Votre chaîne d'approvisionnement représente votre plus grand risque cybernétique, mais le NIST CSF 2.0 vous aide à le gérer
Le risque lié à vos fournisseurs
Demandez à la plupart des professionnels de l'ESG ce qu'ils pensent des risques liés à la chaîne d'approvisionnement, et ils vous décriront un domaine d'activité bien établi : questionnaires de diligence raisonnable à l'égard des fournisseurs, politiques d'approvisionnement responsable, programmes d'audit, évaluations des droits de l'homme, analyses d'impact environnemental. Posez-leur la même question au sujet des cyberrisques liés à la chaîne d'approvisionnement, et leur réponse est souvent moins assurée. Pourtant, pour la plupart des organisations, c'est au sein de la chaîne d'approvisionnement que se concentrent leurs principales vulnérabilités en matière de cybersécurité – et ces vulnérabilités ne cessent de croître.
La raison est d'ordre structurel. Les organisations modernes ne fonctionnent pas en vase clos. Elles partagent des données, des systèmes et une infrastructure numérique avec des centaines, voire des milliers de tiers : éditeurs de logiciels, fournisseurs de services cloud, partenaires logistiques, cabinets de services professionnels, sous-traitants et les fournisseurs de ces derniers. Chaque connexion constitue un point d'entrée potentiel pour un incident de cybersécurité. Lorsqu'un attaquant cible directement une organisation bien protégée, il échoue souvent. Lorsqu'il cible un fournisseur plus petit et moins bien protégé ayant accès aux systèmes de l'organisation, il réussit souvent.
Le NIST CSF 2.0 reconnaît explicitement cette réalité. Pour la première fois dans l'histoire de ce cadre, la gestion des risques liés à la chaîne d'approvisionnement est élevée au rang de catégorie à part entière au sein de la fonction « Gouvernance » : elle n'est plus reléguée dans une annexe technique, mais placée au cœur même du cadre de gouvernance. Il s'agit là d'un signal que les professionnels de l'ESG chargés de la diligence raisonnable en matière de chaîne d'approvisionnement devraient prendre très au sérieux.
Ce qu'exige CSF 2.0 en matière de chaîne d'approvisionnement
La catégorie « Gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement » de la fonction « Gouvernance » du CSF 2.0 définit un ensemble complet d'objectifs indiquant comment les organisations doivent aborder les risques cybernétiques liés aux tiers. La compréhension de ces objectifs aide les professionnels de l'ESG à voir comment leurs pratiques actuelles de diligence raisonnable en matière de chaîne d'approvisionnement s'articulent avec les exigences de cybersécurité – et à identifier les lacunes existantes.
Ce cadre exige que la gestion des risques liés à la chaîne d'approvisionnement numérique soit mise en place, documentée et intégrée à l'approche globale de gestion des risques de l'organisation. Il ne s'agit pas d'une initiative informatique distincte. Il s'agit d'une exigence de gouvernance qui doit se refléter dans les politiques d'approvisionnement, les processus d'intégration des fournisseurs et les programmes de gestion continue des tiers – c'est précisément l'infrastructure que les équipes chargées de la chaîne d'approvisionnement ESG gèrent déjà.
Cela implique d'identifier les fournisseurs et autres tiers, puis de les classer par ordre de priorité en fonction de l'importance de leur rôle et du risque qu'ils représentent. Pour les professionnels de l'ESG habitués à classer les fournisseurs par niveau en fonction des dépenses, de la zone géographique, du secteur d'activité ou du risque lié aux droits de l'homme, il s'agit d'une méthodologie familière appliquée à une nouvelle dimension de risque. Un fournisseur de technologies essentielles ayant un accès approfondi à vos systèmes justifie une évaluation des risques cybernétiques plus approfondie qu'un fournisseur secondaire n'ayant aucun lien numérique avec vos activités.
Elle exige que les contrats et accords conclus avec les fournisseurs comportent des exigences en matière de cybersécurité : des normes minimales que les fournisseurs doivent respecter, des obligations de notification en cas de cyberincident, le droit de procéder à des audits et l'obligation de gérer les risques liés à leur propre chaîne d'approvisionnement. Cela s'apparente directement aux exigences contractuelles que les programmes d'approvisionnement responsable imposent aux fournisseurs en matière de normes du travail ou de conformité environnementale.
La diligence raisonnable en matière de cybersécurité de la chaîne d'approvisionnement ne constitue pas une pratique distincte de la diligence raisonnable ESG relative à la chaîne d'approvisionnement. Il s'agit de la même discipline – l'évaluation, la gestion et la surveillance des risques liés aux tiers – appliquée à une catégorie de risques qui revêt désormais une importance significative pour la plupart des organisations.
