Diversification des fournisseurs (ITSAP.10.006)

Diversification des fournisseurs

La diversification des fournisseurs fait référence à la stratégie visant à faire appel à une vaste gamme de fournisseurs et de solutions complémentaires. L’objectif de cette stratégie est d’atténuer les risques associés à une trop grande dépendance par rapport à un fournisseur en particulier ou à une pile technologique. Cette approche, aussi appelée « diversité des fournisseurs », exige que les organisations fassent ce qui suit :

• évaluer les forces et les faiblesses des solutions;
• évaluer les risques liés à la confiance des fournisseurs;
• déterminer la criticité pour les fonctions opérationnelles (par exemple, le point de défaillance unique [PDU] ou l'analyse du chemin de criticité);
• identifier les fonctions essentielles exposées à des fournisseurs à haut risque;
• mettre en œuvre des mesures pour atténuer les risques connexes.

Dans ce contexte, un fournisseur à haut risque comprend tout fournisseur ou fournisseur de services dont l'évaluation a déterminé qu'il posait un risque important pour votre organisation. La compromission d'un fournisseur à haut risque aura une incidence sur la sécurité des systèmes d'information et les fonctions opérationnelles essentielles de votre organisation.

L'objectif de la diversification des fournisseurs est de développer des architectures résilientes et d'optimiser les décisions en matière d'approvisionnement afin de favoriser une posture de cybersécurité robuste. Cela contribuera à protéger votre organisation contre certains risques, notamment :

• des échecs inattendus sur le plan des activités;
• des perturbations géopolitiques;
• un blocage de fournisseur;
• des zones de vulnérabilité dans les outils de détection des menaces.

Un autre avantage de la diversification de vos fournisseurs est que votre organisation aura accès à un large éventail de solutions en fonction des forces du fournisseur, tout en profitant également d'une couche additionnelle de protection contre des vulnérabilités émanant d'un seul écosystème.

Équilibrer la diversité et la complexité

Bien que la diversification soit essentielle pour le développement d'architectures résilientes, la gestion de multiples fournisseurs, de contrats, d'infrastructures de réseau et d'équipes opérationnelles pourrait se compliquer davantage. Maintenir de nombreux produits et relations peut également amener des défis sur le plan de l'interopérabilité. Si la diversification n'est pas mise en œuvre et gérée adéquatement, cela peut se traduire par des problèmes opérationnels et des coûts plus élevés.

Par conséquent, nous recommandons une approche qui évalue en permanence les résultats en matière de conception par rapport aux objectifs de la mission. L'objectif est d'établir et d'exploiter une architecture sécurisée, résiliente et robuste tout en évitant les risques associés à une collecte ingérable de solutions de sécurité d'entreprise disparates.

Pourquoi la diversification des fournisseurs est-elle essentielle?

La diversification des fournisseurs est importante parce qu'elle :

