Gestion des risques liés à la chaîne d’approvisionnement

Sur cette page

• SR-01 Politique et procédures de gestion des risques liés à la chaîne d’approvisionnement
• SR-02 Plan de gestion des risques liés à la chaîne d’approvisionnement
• SR-03 Contrôles et processus de la chaîne d’approvisionnement
• SR-04 Provenance
• SR-05 Stratégies, outils et méthodes d’acquisition
• SR-06 Évaluations et examens des fournisseurs
• SR-07 Sécurité opérationnelle de la chaîne d’approvisionnement
• SR-08 Ententes de notification
• SR-09 Résistance au trafiquage et détection
• SR-10 Inspection des systèmes ou des composants
• SR-11 Authenticité des composants
• SR-12 Mise hors service des composants

Les contrôles dans la famille Gestion des risques liés à la chaîne d’approvisionnement (SR pour Supply Chain Risk) soutiennent l’atténuation des risques de cybersécurité dans la chaîne d’approvisionnement à tous les niveaux d’une organisation.

SR-01 Politique et procédures de gestion des risques liés à la chaîne d’approvisionnement

Activité

1. Développer, documenter et diffuser à [Affectation : personnel ou rôles définis par l’organisation]
   1. une politique de gestion des risques liés à la chaîne d’approvisionnement (GRCA) [Sélection (un choix ou plus) : au niveau organisationnel; au niveau du processus lié à une mission ou à une activité; au niveau du système] qui
      1. définit l’objectif, la portée, les rôles, les responsabilités, l’engagement de la direction, la coordination entre les entités organisationnelles et la conformité
      2. est conforme aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables
   2. des procédures pour faciliter la mise en œuvre de la politique de GRCA et des contrôles connexes
2. Désigner une ou un [Affectation : responsable désigné par l’organisation] pour gérer l’élaboration, la documentation et la diffusion de la politique et des procédures liées à la GRCA
3. Passer en revue et mettre à jour, par rapport à la GRCA,
   1. la politique actuelle [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]
   2. les procédures [Affectation : fréquence définie par l’organisation] ou à la suite de [Affectation : événements définis par l’organisation]

Discussion

La politique et les procédures de GRCA portent sur les contrôles appartenant à la famille SR, ainsi que sur les contrôles liés à la chaîne d’approvisionnement des autres familles mises en œuvre dans les systèmes et au sein des organisations. La politique de gestion des risques est un facteur important dans l’établissement de telles politiques et procédures. Les politiques et les procédures contribuent à l’assurance de la sécurité et de la protection de la vie privée. Par conséquent, il est important que les programmes de sécurité et de protection de la vie privée collaborent à l’élaboration de la politique et des procédures de GRCA.

En règle générale, les politiques et les procédures liées au programme de sécurité et de protection de la vie privée au niveau organisationnel sont préférables et peuvent éliminer le besoin pour des politiques et des procédures propres à la mission ou au système. La politique peut être intégrée à la politique générale de sécurité et de protection de la vie privée ou, inversement, elle peut être représentée par de multiples politiques tenant compte de la nature complexe de certaines organisations.

Les procédures peuvent être établies pour les programmes de sécurité et de protection de la vie privée, pour les processus liés à la mission ou aux activités, et pour les systèmes, le cas échéant. Les procédures décrivent comment les politiques ou les contrôles sont mis en œuvre et peuvent s’appliquer aux personnes ou aux rôles qui font l’objet de la procédure. Les procédures peuvent être documentées dans les plans de sécurité et de protection de la vie privée du système ou dans un ou plusieurs documents distincts. Les événements qui peuvent précipiter une mise à jour de la politique et des procédures de GRCA comprennent les conclusions d’une évaluation ou d’une vérification, des incidents ou violations de sécurité, et des changements apportés aux lois, aux décrets, aux directives, à la réglementation, aux politiques, aux normes et aux lignes directrices applicables. Répéter les contrôles ne constitue pas une politique ou une procédure organisationnelle.

Contrôles et activités connexes

PM-09, PM-30, PS-08, SI-02 et SI-12.

Améliorations

Aucune.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• CST et GRC, Méthodologie harmonisée d’évaluation des menaces et des risques (EMR-1)
• SCT, Guide de gestion intégrée du risque
• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)
• Sécurité de la chaîne d’approvisionnement pour les petites et moyennes organisations (ITSAP.00.070)
• Sécurité publique Canada, Guide sur la gestion des risques pour les secteurs des infrastructures essentielles

SR-02 Plan de gestion des risques liés à la chaîne d’approvisionnement

Activité

1. Élaborer un plan pour gérer les risques liés à la chaîne d’approvisionnement associés à la recherche, au développement, à la conception, à la fabrication, à l’acquisition, à la livraison, à l’intégration, à l’exploitation, à la maintenance et à l’élimination des systèmes, des composants de systèmes ou des services qui s’y rapportent [Affectation : systèmes, composants de systèmes ou services désignés par l’organisation]
2. Passer en revue et mettre à jour le plan de GRCA [Affectation : fréquence définie par l’organisation] ou au besoin pour tenir compte des changements organisationnels, environnementaux ou en matière de menaces
3. Protéger le plan de GRCA contre les divulgations ou les modifications non autorisées

Discussion

La dépendance aux produits, aux systèmes et aux services de fournisseurs externes, ainsi que la nature des relations avec ces fournisseurs, présente un niveau accru de risque pour une organisation. Les menaces pouvant augmenter les risques liés à la sécurité et à la protection de la vie privée incluent la production non autorisée, la falsification, le trafiquage, le vol, l’insertion de logiciel ou de matériel malveillant et les mauvaises pratiques de fabrication et de développement dans la chaîne d’approvisionnement.

