Évaluer et réduire les risques liés à la chaîne d'approvisionnement des éditeurs de logiciels
La faille SolarWinds a fait office de piqûre de rappel : les adversaires modernes, qu'il s'agisse de cybercriminels ou d'États hostiles, ne cessent d'innover et de gagner en sophistication, en ingéniosité et en persistance. Dans l'élaboration de leurs attaques, ils utilisent les mêmes outils avancés (analyse heuristique, apprentissage automatique, intelligence artificielle, intégration et automatisation accrues) que ceux que les fournisseurs de technologies et de services légitimes emploient pour défendre leur entreprise et leurs clients. Il s'agit d'une bataille dans laquelle les cybercriminels ont généralement l'avantage de l'initiative : il est plus facile d'attaquer que de détecter, de contenir, de neutraliser et de récupérer d'une attaque.
Si la mise en oeuvre complète d'un cadre de sécurité de l'ISO/de la CEI ou du NIST dépasse souvent les besoins et les ressources de nombreux fournisseurs MSP, la philosophie qui le sous-tend peut néanmoins s'avérer utile. Un tel cadre fournit un vocabulaire et une méthodologie éprouvés pour gérer les risques de cybersécurité. En commençant par ces questions de base, vous pouvez vous engager sur la voie de l'identification et de la réduction systématiques des risques liés à votre chaîne d'approvisionnement en logiciels. Une réflexion reposant sur un cadre peut vous aider à identifier les domaines dans lesquels les processus existants peuvent être renforcés et de nouveaux processus mis en oeuvre, ainsi qu'à hiérarchiser vos exigences en matière de sécurité et à définir des attentes appropriées avec vos fournisseurs et partenaires.