive sur la question, et le co?t du temps et des efforts n¨¦cessaires pour rem¨¦dier aux probl¨¨mes de divulgation apr¨¨s coup. Il est recommand¨¦ aux organisations de d¨¦montrer proactivement leur conformit¨¦ afin d¡¯¨¦viter ces cons¨¦quences potentielles.
Lisez-en davantage sur ce sujet et les principales implications pour les organisations : ? Les r¨¨glements de la SEC et leur impact ?. Pour plus d¡¯informations sur la cha?ne d¡¯approvisionnement de Tony Pelli, lisez ? ?valuation du risque du C-TPAT : pourquoi c¡¯est important ? et ? Les directives de s¨¦curit¨¦ C-TPAT : protection de la cha?ne d¡¯approvisionnement mondiale ?. Pour en savoir plus sur d¡¯autres sujets li¨¦s ¨¤ la confiance num¨¦rique, ¨¤ la confidentialit¨¦, ¨¤ la s¨¦curit¨¦ de l¡¯information et ¨¤ l¡¯environnement, ¨¤ la sant¨¦ et ¨¤ la s¨¦curit¨¦ qui devraient figurer en t¨ºte de liste de votre organisation, visitez le Coin des experts de BSI.