Les risques liés à la chaîne d’approvisionnement peuvent être endémiques ou systémiques d’un élément ou d’un composant, d’un système, d’une organisation, d’un secteur ou du Canada. La gestion des risques liés à la chaîne d’approvisionnement est une tâche complexe à plusieurs facettes nécessitant des efforts coordonnés au sein d’une organisation afin d’établir des relations de confiance et de communiquer avec les parties prenantes internes et externes.

Les activités de GRCA comprennent l’identification et l’évaluation des risques, la détermination des mesures appropriées de réponse aux risques, l’élaboration de plans de GRCA visant à documenter les mesures de réponse et la surveillance du rendement par rapport aux plans. Le plan de GRCA (au niveau du système) vise une mise en œuvre en particulier et fournit la mise en œuvre, les exigences, les contraintes et les implications de la stratégie à ce sujet. Ce plan peut être indépendant ou intégré aux plans de sécurité et de protection de la vie privée du système. Les plans de GRCA portent sur la gestion, la mise en œuvre et la surveillance des contrôles de GRCA ainsi que le développement ou le maintien des systèmes pendant le cycle de développement des systèmes (CDS) à l’appui des fonctions liées à la mission et aux activités de l’organisation.

Puisque les chaînes d’approvisionnement peuvent varier considérablement au sein d’une même organisation et d’une organisation à l’autre, les plans de GRCA sont adaptés aux programmes individuels et aux contextes organisationnels et opérationnels. Les plans de GRCA personnalisés posent les bases nécessaires pour déterminer si une technologie, un service, un composant de système ou un système convient aux fins prévues et s’il faut également adapter les contrôles en conséquence.

Les plans de GRCA sur mesure aident les organisations à concentrer leurs ressources sur les fonctions les plus critiques de la mission et des activités conformément aux exigences liées à la mission et aux activités, ainsi qu’à l’environnement de risque. Les plans de GRCA comprennent une expression de la tolérance de l’organisation aux risques liés à la chaîne d’approvisionnement, les stratégies ou les contrôles d’atténuation des risques acceptables liés à la chaîne d’approvisionnement, un processus visant à évaluer et à surveiller continuellement les risques liés à la chaîne d’approvisionnement, les approches à adopter pour la mise en œuvre et la communication du plan, une description et une justification des mesures d’atténuation prises relativement aux risques liés à la chaîne d’approvisionnement, et les rôles et responsabilités connexes.

Pour finir, les plans de GRCA portent sur les exigences liées au développement de systèmes et de composants de système fiables, sécurisés, résilients et protégeant la protection de la vie privée, ce qui comprend l’application des principes du développement sécurisé mis en œuvre dans le cadre des processus d’ingénierie de la sécurité des systèmes basée sur le cycle de vie (voir le contrôle SA-08).

Contrôles et activités connexes

CA-02, CP-04, IR-04, MA-02, MA-06, PE-16, PL-02, PM-09, PM-30, RA-03, RA-07, SA-08 et SI-04.

Améliorations

• (01) Plan de gestion des risques liés à la chaîne d’approvisionnement : Établissement d’une équipe de GRCA
  • Mettre en place une équipe de GRCA composée de [Affectation : personnel, rôles et responsabilités définis par l’organisation] pour diriger et soutenir les activités de GRCA suivantes : [Affectation : activités de GRCA définies par l’organisation].
  • Discussion : Pour mettre en œuvre les plans de GRCA, les organisations devraient adopter une approche coordonnée axée sur les équipes pour relever et évaluer les risques liés à la chaîne d’approvisionnement et gérer ces risques au moyen de techniques d’atténuation programmatiques et techniques. L’approche axée sur les équipes permet aux organisations de procéder à l’analyse de leur chaîne d’approvisionnement, de communiquer avec des partenaires ou parties prenantes internes et externes, et d’en venir à un consensus quant aux ressources qu’il convient d’utiliser pour la GRCA.
    L’équipe de GRCA se compose du personnel de l’organisation à qui on a attribué différents rôles et différentes responsabilités pour assurer la direction et le soutien des activités de GRCA, ce qui comprend, entre autres, les fonctions liées à la gestion des risques, aux TI, à la passation de marché, à la sécurité de l’information, au respect de la vie privée, à la mission ou aux activités, à la chaîne d’approvisionnement, à la logistique, à l’approvisionnement et à la continuité des activités, ainsi que d’autres fonctions de nature juridique. Les membres de l’équipe de GRCA prennent part à divers aspects du CDS et ont collectivement une connaissance des processus d’acquisition, des pratiques juridiques, des vulnérabilités, des menaces et des vecteurs d’attaque et une expertise dans ces domaines, en plus de comprendre les aspects techniques et les dépendances des systèmes.
    L’équipe de GRCA peut être un prolongement des processus de gestion des risques liés à la sécurité et à la protection de la vie privée ou prendre part à une équipe de gestion des risques de l’organisation.
  • Contrôles et activités connexes : Aucun.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe F : Procédures obligatoires relatives aux mesures de sécurité lors de l’octroi de contrats et d’autres ententes
• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)

SR-03 Contrôles et processus de la chaîne d’approvisionnement

Contrôle

1. Mettre en place un ou plusieurs processus pour relever et corriger les faiblesses ou les lacunes dans les éléments et les processus de la chaîne d’approvisionnement de [Affectation : systèmes ou composants de systèmes désignés par l’organisation] en coordination avec [Affectation : personnel de la chaîne d’approvisionnement désigné par l’organisation]
2. Utiliser les contrôles suivants pour offrir une protection contre les risques liés à la chaîne d’approvisionnement pour les systèmes, les composants de systèmes ou les services qui s’y rapportent ainsi que pour limiter les conséquences ou les dommages potentiels associés aux événements de la chaîne d’approvisionnement : [Affectation : contrôles de la chaîne d’approvisionnement définis par l’organisation]
3. Documenter les processus et les contrôles liés à la chaîne d’approvisionnement qui ont été sélectionnés et mis en œuvre dans [Sélection (un choix) : plans de sécurité et de protection de la vie privée; plan de GRCA; [Affectation : document défini par l’organisation]]

Discussion

Les éléments de la chaîne d’approvisionnement incluent les organisations, les entités ou les outils qui servent à la recherche, au développement, à la conception, à la fabrication, à l’acquisition, à la livraison, à l’intégration, à l’exploitation, à la maintenance et à l’élimination des systèmes et des composants de systèmes. Les processus de la chaîne d’approvisionnement incluent les processus de développement du matériel, des logiciels et des micrologiciels; les procédures d’expédition et de traitement; les programmes de sécurité du personnel et de sécurité physique; les outils, les techniques et les mesures de gestion des configurations pour le maintien de la provenance; ou les autres programmes, processus ou procédures associés au développement, à l’acquisition, à la maintenance et à l’élimination des systèmes et des composants de système.

