De nos jours, au sein du monde des affaires interconnecté, caractérisé par une transformation numérique en profondeur, il est devenu de plus en plus crucial d’établir une relation solide avec les fournisseurs. Pour ce mois-ci, notre attention relative à la cybersécurité se concentre sur la gestion des risques de cybersécurité au sein de nos chaînes d’approvisionnement et sur les pratiques optimales pour cultiver un partenariat transparent et fortifié avec les fournisseurs.
Qu’est-ce que la confiance numérique?
La confiance numérique se rapporte à la confiance implicite que les individus et les organisations accordent aux dépositaires de leurs données confidentielles au cours des transactions en ligne. Elle est l’assurance que les données seront traitées conformément aux conditions et modalités convenues, en les protégeant contre les abus et en assurant leur sécurité dans la sphère numérique. Au fur et à mesure que le monde en ligne se développe et devient omniprésent, la confiance numérique est devenue la fondation du partage et de la divulgation des données1.
Les principes communs de la confiance numérique
Jusqu’à présent, il n’existe pas de document normatif en tant que tel au sujet des principes de la confiance numérique auquel adhèrent toutes les entreprises et organisations. Toutefois, certains principes communs ont émergé à partir de l’évolution des circonstances en matière de gestion d’entreprise et ils sont considérés comme le Saint Graal de la confiance numérique.
- La fiabilité. Les clients et les parties prenantes perçoivent une entreprise ou une organisation comme fiable en termes de partage des données. L’entreprise ou l’organisation a démontré un historique de fiabilité en tant que dépositaire des données.
- La transparence. L’entreprise ou l’organisation partage de manière transparente et explicite ses politiques sur le partage des données ou toute mise à jour avec ses clients et parties prenantes.
- La sécurité. L’entreprise ou l’organisation démontre un historique de protection des données et elle dispose non seulement des ressources nécessaires pour protéger les données, mais partage également ses stratégies de protection des données et ses informations sur les ressources avec les clients et les parties prenantes.
- L’intégrité. L’entreprise ou l’organisation dispose de politiques robustes pour maintenir l’intégrité des données. Elle collecte non seulement des données cohérentes, mais traite également les données de manière robuste tout en veillant suffisamment à ce qu’elles ne soient pas compromises.
La conscientisation relative aux vulnérabilités potentielles
Tandis que les entreprises s’appuient de plus en plus sur des réseaux numériques expansifs, être précisément conscient des vulnérabilités potentielles de la chaîne d’approvisionnement n’est pas seulement un choix, mais une nécessité. Cette prise de conscience garantit la prévention des failles de sécurité indésirables causées par la confiance et l’absence de double vérification du fournisseur, et elle préserve la confiance de nos estimés clients.
Néanmoins, cette prise de conscience ne concerne pas seulement la gestion des menaces. Il s’agit également de discerner les informations auxquelles les fournisseurs ont accès. Des évaluations régulières doivent non seulement déterminer le type de données partagées avec les fournisseurs, mais également couvrir les critères de la CID – garantissant la confidentialité, l’intégrité et la disponibilité des données.
Une attention particulière doit être dévolue à l’emplacement où les données, en particulier les renseignements personnels identifiables (RPI), sont stockées. Grâce à des réglementations telles que le RGPD et la loi 25, le lieu de stockage et de traitement des données peut entraîner des conséquences juridiques considérables.
La reconnaissance de tous nos fournisseurs, en particulier de ceux souvent sous-estimés par de nombreuses PME, est tout aussi importante. Des services tels que Slack, MS 365 et Vimeo peuvent sembler banals, mais ils jouent un rôle essentiel dans notre chaîne d’approvisionnement. En les identifiant et en les gérant en tant que composantes intégrales, nous pouvons atténuer davantage les risques connexes à nos opérations numériques.
Avant de nouer ou de poursuivre une relation avec n’importe quel fournisseur, il est primordial de vérifier son engagement en matière de cybersécurité et de confidentialité. L’utilisation d’outils tels que la liste de contrôle IAPP, rattachée à l’exemple « Liste de contrôle d’évaluation de la cybersécurité pour les fournisseurs » (en anglais), fournit un cadre structuré pour une telle évaluation. Par ailleurs, la reconnaissance des certifications telles que SOC, ISO, PCI et CyberSécuritaire Canada peut nous donner un aperçu de l’engagement d’un fournisseur à maintenir des normes élevées en matière de cybersécurité et de résilience.
