home Technologie de fabrication Équipement de fabrication
Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Manufacturing Technology >> Technologie industrielle

Cinq étapes de Cisco pour une cybersécurité tierce efficace

Il est déjà assez difficile de renforcer la cybersécurité dans les murs de votre propre entreprise. Mais faire de même pour l'armée de partenaires qui constitue une chaîne d'approvisionnement mondiale ? Cela peut être presque impossible.

Il ne se passe pas une semaine sans nouvelle d'une nouvelle cyberattaque contre la chaîne d'approvisionnement d'une grande entreprise. Et le plus souvent, le conduit de l'incursion est un tiers avec des contrôles faibles.

Dans les chaînes d'approvisionnement modernes, un tiers peut être toute entité qui vend des pièces, des produits, des services, du support, des logiciels - la liste est longue. "Pour moi, cela comprend toute personne autre que nous-mêmes qui, à n'importe quel stade de la chaîne de valeur, est réellement impliquée dans nos solutions", déclare Edna Conway, responsable de la sécurité de la chaîne de valeur mondiale chez Cisco Systems, Inc.

Cisco privilégie le terme « chaîne de valeur » - qu'un certain nombre d'entreprises et de consultants ont tenté sans succès de remplacer « chaîne d'approvisionnement » comme descripteur général du parcours de bout en bout du produit jusqu'au marché - car il suggère un univers plus large de entités indépendantes engagées dans cet effort. Mais que l'on adopte ou non le buzzspeak des entreprises, il ne fait aucun doute que la prolifération des partenaires soulève de sérieux problèmes de cybersécurité. Sans systèmes et procédures adéquats en place, n'importe lequel d'entre eux pourrait être la proie des efforts de mauvais acteurs, y compris des entreprises rivales, des gouvernements, des extorqueurs et même des pirates informatiques.

Conway propose l'approche en cinq étapes suivante pour mettre en place un plan de cybersécurité efficace pour les relations avec les tiers.

1. Connaître le « qui, quoi et où » de votre chaîne d'approvisionnement. Aussi évident que cela puisse paraître, de nombreuses entreprises ne maîtrisent pas toutes les parties qui contribuent d'une manière ou d'une autre à l'entreprise. C'est particulièrement le cas dans les chaînes d'approvisionnement à plusieurs niveaux - et il est difficile de penser à un produit manufacturé aujourd'hui qui ne repose pas sur une telle structure.

2. Cherchez des moyens de communiquer efficacement avec toutes ces parties. Conway ne fait pas référence à toutes les interactions qui couvrent les problèmes géopolitiques ou à la continuité de l'approvisionnement, mais uniquement à celles qui traitent spécifiquement des problèmes de sécurité. À ce titre, elle décrit trois principaux types de menaces :la manipulation (lorsque les informations sont altérées), l'espionnage (à la fois national et industriel) et la perturbation (impliquant des tentatives de fermeture de l'entreprise). Elle dit qu'il peut être difficile de faire comprendre à un développeur de licences logicielles ou à un fournisseur de services cloud tiers l'importance de se prémunir contre les trois menaces. Il en va de même pour les personnes dans l'usine, dont l'attention peut être concentrée sur le maintien de la ligne. « Il faut de la formation pour intégrer la sécurité dans la réflexion quotidienne de quiconque, quel que soit son rôle », déclare Conway.

3. Développer une architecture « flexible et élastique ». L'approche de Cisco en matière de sécurité de la chaîne d'approvisionnement englobe 11 domaines distincts qui reflètent la complexité de ses processus. Conception, développement, livraison et service :chaque discipline entretient des relations avec des tiers, créant la possibilité d'innombrables points faibles à la fois à l'intérieur et à l'extérieur de l'organisation. La stratégie tient compte du fait que divers domaines de production nécessitent des directives propres à leurs opérations. « Nous avons rédigé les exigences de manière à ce que vous puissiez les cartographier, de sorte que seules celles qui sont basées sur la nature de ce que vous nous fournissez s'appliquent », explique Conway. « Tout le monde reçoit une version personnalisée. »

4. Intégrez la sécurité dans tout ce que vous faites avec des tiers. Conway exhorte les entreprises à se poser la question :« Pourquoi les utilisons-nous et comment fonctionnent-elles selon nos métriques de service ? » Ironiquement, à l'époque où la « qualité » était proclamée dans les bannières et les rassemblements d'entreprise, le concept n'était pas « imprégné de manière convaincante » au sein de l'organisation. En matière de cybersécurité aujourd'hui, la qualité n'est pas un slogan ou une fonction distincte, dit Conway - elle est inculquée dans chaque processus de la chaîne d'approvisionnement. Cisco attribue des points à des tiers en fonction de leur adhésion démontrée à la qualité, et la sécurité est un élément clé de cette mesure. "Nous le rendons mathématiquement significatif, donc si vous êtes un fournisseur fantastique mais horrible en matière de sécurité, vous ne resterez peut-être pas un fournisseur préféré", dit-elle.

5. Tout le monde doit mesurer . Conway s'est efforcé de mesurer les performances dans l'ensemble de l'organisation. « Nous établissons des niveaux de tolérance par rapport à nos propres spécifications et processus », dit-elle. "En fin de compte, nous faisons en sorte que la sécurité parle le langage des affaires."

L'initiative de sécurité de Cisco n'a pas été mise en œuvre d'un seul coup. Conway, qui était auparavant avocat externe pour la société spécialisée dans les questions de propriété intellectuelle, est devenu son CSO au début des années 2000. Plutôt que d'imposer immédiatement une « architecture monolithique » dès le départ, elle l'a fait par étapes, en commençant par les partenaires de systèmes de fabrication électronique (EMS) de Cisco, puis en passant aux producteurs de circuits imprimés, à l'ingénierie et à la multitude de partenaires de distribution qui composent le réseau de l'entreprise. « chaîne de valeur ».

En prêchant l'évangile de la cybersécurité, Conway considère qu'il est essentiel de communiquer avec la suite exécutive, dont la vision du monde est ancrée dans les profits et les pertes. « J'aimerais traduire mes niveaux de tolérance en risque dollar », dit-elle. « Nous devons tous parler le langage des affaires. »


Technologie industrielle

  • Processus de fabrication
  • impression en 3D
  • Système de contrôle d'automatisation
  • Technologie industrielle

    1. Cinq étapes pour mettre en place un programme de maintenance préventive efficace
    2. Rénovation de la cybersécurité
    3. Cinq avantages de l'évaluation des risques de cybersécurité
    4. Trois étapes pour la sécurité globale de l'IoT
    5. Six étapes à suivre lors de la mise en œuvre de la sécurité de l'IoT industriel
    6. Cinq étapes que les expéditeurs peuvent utiliser pour surveiller les coûts UPS
    7. Cinq questions à poser sur les fournisseurs tiers et la cybersécurité
    8. Approvisionnement stratégique :cinq étapes pour garantir les meilleurs fournisseurs
    9. Trois étapes pour sécuriser les chaînes d'approvisionnement sous pression