Les éléments et les processus de la chaîne d’approvisionnement peuvent être fournis par les organisations, les intégratrices et intégrateurs de systèmes ou les fournisseurs externes. Les faiblesses ou les lacunes des éléments ou des processus de la chaîne d’approvisionnement représentent des vulnérabilités potentielles qui peuvent être exploitées par des adversaires afin de nuire à l’organisation et à sa capacité de réaliser sa mission ou ses activités. Le personnel de la chaîne d’approvisionnement se compose de personnes à qui on a attribué des responsabilités ou des rôles au sein de la chaîne d’approvisionnement.

Contrôles et activités connexes

CA-02, MA-02, MA-06, PE-03, PE-16, PL-08, PM-30, SA-02, SA-03, SA-04, SA-05, SA-08, SA-09, SA-10, SA-15, SC-07, SC-29, SC-30, SC-38, SI-07, SR-06, SR-09 et SR-11.

Améliorations

• (01) Contrôles et processus de la chaîne d’approvisionnement : Base d’approvisionnement diversifiée
  • Employer un ensemble diversifié de sources pour les composants de systèmes et les services suivants : [Affectation : composants de systèmes et services désignés par l’organisation].
  • Discussion : Diversifier l’approvisionnement en systèmes, en composants de systèmes et en services peut réduire la probabilité que les adversaires arrivent à identifier et à cibler la chaîne d’approvisionnement et puissent limiter les répercussions d’un événement lié à la chaîne d’approvisionnement ou d’une compromission. Trouver plusieurs fournisseurs pour des composants de remplacement peut réduire la probabilité qu’un composant de remplacement devienne non disponible. Avoir recours à un ensemble diversifié de développeuses et développeurs ou de fournisseurs de services logistiques peut limiter les répercussions d’une catastrophe naturelle ou d’un autre événement lié à la chaîne d’approvisionnement. Les organisations devraient envisager de concevoir le système de manière à inclure du matériel et des composants diversifiés.
  • Contrôles et activités connexes : Aucun.
• (02) Contrôles et processus de la chaîne d’approvisionnement : Limitation des dommages
  • Employer les contrôles suivants pour limiter les dommages pouvant être causés par d’éventuels adversaires qui pourraient identifier et cibler la chaîne d’approvisionnement organisationnelle : [Affectation : contrôles définis par l’organisation].
  • Discussion : Les contrôles que l’on peut mettre en place pour réduire la probabilité que des adversaires arrivent à identifier et à cibler la chaîne d’approvisionnement consistent, notamment, à éviter d’acheter des configurations personnalisées ou non standard, à employer une liste de fournisseurs autorisés qui jouissent d’une réputation durable dans l’industrie, à respecter les calendriers de maintenance prédéterminés et à appliquer les mises à jour et les correctifs aux mécanismes de prestation, à tenir à jour un plan d’urgence en cas d’événement lié à la chaîne d’approvisionnement, à recourir à des mesures exceptionnelles en matière d’approvisionnement qui offrent des exclusions par rapport aux engagements et aux obligations, à utiliser des parcours de distribution diversifiés et à réduire le temps s’écoulant entre la décision d’acheter et la date de livraison.
  • Contrôles et activités connexes : Aucun.
• (03) Contrôles et processus de la chaîne d’approvisionnement : Transfert d’exigences à des sous-traitants
  • S’assurer que les contrôles compris dans les contrats conclus avec les entrepreneurs principaux sont également inclus dans les contrats des sous-traitants.
  • Discussion : Pour gérer efficacement et globalement les risques liés à la chaîne d’approvisionnement, il est important que les organisations s’assurent que les contrôles de GRCA sont inclus à tous les niveaux de la chaîne d’approvisionnement. On doit notamment s’assurer que les principaux fournisseurs ont mis en place les processus nécessaires pour faciliter le transfert d’exigences des contrôles de GRCA aux sous-traitants. Les contrôles sujets à un transfert d’exigences sont abordés dans le contrôle SR-03B.
  • Contrôles et activités connexes : SR-05 et SR-08.

Références

• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)
• Sécurité publique Canada, Guide sur la gestion des risques pour les secteurs des infrastructures essentielles
• SPAC, Manuel de la sécurité des contrats
• ISO 20243-1 Information technology — Open Trusted Technology ProviderTM Standard (O-TTPS)—Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products (en anglais seulement)

SR-04 Provenance

Contrôle

Documenter, surveiller et maintenir une provenance valide des systèmes et des composants de systèmes suivants, ainsi que de leurs données connexes : [Affectation : systèmes et composants de systèmes désignés par l’organisation et données connexes].

Discussion

Tous les systèmes et composants de systèmes ont un point d’origine et peuvent être modifiés au cours de leur existence. La provenance est la chronologie de l’origine, du développement, de la propriété, de l’emplacement et des changements apportés à un système ou à un composant de système, ainsi qu’aux données connexes. Elle peut également comprendre le personnel et les processus utilisés pour interagir avec les systèmes, les composants ou les données connexes, ou pour y apporter des modifications.

