Les attaques contre la chaîne d’approvisionnement constituent l’une des plus grandes menaces actuelles en matière de cybersécurité. Gartner prévoit que d’ici 2025, 45 % des organisations auront subi une attaque sur leur chaîne d’approvisionnement en logiciels, ce qui démontre la nécessité d’une réglementation plus stricte en matière de cybersécurité pour les organisations au sein de l’industrie de la chaîne de valeur.
Réglementation de la SEC en matière de déclarations sur la cybersécurité
En réponse à la menace croissante, le 26 juillet 2023, la Commission des valeurs mobilières (SEC) a adopté les règles « Gestion des risques en cybersécurité, stratégie, gouvernance et signalement des incidents », qui seront effectives à partir du 5 septembre 2023.
En vertu de la nouvelle décision, les organisations sont tenues de comprendre et de démontrer de manière proactive qu’elles se conforment à ces nouvelles obligations en signalant à la SEC les incidents importants en matière de cybersécurité. La divulgation des risques et incidents liés à la cybersécurité aux investisseurs, ainsi qu’à d’autres acteurs du marché lorsque leurs services de conseil sont affectés de manière significative, est également une exigence.
Impact sur les chaînes d’approvisionnement
En raison du nombre croissant d’atteintes à la sécurité des fournisseurs tiers, les entreprises doivent impérativement comprendre leur chaîne d’approvisionnement et les risques qu’une attaque peut représenter pour leur organisation. Le non-respect de ces réglementations peut exposer les organisations à des cybermenaces potentielles, à des risques pour leur réputation et à des conséquences juridiques.
Les exigences des règles proposées peuvent être réparties en trois grandes catégories et initiatives de contrôle :
- Politiques et procédures de gestion des risques de cybersécurité et alignement sur un cadre connexe pour garantir que les contrôles d’accès, la sécurité des réseaux et des infrastructures, la gestion des vulnérabilités, la réponse aux incidents et d’autres domaines sont cohérents dans l’ensemble de l’organisation et de sa chaîne d’approvisionnement.
- Signaler à la SEC des incidents importants en matière de cybersécurité
- Divulgation des risques et incidents liés à la cybersécurité
Implications
Les implications de la règle diffèrent selon qu’une organisation est ou non sur la liste de la SEC.
- Organisations sur la liste de la SEC : Le respect de cette règle implique un changement important dans leur approche de la cybersécurité et de la gestion des risques numériques, dépassant les limites traditionnelles des fonctions informatiques et technologiques. Les entreprises sur la liste de la SEC sont susceptibles d’être très préoccupées par la profondeur de leur chaîne d’approvisionnement, qui pourrait révéler des faiblesses en matière de cybersécurité résultant de transactions avec des entreprises qui ne le sont pas et qui fournissent des services essentiels à l’entreprise.
- Organismes qui ne sont pas sur la liste de la SEC : Le risque le plus important pour ces entreprises sera d’identifier les clients inscrits sur la liste de la SEC auxquels des services importants sont fournis. Lorsque des faiblesses existent ou sont suspectées, on s’attend à ce que les organisations sur la liste de la SEC cherchent à imposer des garanties, des responsabilités et des indemnités tout au long de leur chaîne d’approvisionnement afin de se protéger contre le non-respect des règles de la SEC.
Les conséquences potentielles de la non-conformité comprennent les sanctions financières imposées par la SEC, l’augmentation des coûts de conformité si l’organisation choisit d’être réactive plutôt que proactive sur la question, et le coût du temps et des efforts nécessaires pour remédier aux problèmes de divulgation après coup. Il est recommandé aux organisations de démontrer proactivement leur conformité afin d’éviter ces conséquences potentielles.
Lisez-en davantage sur ce sujet et les principales implications pour les organisations : « Les règlements de la SEC et leur impact ». Pour plus d’informations sur la chaîne d’approvisionnement de Tony Pelli, lisez « Évaluation du risque du C-TPAT : pourquoi c’est important » et « Les directives de sécurité C-TPAT : protection de la chaîne d’approvisionnement mondiale ». Pour en savoir plus sur d’autres sujets liés à la confiance numérique, à la confidentialité, à la sécurité de l’information et à l’environnement, à la santé et à la sécurité qui devraient figurer en tête de liste de votre organisation, visitez le Coin des experts de BSI.