• évite le PDU
  • particulièrement lorsque le fait de s'en remettre à un seul fournisseur ou à une seule pile technologique entraîne un PDU
  • si une seule solution prend en charge plusieurs biens essentiels à la mission, une vulnérabilité ou une compromission dans le système peut avoir de graves répercussions et créer des réactions en chaîne dans l'ensemble de l'environnement de votre organisation
  • la diversification, ainsi que la défense en profondeur et l’hétérogénéité, peut aider à atténuer les risques connexes
• empêche beaucoup d'attaques automatisées
  • le rançongiciel-service et d'autres types d'attaques par script ou automatisées exploitent un ensemble limité et spécifique de vulnérabilités
  • trouver des vulnérabilités dans l'ensemble des piles technologiques et les intégrer en tant qu'événements imprévus dans un maliciel automatisé peut s'avérer être un investissement trop important pour de nombreux auteurs de menace opérant avec un niveau de sophistication faible
• réduit un blocage de fournisseurs
  • votre organisation pourrait avoir un pouvoir de négociation moindre avec les fournisseurs si elle dépend de manière excessive d'un seul fournisseur
  • la diversification vous permet de choisir des solutions optimales pour des couches de sécurité précises et elle offre une souplesse quant au choix des fournisseurs requis
• fournit des capacités spécialisées et améliorées
  • différents fournisseurs possèdent des secteurs particuliers de spécialisation et de capacités techniques
  • en faisant appel à un ensemble varié de fournisseurs, votre organisation peut profiter d'une vaste gamme de capacités spécialisées pouvant atténuer un éventail plus large de menaces
  • en optant pour différentes solutions de fournisseur, votre organisation peut profiter des différences entre les cycles de mise à jour des menaces pour intervenir et se défendre contre les menaces du jour zéro ou les menaces émergentes (par exemple, votre solution de défense en matière de protection des frontières [pare-feu ou système de prévention d'intrusion] peut accélérer le processus des mises à jour relatives aux menaces pour résoudre une vulnérabilité du jour zéro par rapport à ce qu'offre votre fournisseur de solutions d'antivirus de terminaux ou de prévention des menaces aux terminaux)
• renforce la résilience de l'écosystème contre les attaques
  • un écosystème de fournisseurs diversifié ajoute une couche additionnelle d'imprévisibilité, ce qui fait en sorte qu'il est plus difficile pour les auteurs de menace de cibler votre environnement
  • les activités de gestion d'entreprise peuvent apporter des charges additionnelles, mais elles peuvent aussi agir comme couche de défense pour améliorer la redondance du réseau et renforcer les capacités de détection des cybermenaces
• augmente les occasions de détection des menaces
  • la diversification permet non seulement d'accroître le facteur de travail pour que les auteurs de menace puissent découvrir les biens d'une organisation, mais elle augmente aussi la probabilité qu'un auteur de menace ait à utiliser des techniques additionnelles pour atteindre ses objectifs. Cela peut être très efficace contre les auteurs de menace opérant avec un niveau de sophistication faible et ayant une flexibilité limitée, tout en ralentissant de manière significative les auteurs de menace dotés de moyens sophistiqués et en accordant plus de temps pour la détection

Stratégies clés pour la mise en œuvre

La section suivante présente les meilleures stratégies pour mettre en œuvre la diversification des fournisseurs au bénéfice de votre organisation.

Déterminer la catégorisation de la criticité et de la sécurité des biens

Avant de mettre en place des stratégies de diversification, votre organisation devra effectuer une catégorisation de la sécurité pour déterminer les fonctions ou les biens essentiels en fonction de leur incidence ou de leur degré de préjudice à l'égard des objectifs essentiels de l'organisation. Cela aidera à cibler vos mesures de protection et d'atténuation en fonction des éléments qui pourraient mener à l'échec de la mission en cas de compromission. Certains éléments ou services critiques peuvent ne pas être faciles à détecter à l'aide de mécanismes de découverte de réseau types; d'autres facteurs peuvent devoir être pris en considération pour les identifier et les prendre en charge.

Identifier les exigences en matière de désagrégation

Certaines organisations peuvent être soumises à un degré de préjudice plus élevé lorsque leurs biens sont regroupés. La mise en œuvre de stratégies de désagrégation peut réduire l'exposition aux risques. La désagrégation peut suivre des limites naturelles, notamment pour ce qui est d'une opération répartie dans d'autres régions géographiques, d'une voie hiérarchique décentralisée ou d'une indépendance de sous-division (comme pour une unité de combat), ou de la désagrégation de données ou de propriété intellectuelle générée par des équipes. Ces limites peuvent constituer une composante clé des programmes des fournisseurs ou des technologies.

Mettre en œuvre un programme d'évaluation des risques liés aux fournisseurs

Votre organisation devrait mettre en œuvre un programme de gestion permanente des risques liés aux fournisseurs. L'organisation pourra ainsi identifier, évaluer et surveiller les dépendances opérationnelles critiques à l'égard de ses fournisseurs et les relations avec les tiers. Votre organisation devrait aussi identifier les fournisseurs représentant un risque élevé et les services connexes pour recourir à des mesures d'atténuation additionnelles. Les organisations peuvent également songer à demander un outil de suivi des composants logiciels détaillé pour faire le suivi et la surveillance des dépendances liées aux risques dans l'ensemble des applications logicielles exécutées dans leur environnement.

Associer les fournisseurs actuels aux fonctions essentielles

L'organisation doit identifier tous les fournisseurs, entrepreneures et entrepreneurs qui prennent en charge les fonctions essentielles. Elle doit les classer par catégorie en fonction de la criticité du service qu'ils offrent et du niveau d'accès aux activités de l'organisation. Cette façon de procéder révèle les secteurs touchés par une dépendance excessive des fournisseurs et qui pourraient avoir à être diversifiés.