Les organisations devraient envisager d’élaborer des procédures (voir le contrôle SR-01) pour affecter les responsabilités liées à la création, au maintien et à la surveillance de la provenance des systèmes et des composants de systèmes, pour transférer la documentation et la responsabilité de la provenance d’une organisation à l’autre et pour prévenir et surveiller les changements non autorisés qui sont apportés aux enregistrements de provenance. Les organisations devraient employer des méthodes pour documenter, surveiller et maintenir des bases de provenance valides pour les systèmes, les composants de systèmes et les données connexes.

Ces mesures aident à suivre, à évaluer et à documenter les changements apportés à la provenance, notamment ceux apportés à la configuration ou aux éléments de la chaîne d’approvisionnement, et permettent de garantir la non-répudiation de l’information relative à la provenance et des enregistrements des changements apportés à la provenance. Les facteurs à considérer relativement à la provenance sont abordés tout au long du cycle de développement des systèmes et intégrés aux contrats et aux autres ententes, le cas échéant.

Contrôles et activités connexes

CM-08, MA-02, MA-06, RA-09, SA-03, SA-08 et SI-04.

Améliorations

• (01) Provenance : Identité
  • Établir et maintenir une identification unique des éléments de la chaîne d’approvisionnement, des processus et du personnel associé au système désigné et aux composants de systèmes essentiels : [Affectation : éléments de la chaîne d’approvisionnement, processus et personnel associé aux systèmes et aux composants de systèmes essentiels désignés par l’organisation].
  • Discussion : Il est essentiel d’être au fait des éléments et des parties prenantes qui font partie de la chaîne d’approvisionnement d’une organisation pour avoir une vue d’ensemble des activités liées à la chaîne d’approvisionnement et de leur nature. Il est également important de maintenir une vue d’ensemble des activités liées à la chaîne d’approvisionnement pour surveiller et relever les événements et les activités comportant un niveau élevé de risque. Sans cette vue d’ensemble des éléments, des processus et des parties prenantes de la chaîne d’approvisionnement, il est difficile pour les organisations de comprendre et de gérer les risques et de les rendre moins susceptibles de faire face à des événements préjudiciables.
    Les éléments de la chaîne d’approvisionnement incluent les organisations, les entités ou les outils qui servent à la recherche, au développement, à la conception, à la fabrication, à l’acquisition, à la livraison, à l’intégration, à l’exploitation, à la maintenance et à l’élimination des systèmes et des composants de systèmes. Les processus liés à la chaîne d’approvisionnement comprennent le processus de développement du matériel, des logiciels et des micrologiciels, les procédures d’expédition et de manutention, les outils, les techniques et les mesures de gestion des configurations permettant d’assurer la provenance; les programmes de sécurité physique et du personnel ou d’autres programmes, procédures ou processus associés à la production et à la distribution d’éléments de la chaîne d’approvisionnement.
    Le personnel de la chaîne d’approvisionnement comprend des personnes dont les rôles et les responsabilités consistent à sécuriser la recherche et le développement, la conception, la fabrication, l’acquisition, la livraison, l’intégration, l’exploitation, la maintenance et l’élimination d’un système ou d’un composant de système. Les méthodes d’identification sont suffisantes pour soutenir une enquête advenant un changement dans la chaîne d’approvisionnement (par exemple, l’achat d’une entreprise d’approvisionnement), une compromission ou un événement.
  • Contrôles et activités connexes : IA-02, IA-08 et PE-16.
• (02) Provenance : Suivi et localisation
  • Établir et maintenir une identification unique des systèmes et des composants de systèmes essentiels suivants aux fins de suivi tout au long de la chaîne d’approvisionnement : [Affectation : systèmes et composants de systèmes essentiels désignés par l’organisation].
  • Discussion : Procéder au suivi de l’identification unique des systèmes et des composants de systèmes au cours des activités de développement et de transport offre une structure d’identité fondamentale à l’établissement et au maintien de la provenance. Par exemple, les composants de systèmes peuvent être étiquetés au moyen de numéros de série ou d’un radio-identifiant. Les étiquettes et les indicateurs peuvent aider à accroître la visibilité de la provenance d’un système ou d’un composant de système. Un système ou un composant de système peut comporter qu’un seul identificateur unique. Les méthodes d’identification sont suffisantes pour soutenir une investigation informatique advenant une compromission ou un événement lié à la chaîne d’approvisionnement.
  • Contrôles et activités connexes : IA-02, IA-08, PE-16 et PL-02.
• (03) Provenance : Attestation de l’authenticité et de la non-altérité
  • Employer les contrôles suivants pour attester que le système ou le composant de système qui a été livré n’a pas été altéré : [Affectation : contrôles définis par l’organisation].
  • Discussion : Pour plusieurs systèmes ou composants de systèmes – en particulier le matériel – des moyens techniques peuvent être employés pour déterminer si les éléments sont authentiques ou s’ils ont été altérés. Il pourrait notamment être possible d’avoir recours à des étiquettes optiques et nanotechnologiques, à des fonctions impossibles à cloner physiquement, à une analyse des canaux auxiliaires, à la vérification du hachage cryptographique, aux signatures numériques et à des étiquettes d’inviolabilité visibles. Les contrôles peuvent également comprendre la surveillance des performances hors normes qui peuvent être un signe de trafiquage ou de contrefaçon.
    Les organisations peuvent tirer avantage des processus des fournisseurs et des entrepreneurs pour attester qu’un système ou un composant est authentique et n’a pas été altéré et pour remplacer tout système ou composant suspect. Il pourrait être possible de relever et d’atténuer certains signes de trafiquage avant d’accepter la livraison, comme un emballage irrégulier, des sceaux brisés et des étiquettes erronées. Si on soupçonne qu’un système ou un composant de système a été altéré ou contrefait, le fournisseur, l’entrepreneur ou le fabricant d’équipement d’origine peut être en mesure de remplacer l’article ou de fournir un moyen criminalistique de déterminer l’origine de la contrefaçon ou de l’altération de l’article. Les organisations peuvent fournir de la formation au personnel sur la façon de reconnaître les livraisons de systèmes ou de composants suspectes.
  • Contrôles et activités connexes : AT-03, SR-09, SR-10 et SR-11.
• (04) Provenance : Intégrité de la chaîne d’approvisionnement – Pedigree
  • Employer [Affectation : contrôles définis par l’organisation] et procéder à [Affectation : analyse définie par l’organisation] pour assurer l’intégrité du système ou des composants de systèmes en validant la composition interne et la provenance des technologies, des produits et des services critiques ou essentiels à la mission.
  • Discussion : L’information faisant autorité en ce qui concerne la composition interne des composants de systèmes et la provenance de la technologie, des produits et des services constitue une base de confiance solide. La validation de la composition interne et de la provenance des technologies, des produits et des services est ce qu’on appelle le « pedigree ». En microélectronique, cela comprend la composition matérielle des composants. Pour les logiciels, cela comprend la composition du code de source ouverte et du code propriétaire, notamment la version du composant à un moment précis.
    Les pedigrees renforcent l’assurance que les revendications formulées par les fournisseurs concernant la composition interne et la provenance des produits, des services et des technologies sont bel et bien valides. La validation de la composition interne et de la provenance peut être réalisée au moyen des divers artéfacts ou dossiers de preuve que les fabricants et les fournisseurs produisent au cours de la recherche et du développement, de la conception, de la fabrication, de l’acquisition, de la livraison, de l’intégration, de l’exploitation, de la maintenance et de l’élimination de la technologie, des produits et des services.
    Les artéfacts de preuve comprennent, sans s’y limiter, les étiquettes d’identification des logiciels, les indicateurs, l’inventaire des composants logiciels, les déclarations des fabricants sur les attributs des plateformes (par exemple, les numéros de série, l’inventaire des composants matériels) et les mesures (par exemple, les codes de hachage des micrologiciels) qui sont étroitement liées au matériel à proprement dit.
  • Contrôles et activités connexes : RA-03.

