Décryptage du cadre de cybersécurité NIST 2.0

Le cadre de cybersécurité du NIST (CSF) aide les organisations à améliorer la gestion des risques en utilisant un langage commun qui se concentre sur les moteurs de l’entreprise pour renforcer la cybersécurité.

La version 1.0 du NIST CSF a été publiée en février 2014 et la version 1.1 en avril 2018. En février 2024, le NIST a publié sa toute nouvelle version du CSF : la 2.0. Le parcours vers le CSF 2.0 a commencé par une demande d’information (RFI) en février 2022. Au cours des deux années suivantes, le NIST a impliqué la communauté de la cybersécurité par le biais d’analyses, d’ateliers, de commentaires et de versions préliminaires afin d’affiner les normes existantes et de créer un nouveau modèle qui reflète l’évolution des défis en matière de sécurité.

Bien que le cœur du CSF reste le même, plusieurs ajouts notables ont été apportés à la nouvelle version. Voici ce que les entreprises doivent savoir sur le nouveau cadre, son impact sur les opérations et la manière dont les équipes informatiques peuvent appliquer efficacement la version 2.0 du CSF à leurs opérations quotidiennes.

Tout d’abord, l’introduction de la fonction « Gouverner », qui sous-tend les cinq fonctions du cadre NIST original : Identifier, Protéger, Détecter, Répondre et Récupérer. Comme indiqué dans la documentation originale du CSF 1.0 : « Ces fonctions ne sont pas destinées à former un chemin séquentiel ni à aboutir à un état final statique souhaité. Au contraire, les fonctions peuvent être exécutées simultanément et en continu pour former une culture opérationnelle qui traite le risque de sécurité dynamique. »

En conséquence, les fonctions sont souvent représentées comme un cercle en cinq parties entourant le cœur du cadre. Chaque fonction mène à la suivante et aucune fonction n’est indépendante d’une autre.

Le NIST CSF 2.0 conserve ces fonctions mais ajoute la fonction « Gouverner » comme un anneau intérieur complet situé sous les cinq fonctions externes. La fonction « Gouverner » veille à ce que les autres fonctions correspondent aux besoins de l’entreprise, soient régulièrement évaluées par les équipes opérationnelles et gérées par des responsables de la sécurité.

En d’autres termes, la fonction « Gouverner » cherche à intégrer le leadership dans le débat sur la sécurité. Bien que cela se produise déjà dans la plupart des entreprises, CSF 2.0 en fait une priorité.

Les deux premières versions du CSF privilégiaient les infrastructures critiques. Bien que d’autres industries et agences aient adopté le cadre, celui-ci a été principalement conçu pour réduire l’impact des incidents de cybersécurité dans le secteur des infrastructures critiques.

Toutefois, l’adoption généralisée du cadre a clairement montré que les pratiques et les processus s’appliquaient aux organisations publiques et privées de tous les secteurs et de toutes les industries. Par conséquent, le NIST CSF 2.0 propose des bonnes pratiques élargies, largement applicables aux entreprises de toutes tailles et de tous types.

Par exemple, le nouveau CSF recommande à toutes les entreprises de créer des profils organisationnels qui décrivent les postures de cybersécurité actuelles et cibles. Cela permet aux entreprises de fixer des objectifs et de définir les pratiques nécessaires pour atteindre ces objectifs. Le nouveau cadre souligne également le rôle des profils communautaires. Ces profils sont créés pour répondre aux intérêts communs en cybersécurité et aux objectifs des entreprises qui occupent le même secteur ou sous-secteur, utilisent des technologies similaires ou sont confrontées à des types de menaces similaires.

Avec son accent sur une gouvernance renforcée et de meilleures pratiques élargies, le nouveau CSF du NIST peut aider les entreprises à renforcer la sécurité et à réduire les risques. Pour mettre en œuvre efficacement ce cadre, les organisations peuvent tirer parti d’une approche en quatre volets.