Concevoir et mettre en œuvre une stratégie multifournisseur

L’organisation doit concevoir et reconcevoir de manière stratégique des architectures de système tenant compte de la diversité tout en évitant une trop grande dépendance par rapport à une architecte de solutions en particulier. Il est donc nécessaire d’intégrer des architectures de conception polyvalentes qui peuvent facilement s’adapter à différentes menaces et sont prises en charge par une base diversifiée de fournisseurs. Des scénarios ou des exemples où une diversification peut s’avérer nécessaire comprennent ce qui suit :

• protection des frontières : intégrer une diversité dans des dispositifs qui négocient ou autorisent des flux réseau dans des réseaux internes et externes
  • parmi les exemples, citons les routeurs, les pare-feu de réseau, les pare-feu d'applications Web, les systèmes de détection et de prévention des intrusions et les protections des services Web
  • envisager des solutions provenant d'un éventail varié de fournisseurs qui offrent des capacités de détection dans différents domaines (logiciel, matériel, micrologiciel) et des types de contenu (par exemple, données, fichiers, messages, inspection des paquets et analyse du flux de protocole)
• sécurité de terminaux : s'assurer que les protections de sécurité sur des terminaux permettent d'obtenir des capacités de protection variées contre un code malveillant et des attaques basées sur le système
  • les composants des solutions comprennent, entre autres, des antivirus, des solutions de détection et d'intervention sur les terminaux, la prévention de la perte de données
  • mettre en œuvre des capacités variées (par exemple, détection par heuristique et analyse statique pour identifier un maliciel ou un code malveillant) dans plusieurs couches du système, y compris
    • la plateforme matérielle,
    • les programmes d'amorçage de systèmes d'exploitation (SE),
    • les SE de base,
    • les hyperviseurs,
    • la couche application.
• diversité de l'infrastructure du centre de données : assurer que les services et les dépendances du centre de données sont diversifiés et contractuellement indépendants afin d'apporter des mesures d'atténuation pour contrer les risques sous-jacents liés à la convergence de services
  • assurer que les risques associés à la source principale d'alimentation, à l'alimentation de secours, à la climatisation, à l'approvisionnement en eau, aux infrastructures de communication et au suivi contractuel sont suffisamment isolés
  • de plus, utiliser au moins deux fournisseurs d'accès Internet indépendants qui offrent des boucles fermées avec une infrastructure dorsale isolée

Tenir compte de normes ouvertes et de l'interopérabilité

Pour gérer efficacement un environnement multifournisseur, lorsque la situation le permet, l'organisation doit concevoir des systèmes qui sont indépendants des fournisseurs et basés sur des normes ouvertes pour faciliter l'interopérabilité. Elle doit compléter les outils commerciaux à l'aide de solutions basées sur des normes indépendantes ou de source ouverte pour assurer une meilleure visibilité et résilience. Elle doit également évaluer des solutions de rechange basées sur la capacité de fournir des chemins de livraison multiples, l'accès au code source et à une portabilité des données, entre autres considérations.

Intégrer la diversité aux plans de résilience et d'urgence opérationnels

L'organisation doit adopter une stratégie qui intègre la diversité dans ses architectures de redondance et de reprise liées à la cybersécurité. Elle doit déterminer des plans d'urgence ou d'autres plans pour les contrôles de sécurité les plus essentiels. Les protocoles de basculement et de reprise devraient déterminer les fournisseurs essentiels ainsi que d'autres fournisseurs. Les efforts de diversification doivent s'intégrer aux activités de planification de la résilience pour empêcher que de nouveaux risques imprévus émergent.

Pour en savoir plus

• La cybersécurité et la chaîne d'approvisionnement : évaluera les risques (ITSAP.10.070)
• Cybersécurité de la chaîne d'approvisionnement pour les petites et moyennes organisations (ITSAP.00.070)
• Protéger votre organisation contre les menaces de la chaîne d'approvisionnement des logiciels (ITSM.10.071)
• La cybermenace provenant des chaînes d'approvisionnement
• Boîte à outils des objectifs relatifs à l'état de préparation en matière de cybersécurité intersectoriels
• Gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33) AnnexeG3A - Catalogue des contrôles de sécurité
• Guide sur la catégorisation de la sécurité des services fondés sur l'infonuagique (ITSP.50.103)