Références

• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• ISO 27036-1 Cybersecurity — Supplier relationships—Part 1: Overview and concepts (en anglais seulement)
• ISO 27036-2 Cybersecurity — Supplier relationships—Part 2: Requirements (en anglais seulement)
• ISO 20243-1 Information technology — Open Trusted Technology ProviderTM Standard (O-TTPS)—Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products (en anglais seulement)
• La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)
• Sécurité publique Canada, Guide sur la gestion des risques pour les secteurs des infrastructures essentielles

SR-05 Stratégies, outils et méthodes d’acquisition

Contrôle

Utiliser les stratégies d’acquisition, les méthodes d’approvisionnement et les outils de passation de marchés suivants afin de déterminer, de contrer et d’atténuer les risques associés à la chaîne d’approvisionnement : [Affectation : stratégies d’acquisition, outils de passation de marchés et méthodes d’approvisionnement définis par l’organisation].

Discussion

Le recours au processus d’acquisition fournit un véhicule important pour la protection de la chaîne d’approvisionnement. Il existe de nombreux outils et de nombreuses techniques, notamment le masquage de l’utilisation finale d’un système ou d’un composant de système, les achats voilés ou filtrés, l’exigence d’un emballage avec sceau d’inviolabilité ou le recours à une distribution fiable ou contrôlée. Les résultats d’une évaluation des risques liés à la chaîne d’approvisionnement peuvent orienter et informer le choix des stratégies, des outils et des méthodes qui conviennent le mieux à la situation.

Les outils et les techniques peuvent fournir une protection contre la production non autorisée, le vol, la modification, la contrefaçon, l’insertion de code malveillant ou de porte dérobée et les mauvaises pratiques de développement tout au long du cycle de développement des systèmes. Les organisations devraient également penser à offrir des mesures incitatives pour les fournisseurs afin de mettre en œuvre des contrôles et de favoriser la transparence des processus et des pratiques de sécurité et de protection de la vie privée. Elles peuvent également fournir un libellé de contrat qui traite de l’interdiction d’utiliser des composants contaminés ou contrefaits et restreindre les achats des fournisseurs qui ne sont pas dignes de confiance.

Les organisations devraient considérer de fournir des programmes de formation et de sensibilisation pour le personnel concernant les risques liés à la chaîne d’approvisionnement, les stratégies d’atténuation disponibles et les circonstances appropriées pour utiliser les programmes. Les méthodes utilisées pour examiner et protéger les plans de développement, la documentation et les preuves doivent être appropriées selon les exigences de sécurité et de protection de la vie privée de l’organisation. Les contrats peuvent également préciser les exigences relatives à la protection des documents.

Contrôles et activités connexes

AT-03, SA-02, SA-03, SA-04, SA-05, SA-08, SA-09, SA-10, SA-15, SR-06, SR-09, SR-10 et SR-11.

