La violation de SolarWinds rappelle utilement que les adversaires modernes, à la fois les cybercriminels et les acteurs étatiques hostiles, continuent d’innover et d’évoluer en sophistication, en ruse et en persévérance. Ils utilisent la même technologie avancée
outils dans le développement de leurs attaques – heuristique, apprentissage automatique, intelligence artificielle, intégration accrue et automatisation – que les fournisseurs de technologies et les fournisseurs de services légitimes utilisent pour défendre leurs entreprises et leurs clients. C’est une bataille dans laquelle les attaquants ont généralement l’avantage du premier arrivé : il est plus facile d’attaquer que de détecter, de contenir, de terminer et de se remettre d’une attaque.

La mise en œuvre d’un cadre de sécurité ISO/IEC ou NIST complet dépasse souvent les besoins et les ressources de nombreux MSP, mais la philosophie qui les sous-tend peut toujours être utile. Ils fournissent un vocabulaire et une méthodologie éprouvés pour gérer le risque de cybersécurité. En commençant par ces questions de base, vous pouvez commencer à identifier et à atténuer systématiquement les risques de sécurité de votre chaîne d’approvisionnement logicielle. Un état d’esprit basé sur un cadre peut vous aider à identifier les domaines dans lesquels les processus existants peuvent être renforcés et de nouveaux processus mis en œuvre, ainsi qu’à hiérarchiser vos exigences de sécurité et à définir des attentes appropriées avec vos fournisseurs et partenaires.