Prix
Essai

Sécurité de la chaîne d’approvisionnement

Votre organisation doit mettre en place des procédures de gestion des approvisionnements afin de garantir la sécurité des approvisionnements et la cybersécurité lorsqu'elle fait appel à des fournisseurs directs ou à des prestataires de services dont les services peuvent avoir une incidence sur la fourniture de services essentiels par votre organisation.

Sécurité de la chaîne d’approvisionnement

Vous devez assurer la sécurité de la chaîne d’approvisionnement de votre organisation, afin que l’organisation et ses produits ou services ne soient pas affectés par des vulnérabilités ou des incidents chez les fournisseurs ou dans leurs produits et services.

Exigences

Votre organisation doit établir des procédures de gestion des approvisionnements afin de garantir la sécurité des approvisionnements et la cybersécurité lorsqu’elle fait appel à des fournisseurs directs ou à des prestataires de services dont les services peuvent avoir une incidence sur la fourniture de services essentiels par votre organisation. Une approche fondée sur les risques doit être établie pour déterminer comment gérer vos fournisseurs et l’importance de la prestation de chacun d’entre eux. Vos procédures doivent permettre d’identifier et d’évaluer les risques liés aux fournisseurs et de définir des accords garantissant que les fournisseurs répondent aux exigences de votre organisation.

Sélection des fournisseurs

Vous devez vous assurer que les fournisseurs que vous choisissez sont en mesure de fournir les services requis. Vous devez donc définir des critères clairs pour la sélection des fournisseurs et des prestataires de services :

  • les pratiques des fournisseurs et des prestataires de services en matière de cybersécurité, y compris lesprocédures de développement sécurisé,
  • la capacité du fournisseur ou du prestataire de services à répondre aux exigences de votre organisation en matière de cybersécurité,
  • la capacité du fournisseur à maintenir un niveau approprié de sécurité de l’approvisionnement,
  • La capacité de votre organisation à choisir un autre fournisseur et à limiter les dépendances en matière d’approvisionnement,
  • la stabilité financière du fournisseur et les risques géopolitiques.

Contrats

Vous devez également vous assurer que les fournisseurs maintiennent des mesures appropriées qui répondent aux exigences de sécurité définies dans les contrats, qui peuvent être soutenues par des accords de niveau de service et des mécanismes d’audit.

Sur la base de l’évaluation des risques, les contrats avec les fournisseurs directs ou les prestataires de services peuvent inclure les spécifications suivantes :

  • Le fournisseur et les services fournis doivent être conformes à toutes les exigences légales et de sécurité pertinentes.
  • Les compétences et la formation attendues du personnel du fournisseur doivent être définies.
  • Des vérifications d’antécédents doivent être effectuées pour le personnel travaillant avec des biens critiques.
  • Les fournisseurs doivent notifier immédiatement à l’organisation les incidents pertinents et contribuer à la déclaration obligatoire en cas d’incidents majeurs.
  • Les fournisseurs directs et les prestataires de services doivent coopérer avec les autorités de contrôle si l’organisation fait l’objet d’une surveillance.
  • L’organisation doit disposer de droits d’audit ou les fournisseurs doivent fournir des rapports d’audit.
  • Les délais de livraison des services, y compris les réparations, doivent être convenus.
  • Les vulnérabilités susceptibles de présenter un risque pour le réseau et les systèmes d’information de l’organisation doivent être traitées.
  • Si les sous-traitants sont autorisés, leurs responsabilités et les mesures requises doivent être définies.
  • À la fin du contrat, les fournisseurs doivent retourner les données ou les éliminer en toute sécurité.

Vous devez envisager d’appliquer ces exigences de sécurité aux fournisseurs existants, ainsi qu’au cours du processus de sélection de nouveaux fournisseurs et lors de la planification, de la préparation, de la gestion et de la clôture de l’acquisition de services, de systèmes ou de produits informatiques.

Documentation

Il convient que votre organisation revoie régulièrement ses procédures de gestion des fournisseurs et se tienne informée de tout changement dans les pratiques de cybersécurité des fournisseurs directs ou des prestataires de services. Il convient également de procéder à des examens après des incidents qui ont affecté ou pourraient affecter la sécurité des réseaux et des systèmes d’information de votre organisation. Les résultats de ces examens doivent toujours être documentés.

Test RGPD

Voyez si vous connaissez bien le RGPD.

  • Vous répondrez à 13 questions sur le RGPD.
  • Cela ne prend que 1 à 2 minutes.
  • Les experts répondent généralement correctement aux 13 questions.
Début du test

Essai gratuit

Nous vous répondrons par e-mail dans les plus brefs délais.