Améliorations

• (01) Stratégies, outils et méthodes d’acquisition : Approvisionnement adéquat
  • Employer les contrôles suivants pour assurer un approvisionnement adéquat de [Affectation : composants de systèmes essentiels désignés par l’organisation] : [Affectation : contrôles définis par l’organisation].
  • Discussion : Des adversaires pourraient tenter de contrecarrer les opérations organisationnelles en entravant l’approvisionnement de composants essentiels des systèmes ou en interférant avec les activités des fournisseurs. Les organisations peuvent assurer le suivi de la durée moyenne de fonctionnement avant défaillance des systèmes et des composants pour atténuer la perte temporaire ou permanente de fonction du système. Les contrôles qui permettent d’assurer un approvisionnement adéquat des composants de systèmes essentiels comprennent l’utilisation de multiples fournisseurs tout au long de la chaîne d’approvisionnement pour les composants essentiels identifiés, l’emmagasinage de composants de rechange pour garantir le déroulement des activités dans des périodes essentielles à la mission et la détermination des composants identiques ou similaires sur le plan des fonctionnalités qui pourraient être utilisés, le cas échéant.
  • Contrôles et activités connexes : RA-09.
• (02) Stratégies, outils et méthodes d’acquisition : Évaluation préalable à la sélection, à l’acceptation, à la modification ou à la mise à jour
  • Procéder à l’évaluation d’un système, d’un composant du système ou d’un service qui s’y rapporte préalablement à la sélection, à l’acceptation, à la modification ou à la mise à jour.
  • Discussion : Des membres du personnel de l’organisation ou des parties prenantes externes indépendantes devraient procéder à l’évaluation des systèmes, des composants, des outils et des services pour relever les signes de trafiquage, les vulnérabilités accidentelles et intentionnelles ou les preuves de non-conformité avec les contrôles de la chaîne d’approvisionnement. Cela comprend le code malveillant, les processus malveillants, les logiciels défectueux, les portes dérobées et la contrefaçon.
    Les évaluations peuvent comprendre les examens des propositions de conceptions, les inspections visuelles ou physiques et les analyses dynamiques, les inspections visuelles, par rayon X ou des particules magnétiques, les simulations, les tests de la boîte blanche, grise ou noire, les tests à données aléatoires, les essais marginaux et les tests d’intrusion (voir le contrôle SR-06(01)). Les preuves cumulées pendant les évaluations devraient être documentées de façon à ce que les organisations puissent procéder aux mesures consécutives.
    Les preuves générées au cours des évaluations organisationnelles et indépendantes des éléments de la chaîne d’approvisionnement peuvent être utilisées pour améliorer les processus de la chaîne d’approvisionnement et guider le processus de GRCA. Les preuves peuvent être obtenues lors d’évaluations de suivi. Les preuves et les autres documents peuvent être communiqués conformément aux ententes organisationnelles.
  • Contrôles et activités connexes : CA-08, RA-05, SA-11 et SI-07.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information
• SCT, Directive sur la gestion de la sécurité – Annexe F :Procédures obligatoires relatives aux mesures de sécurité lors de l’octroi de contrats et d’autres ententes
• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• SPAC, Manuel de la sécurité des contrats
• ISO 27036-1 Cybersecurity — Supplier relationships—Part 1: Overview and concepts (en anglais seulement)
• ISO 27036-2 Cybersecurity — Supplier relationships—Part 2: Requirements (en anglais seulement)
• ISO 20243-1 Information technology — Open Trusted Technology ProviderTM Standard (O-TTPS)—Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products (en anglais seulement)

SR-06 Évaluations et examens des fournisseurs

Contrôle

Évaluer et examiner les risques liés à la chaîne d’approvisionnement associés aux fournisseurs, aux entrepreneures ou aux entrepreneurs ainsi que le système, le composant de système ou le service fourni par ces derniers [Affectation : fréquence définie par l’organisation].

Discussion

Une évaluation et un examen du risque associé aux fournisseurs incluent les processus de GRCA et des risques liés à la sécurité; la propriété, le contrôle et l’influence de l’étranger (PCIE) et la capacité des fournisseurs à évaluer efficacement les fournisseurs, les entrepreneuses et les entrepreneurs subalternes de deuxième ou troisième niveau. Les examens peuvent être effectués par l’organisation ou une tierce partie indépendante. Les examens devraient considérer les processus et les contrôles documentés, le renseignement provenant de toute source et l’information accessible au public concernant le fournisseur, l’entrepreneuse ou l’entrepreneur.

Les organisations peuvent utiliser de l’information de source ouverte pour surveiller les signes d’information volée, d’un mauvais développement, de mauvaises pratiques de contrôle de la qualité, d’une fuite de renseignements ou d’une contrefaçon. Dans certains cas, il pourrait être approprié ou nécessaire de partager les résultats des évaluations et des examens avec d’autres organisations conformément aux règles et aux politiques applicables, ou aux accords et contrats interorganisationnels.

Contrôles et activités connexes

SR-03 et SR-05.

Améliorations

• (01) Évaluations et examens des fournisseurs : Tests et analyse
  • Employer [Sélection (un choix ou plus) : analyse organisationnelle; analyse d’une tierce partie indépendante; tests par l’organisation; tests par une tierce partie indépendante] des éléments de la chaîne d’approvisionnement, des parties prenantes et des processus suivants relativement au système, au composant de système ou au service qui s’y rapporte : [Affectation : éléments de la chaîne d’approvisionnement, processus, intervenantes et intervenants désignés par l’organisation].
  • Discussion : Il convient de tenir compte de la relation entre les entités et les procédures dans la chaîne d’approvisionnement, comme le développement et la livraison. Les éléments de la chaîne d’approvisionnement incluent les organisations, les entités ou les outils qui servent à la recherche, au développement, à la conception, à la fabrication, à l’acquisition, à la livraison, à l’intégration, à l’exploitation, à la maintenance et à l’élimination des systèmes, des composants de systèmes ou des services qui s’y rapportent.
    Les processus liés à la chaîne d’approvisionnement comprennent les programmes de GRCA, les stratégies et les plans de mise en œuvre de la GRCA, les programmes de sécurité physique et du personnel, les processus de développement du matériel, des logiciels et des micrologiciels, les outils, les techniques et les mesures de gestion des configurations permettant d’assurer la provenance, les procédures d’expédition et de manutention, ainsi que les programmes, les procédures ou les processus associés à la production et à la distribution des éléments de la chaîne d’approvisionnement.
    Les intervenants de la chaîne d’approvisionnement sont des personnes auxquelles on a attribué des responsabilités ou des rôles particuliers au sein de la chaîne d’approvisionnement. Les preuves générées et collectées par les analyses et les tests menés sur les éléments, les processus et les parties prenantes de la chaîne d’approvisionnement sont documentées et utilisées de façon à éclairer les prises de décision et les activités relatives à la gestion organisationnelle des risques.
  • Contrôles et activités connexes : CA-08 et SI-04.