Le lien entre les critères ESG et la cybersécurité dans la chaîne d'approvisionnement
Pour les professionnels de l'ESG, l'enseignement pratique à retenir est que les risques liés à la cybersécurité dans la chaîne d'approvisionnement et les autres risques ESG dans ce même domaine partagent un défi sous-jacent commun : il est impossible d'observer directement ce qui se passe au sein des activités de vos fournisseurs. Vous vous appuyez sur l'auto-évaluation, les audits par des tiers, les certifications et les engagements contractuels pour vous assurer que les risques sont bien gérés. Les mêmes outils que ceux utilisés par les programmes ESG de la chaîne d'approvisionnement pour gérer les risques environnementaux et sociaux peuvent être adaptés et étendus afin de traiter les risques liés à la cybersécurité.
Les questionnaires destinés aux fournisseurs peuvent comporter des questions spécifiques à la cybersécurité, alignées sur les six fonctions du CSF 2.0. Les fournisseurs disposent-ils de politiques de cybersécurité et de processus de gouvernance documentés ? Tiennent-ils à jour un inventaire des actifs et des dépendances vis-à-vis de tiers ? Ont-ils mis en place des procédures de réponse aux incidents qui ont fait leurs preuves ? Déposent-ils d'une certification de cybersécurité reconnue, telle que la norme ISO 27001 ? Ces questions ne sont pas plus exigeantes sur le plan technique que celles relatives à la gestion environnementale que les évaluations ESG des fournisseurs incluent systématiquement – et elles fournissent des informations pertinentes sur la posture des fournisseurs face aux risques cybernétiques.
La segmentation des fournisseurs et la classification des risques – pratiques courantes dans la gestion ESG de la chaîne d'approvisionnement – s'appliquent directement aux risques cybernétiques. Les fournisseurs ayant accès à des données sensibles, à des systèmes critiques ou à des technologies opérationnelles justifient une évaluation plus approfondie et des protections contractuelles plus spécifiques. Les fournisseurs qui ne sont pas intégrés numériquement à votre organisation présentent un risque cybernétique moindre et peuvent être gérés à l'aide de processus moins contraignants.
Notification et gestion des incidents
L'obligation de notification des incidents constitue un aspect des risques cybernétiques liés à la chaîne d'approvisionnement que les professionnels de l'ESG n'ont peut-être pas pris en compte. Un fournisseur victime d'un incident de cybersécurité – une fuite de données, une attaque par ransomware, une compromission du système – peut avoir fait courir un risque ou engagé la responsabilité de votre organisation, même si vos propres systèmes n'ont pas été directement touchés. Que ce risque soit financier, réglementaire ou de réputation dépend de la nature des données concernées et des dispositions contractuelles en vigueur.
La fonction « Respond » de CSF 2.0, appliquée dans le contexte de la chaîne d'approvisionnement, exige que les organisations disposent de processus clairs pour recevoir les notifications d'incidents émanant des fournisseurs et y donner suite – et que les fournisseurs soient contractuellement tenus de transmettre ces notifications sans délai. Pour les professionnels ESG chargés de la communication avec les parties prenantes et de la divulgation d'informations, un incident chez un fournisseur qui déclenche une obligation de notification envers les autorités de régulation ou les clients constitue un événement de gouvernance qui doit être géré avec la même rigueur que tout autre incident significatif.
Intégrer cette approche à votre pratique actuelle
La bonne nouvelle pour les professionnels de l'ESG, c'est qu'il n'est pas nécessaire de mettre en place de toutes pièces une infrastructure dédiée à la gestion des risques cybernétiques liés à la chaîne d'approvisionnement. Celle-ci peut s'appuyer sur les pratiques existantes en matière de diligence raisonnable dans la chaîne d'approvisionnement : il suffit d'ajouter des critères de cybersécurité aux outils d'évaluation existants, d'intégrer des exigences de cybersécurité dans les contrats existants avec les fournisseurs et d'intégrer les risques de cybersécurité dans les processus existants de classification des risques fournisseurs et de suivi.
Le NIST CSF 2.0 fournit un cadre permettant de définir les critères de cybersécurité à appliquer. La catégorie « Chaîne d'approvisionnement » de sa fonction « Gouvernance » définit les attentes en matière de gouvernance. Ses fonctions « Identifier », « Protéger », « Détecter », « Réagir » et « Récupérer » fournissent les critères opérationnels pouvant être traduits en questions d'évaluation des fournisseurs et en exigences contractuelles.
Les organisations qui intègrent les risques cybernétiques dans leur processus de diligence raisonnable ESG tout au long de la chaîne d'approvisionnement seront mieux protégées, mieux informées et mieux placées pour démontrer la qualité de leur gouvernance aux investisseurs, aux régulateurs et aux clients, qui posent de plus en plus ce genre de questions.
Point clé : CSF 2.0 fait de la cybercriminalité dans la chaîne d'approvisionnement une priorité en matière de gouvernance. Les professionnels de la chaîne d'approvisionnement ESG peuvent s'appuyer sur leur infrastructure existante de diligence raisonnable – classification par niveau, questionnaires, contrats, audits – pour y faire face, en intégrant des critères de cybersécurité à leurs pratiques actuelles.