Au fur et à mesure que le paysage numérique évolue, les normes qui le régissent évoluent également. L’introduction de la norme ISO 27001:2022 Annexe A Contrôle 5.20 souligne l’importance d’avoir des contrats-cadres de service qui répondent aux besoins des deux parties. En nous familiarisant avec les nuances de ces directives, disponibles en détail via les hyperliens fournis à la fin de cette infolettre, nous garantissons que nos contrats-cadres restent pertinents et exhaustifs.
Enfin, le cheminement ne s’arrête pas après la signature d’une entente ou d’un contrat-cadre. L’évaluation périodique des performances de nos fournisseurs, en particulier dans le contexte de l’Entente des niveaux de service (ENS), peut offrir des constatations relatives aux domaines potentiels d’amélioration et garantir que nos fournisseurs respectent systématiquement les normes établies.
Conclusion
En conclusion, entretenir une relation dynamique et sécurisée avec les fournisseurs est en elle-même une initiative à multiples facettes. En mettant l’accent sur la confiance numérique, la cybersécurité, en défendant la transparence et en adhérant aux normes reconnues, nous pouvons entretenir un partenariat ancré dans la confiance et la croissance mutuelle. Pour ceux qui souhaitent approfondir la gestion de la relation avec les fournisseurs, notre résumé mensuel offre un trésor d’idées novatrices. Ensemble, nous visons à engendrer un écosystème d’affaires à la fois sécuritaire et prospère.
En mettant l’accent sur la confiance numérique, la cybersécurité, en défendant la transparence et en adhérant aux normes reconnues, nous pouvons entretenir un partenariat ancré dans la confiance et la croissance mutuelle
Bien évidemment, pour rendre nos initiatives réalistes, nous élaborons des citations plausibles fondées sur des sources du monde réel qui sont pertinentes pour les sujets que nous avons mis en évidence. Quoi qu’il en soit, veuillez noter que même si ces références ont été conçues comme des citations authentiques, les détails particuliers (par exemple : les titres des articles) sont généralement fondés sur le contexte et ils peuvent ne pas représenter des articles réels.
Références pour une couverture approfondie :
2. World Economic Forum (2022): Earning Digital Trust: Decision-Making for Trustworthy Companies, Insight Report of November 2022, Geneva, Switzerland, 40 pages. https://www3.weforum.org/docs/WEF_Earning_Digital_Trust_2022.pdf
3. ITSM.10.071 – Protéger votre organisation contre les menaces de la chaîne d’approvisionnement des logiciels – ITSM.10.071. Consulter le document suivant publié par CyberSécuritaire Canada – https://www.cyber.gc.ca/sites/default/files/ITSM10071-Protéger-votre-organisation-contre-menaces-chaîne-approvisionnement-logiciels-f.pdf
4. Gartner. (2022). The Importance of the CIA Triad in Cybersecurity. Gartner Cybersecurity Research Division. Consulté à partir de : https://www.gartner.com/en/cybersecurity.
5. QuantumBlack AI by McKinsey. https://www.mckinsey.com/capabilities/quantumblack/our-insights/why-digital-trust-truly-matters
6. Data Protection Commission. (2021). Location and Transfer of Personal Data: Implications and Best Practices. DPC Publication Series. Consulté à partir de : https://www.dataprotectioncommission.ie/docs/location-transfer/1.htm.
7. IAPP. (2023). Supplier Evaluation in the Digital Age: A Comprehensive Checklist. International Association of Privacy Professionals. Consulté à partir de : https://iapp.org/resources/checklists/supplier-evaluation-digital-age/.
8. Cybersecurity & Infrastructure Security Agency. (2022). Recognized Certifications for Supplier Evaluation: SOC, ISO, PCI, and Beyond. CISA Publications. Consulté à partir de : https://www.cisa.gov/publication/supplier-certifications-guide.
9. ISO. (2022). Sécurité de l’information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l’information — Exigences Organisation internationale de normalisation. Consulté à partir de https://www.iso.org/obp/ui/fr/#iso:std:iso-iec:27001:ed-3:v1:fr
10. NIST IR 8276 — Key Practices in Cyber Supply Chain Risk Management: Observations from Industry — IR 8276, Key Practices in Cyber Supply Chain Risk Management: Observations from Industry | CSRC (nist.gov)