Références

• SCT, Directive sur la gestion de la sécurité – Annexe F : Procédures obligatoires relatives aux mesures de sécurité lors de l’octroi de contrats et d’autres ententes
• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• La cybersécurité et la chaîne d’approvisionnement : évaluation des risques (ITSAP.10.070)
• ISO 27036-1 Cybersecurity — Supplier relationships—Part 1: Overview and concepts (en anglais seulement)
• ISO 27036-2 Cybersecurity — Supplier relationships—Part 2: Requirements (en anglais seulement)
• ISO 20243-1 Information technology — Open Trusted Technology ProviderTM Standard (O-TTPS)—Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products (en anglais seulement)
• NIST FIPS 140-3 Security Requirements for Cryptographic Modules (en anglais seulement)
• NIST FIPS 186-5 Digital Signature Standard (DSS) (en anglais seulement)
• NIST FIPS 202 SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions (en anglais seulement)

SR-07 Sécurité opérationnelle de la chaîne d’approvisionnement

Contrôle

Employer les contrôles de sécurité opérationnelle (OPSEC pour Operational Security) pour protéger l’information relative à la chaîne d’approvisionnement pour le système, le composant de système ou le service qui s’y rapporte : [Affectation : contrôles d’OPSEC définis par l’organisation].

Discussion

Le contrôle d’OPSEC de la chaîne d’approvisionnement étend la portée de l’OPSEC de manière à inclure les fournisseurs actuels et éventuels. L’OPSEC est un processus qui consiste à identifier l’information critique, à analyser des actions amies accompagnant les opérations et les autres activités visant à identifier les actions pouvant être observées par d’éventuels adversaires, à déterminer les indicateurs que les adversaires pourraient obtenir et mettre en perspective ou interpréter de façon à révéler des renseignements essentiels en assez de temps pour causer des dommages aux organisations, à mettre en œuvre les mesures de protection et les contremesures visant à éliminer les vulnérabilités exploitables ou à les réduire à un niveau acceptable et à imaginer comment les amalgames de renseignements pourraient compromettre la confidentialité des utilisatrices, des utilisatrices ou les utilisations de la chaîne d’approvisionnement.

L’information de la chaîne d’approvisionnement comprend les identités des utilisatrices et utilisateurs, les utilisations des systèmes, des composants de systèmes et des services qui s’y rapportent, les identités des fournisseurs, les exigences de sécurité et de protection de la vie privée, les configurations des systèmes et des composants, les processus des fournisseurs, les spécifications de conception et les résultats des tests et des évaluations.

L’OPSEC de la chaîne d’approvisionnement peut exiger que les organisations soustraient aux fournisseurs l’information relative à la mission et aux activités, et peut inciter ces organisations à avoir recours à des intermédiaires dans le but de taire l’identité des utilisatrices et des utilisateurs ou les utilisations des systèmes, des composants de systèmes ou des services qui s’y rapportent.

Contrôles et activités connexes

SC-38.

Améliorations

Aucune.

Références

• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• ISO 27036-1 Cybersecurity — Supplier relationships—Part 1: Overview and concepts (en anglais seulement)
• ISO 27036-2 Cybersecurity — Supplier relationships—Part 2: Requirements (en anglais seulement)

SR-08 Ententes de notification

Contrôle

Mettre en place des ententes et des procédures avec les entités qui prennent part à la chaîne d’approvisionnement du système, du composant de système ou du service qui s’y rapporte pour [Sélection (un choix ou plus) : la notification des compromissions touchant la chaîne d’approvisionnement; les résultats des évaluations ou des vérifications; [Affectation : information définie par l’organisation]].

Discussion

La mise en place d’ententes et de procédures facilite la communication entre les entités de la chaîne d’approvisionnement. Le signalement précoce des compromissions et des compromissions potentielles de la chaîne d’approvisionnement pouvant nuire ou ayant pu nuire aux systèmes ou aux composants des systèmes de l’organisation est essentiel aux organisations qui veulent réagir efficacement à de tels incidents. Les résultats des évaluations ou des vérifications comprennent l’information de source ouverte qui a contribué à la prise d’une décision ou à un résultat, et qui pourrait être utilisée pour aider l’entité de la chaîne d’approvisionnement à répondre à des préoccupations ou à améliorer ses processus.

Contrôles et activités connexes

IR-04, IR-06, IR-08 et SI-02.

Améliorations

Aucune.

Références

• Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels (ITSM.10.071)
• ISO 27036-1 Cybersecurity — Supplier relationships—Part 1: Overview and concepts (en anglais seulement)
• ISO 27036-2 Cybersecurity — Supplier relationships—Part 2: Requirements (en anglais seulement)

SR-09 Résistance au trafiquage et détection

Contrôle

Mettre en œuvre un programme de protection contre le trafiquage pour le système, le composant de système ou le service qui s’y rapporte.

Discussion

Les technologies, les outils et les techniques de protection contre le trafiquage offrent un niveau de protection pour les systèmes, les composants de systèmes et les services contre plusieurs menaces, notamment la rétro-ingénierie, la modification et la substitution. Les modalités robustes d’identification combinées aux moyens permettant de contrer et de détecter le trafiquage sont essentielles, lorsqu’il s’agit d’assurer la protection des systèmes et des composants pendant la distribution et l’utilisation.

Contrôles et activités connexes

PE-03, PM-30, SA-15, SI-04, SI-07, SR-03, SR-04, SR-05, SR-10 et SR-11.