La portée et l’ampleur étendues du CSF 2.0 peuvent compliquer la mise en œuvre efficace des nouvelles recommandations pour les entreprises, quelle que soit leur taille. Pour les petites entreprises, un support informatique limité peut impacter le développement de nouvelles pratiques, tandis que les grandes organisations peuvent avoir du mal à gérer la complexité de leurs environnements informatiques.

Pour simplifier le processus, les entreprises devraient tirer le meilleur parti des ressources disponibles, telles que :

• Le guide de démarrage rapide CSF 2.0 pour créer des profils organisationnels
• L’outil de référence interrogeable CSF 2.0
• Le catalogue des références informatives du NIST
• Exemples d’implémentation de CSF 2.0

L’étape suivante consiste à mettre les dirigeants dans la boucle. Bien que CSF 2.0 ait été conçu en tenant compte de la gouvernance et de la supervision, de nombreux cadres dirigeants non techniques ont une connaissance limitée du cadre et de son impact. Par conséquent, c’est une bonne idée pour les responsables informatiques (comme les directeurs techniques, les DSI et les RSSI) et leurs équipes de se réunir avec les membres du conseil d’administration et de discuter de l’impact du CSF 2.0. C’est aussi l’occasion de s’assurer que les objectifs de l’entreprise et les stratégies de sécurité sont alignés.

De plus, ces réunions offrent l’occasion de définir des indicateurs clés de sécurité, de déterminer comment ils seront collectés et d’établir un calendrier détaillé pour la collecte, le reporting et l’action. En faisant participer les dirigeants à la conversation dès le début de la mise en œuvre du CSF, les entreprises préparent le terrain pour une visibilité durable.

Dans le cadre de la nouvelle fonction Govern, CSF 2.0 comprend de nouvelles sous-sections sur la gestion des fournisseurs et des prestataires. Par exemple, GV.SC-04 se concentre sur la connaissance et la priorisation des fournisseurs selon leur criticité pour les opérations, tandis que GV.SC-06 traite de la planification et de la diligence raisonnable requises avant d’entrer dans des relations avec des tiers. Enfin, la sous-section GV.SC-10 peut aider les entreprises à planifier la fin d’une relation avec un fournisseur ou un partenaire.

Compte tenu du risque croissant et de l’impact de la compromission de tiers, ces évaluations sont critiques. Si des fournisseurs ou des prestataires ayant accès à des données critiques de l’entreprise sont compromis en raison de mauvaises pratiques de cybersécurité, les organisations sont en danger, indépendamment de leur propre conformité au CSF 2.0.

Pour soutenir les cinq fonctions existantes et fournir les données nécessaires aux nouveaux efforts de gouvernance, les entreprises ont besoin d’outils de gestion et de surveillance capables de détecter les menaces potentielles, de suivre les indicateurs de compromission (IOC) et de prendre des mesures pour réduire le risque total.

Par exemple, les outils de renseignement sur les menaces peuvent aider les organisations à identifier des schémas d’attaque et des cibles courants, fournissant ainsi aux équipes les données nécessaires pour créer et déployer des contre-mesures efficaces. Ces données permettent également de lier les dépenses de sécurité à des résultats commerciaux mesurables.

Si le CSF 2.0 est la version la plus récente du cadre de cybersécurité du NIST, ce n’est pas la dernière. Comme le souligne le NIST, le cadre est conçu comme un document vivant qui évolue pour répondre aux nouveaux besoins en matière de cybersécurité et aider les entreprises à s’adapter à l’évolution des menaces.

En pratique, cela signifie passer des bonnes pratiques aux pratiques courantes. Par exemple, alors que les versions 1.0 et 1.1 proposaient des bonnes pratiques pour les infrastructures critiques, la version 2.0 les intègre comme pratiques courantes pour toutes les organisations tout en définissant une nouvelle bonne pratique : la gouvernance. Avec le temps, cette pratique deviendra courante, ouvrant la voie à d’autres développements qui aideront les entreprises à améliorer la détection des menaces, la réponse aux incidents et la réduction du risque total.