Améliorations

• (01) Résistance au trafiquage et détection : Phases multiples du cycle de développement de systèmes
  • Avoir recours à des technologies, des outils et des techniques de protection contre le trafiquage tout au long du cycle de développement de systèmes.
  • Discussion : Le cycle de développement de systèmes comprend la recherche et le développement, la conception, la fabrication, l’acquisition, la livraison, l’intégration, l’exploitation, la maintenance et l’élimination. Les organisations devraient utiliser une combinaison de dispositifs matériels et logiciels pour contrer et détecter le trafiquage. Les organisations devraient avoir recours à l’obscurcissement et aux autovérifications pour rendre la rétro-ingénierie et les modifications difficiles, chronophages et onéreuses pour les adversaires. La personnalisation des systèmes et des composants de systèmes peut rendre les substitutions plus faciles à détecter, ce qui permet de limiter les dommages.
  • Contrôles et activités connexes : SA-03.

Références

ISO 20243-1 Information technology — Open Trusted Technology ProviderTM Standard (O-TTPS)—Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products (en anglais seulement)

SR-10 Inspection des systèmes ou des composants

Contrôle

Inspecter les systèmes ou les composants de systèmes suivants [Sélection (un choix ou plus) : de façon aléatoire; tous les [Affectation : fréquence définie par l’organisation], lorsque [Affectation : indications concernant le besoin de mener une inspection définies par l’organisation]] pour détecter le trafiquage : [Affectation : systèmes ou composants de systèmes désignés par l’organisation].

Discussion

L’inspection des systèmes ou des composants de systèmes aux fins de résistance au trafiquage et de détection porte sur le trafiquage physique et logique et s’applique aux systèmes et aux composants de systèmes à l’extérieur des zones contrôlées par l’organisation. Il convient de procéder à une inspection lorsqu’il y a des changements dans l’emballage, les spécifications, le site de fabrication ou l’entité de la pièce achetée et lorsque des personnes reviennent d’un voyage dans un lieu à risque élevé.

Contrôles et activités connexes

AT-03, PM-30, SI-04, SI-07, SR-03, SR-04, SR-05, SR-09 et SR-11.

Améliorations

Aucune.

Références

ISO 20243-1 Information technology — Open Trusted Technology ProviderTM Standard (O-TTPS)—Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products (en anglais seulement)

SR-11 Authenticité des composants

Contrôle

1. Développer et mettre en œuvre une stratégie et des procédures qui visent à combattre la contrefaçon et qui prévoient la mise en place de mesures visant à détecter et à prévenir l’entrée de dispositifs contrefaits dans les systèmes
2. Signaler les composants de systèmes qui ont été contrefaits à [Sélection (un choix ou plus) : source de composant contrefait; [Affectation : organisations externes responsables du signalement désignées par l’organisation]; [Affectation : personnel ou rôles définis par l’organisation]]

Discussion

Les sources de composants contrefaits pourraient comprendre les fabricants, les développeuses et développeurs, les fournisseurs et les entrepreneuses et entrepreneurs. Les stratégies et les procédures visant à combattre la contrefaçon renforcent la résistance au trafiquage et fournissent un niveau de protection contre l’introduction de code malveillant. Le Centre pour la cybersécurité fait partie des organisations externes responsables du signalement.

Contrôles et activités connexes

PE-03, SA-04, SI-07, SR-09 et SR-10.

Améliorations

• (01) Authenticité des composants : Formation anticontrefaçon
  • Former [Affectation : personnel ou rôles définis par l’organisation] dans le domaine de la détection des composants contrefaits de systèmes (y compris les composants matériels, logiciels et microgiciels).
  • Discussion : Aucune.
  • Contrôles et activités connexes : AT-03.
• (02) Authenticité des composants : Contrôle des configurations pour l’entretien et la réparation des composants
  • Maintenir le contrôle des configurations pour les composants de systèmes suivants appelés à subir un entretien ou une réparation, ainsi que des composants réparés ou entretenus qui sont appelés à retourner à leur lieu de service : [Affectation : composants de systèmes désignés par l’organisation].
  • Discussion : Aucune.
  • Contrôles et activités connexes : CM-03, MA-02, MA-04 et SA-10.
• (03) Authenticité des composants : Analyse anticontrefaçon
  • Analyser les composants de systèmes [Affectation : fréquence définie par l’organisation] pour détecter la contrefaçon.
  • Discussion : Le type du composant détermine le type d’analyse à effectuer (par exemple, une analyse d’applications Web si le composant est une application Web).
  • Contrôles et activités connexes : RA-05.

Références

ISO 20243-1 Information technology — Open Trusted Technology ProviderTM Standard (O-TTPS)—Part 1: Requirements and recommendations for mitigating maliciously tainted and counterfeit products (en anglais seulement)

SR-12 Mise hors service des composants

Contrôle

Éliminer [Affectation : données, documents, outils ou composants de systèmes désignés par l’organisation] au moyen des techniques et des méthodes suivantes : [Affectation : techniques et méthodes définies par l’organisation].

Discussion

Les données, les documents, les outils ou les composants de systèmes peuvent être mis hors service à tout moment durant le cycle de développement des systèmes (non seulement au cours de la phase d’élimination ou de retrait du cycle de vie). Par exemple, la mise hors service peut survenir au cours de la recherche, du développement, de la conception, du prototypage, de l’exploitation ou de la maintenance et comprendre des méthodes comme le nettoyage de disque, le retrait des clés cryptographiques ou la réutilisation partielle des composants.

Les risques de compromission lors de la mise hors service touchent les données physiques et logiques, y compris les documents papier et les fichiers numériques, les documents portant sur l’expédition et la livraison, les clés USB contenant du code logiciel ou les routeurs et serveurs complets qui contiennent des supports permanents sur lesquels on retrouve de l’information sensible ou exclusive. De plus, une mise hors service adéquate des composants de systèmes aide à empêcher que les composants en question ne soient introduits dans le marché semi-clandestin (marché gris).

Contrôles et activités connexes

MP-06.

Améliorations

Aucune.

Références

Aucune.