Le National Institute of Standards and Technology (NIST) est une agence non réglementaire qui encourage l'innovation en faisant progresser la science, les normes et la technologie des mesures. Le cadre de cybersécurité du NIST se compose de normes, de lignes directrices et de bonnes pratiques qui aident les organisations à améliorer leur gestion des risques de cybersécurité. 

Conçu pour être suffisamment flexible pour s'intégrer aux processus de sécurité existants de n'importe quelle organisation et de n'importe quel secteur, le cadre de cybersécurité du NIST constitue un excellent point de départ pour mettre en œuvre la sécurité de l'information et la gestion des risques de cybersécurité dans pratiquement n'importe quelle organisation du secteur privé aux États-Unis.

Le décret 13636 sur l'amélioration de la cybersécurité des infrastructures critiques, a été publié le 12 février 2013. Ce décret a marqué le début de la collaboration du NIST avec le secteur privé américain pour « identifier les normes consensuelles volontaires existantes et les bonnes pratiques de l'industrie afin de les intégrer dans un cadre de cybersécurité ». Le résultat de cette collaboration a abouti à la version 1.0 du cadre de cybersécurité du NIST.

La loi sur l'amélioration de la cybersécurité (CEA) de 2014 a élargi les efforts du NIST dans l'élaboration du cadre de cybersécurité. Aujourd'hui, il demeure l'un des cadres de sécurité les plus largement adoptés par l'ensemble des industries américaines.

Le cadre de cybersécurité du NIST comprend des fonctions, des catégories, des sous-catégories et des références informatives. 

Les fonctions donnent un aperçu général des protocoles de sécurité et des bonnes pratiques. Les fonctions ne sont pas censées être des étapes procédurales, mais doivent être exécutées « de manière simultanée et continue pour former une culture opérationnelle qui répond au risque dynamique de cybersécurité ». Les catégories et sous-catégories fournissent des plans d'action plus concrets pour des départements ou des processus spécifiques au sein d'une organisation. 

Voici quelques exemples de fonctions et de catégories du NIST :

• Identification : Pour se protéger contre les cyberattaques, l'équipe de cybersécurité doit avoir une connaissance approfondie des actifs et des ressources les plus importants de l'organisation. La fonction d'identification comprend des catégories telles que la gestion des actifs, l'environnement commercial, la gouvernance, l'évaluation des risques, la stratégie de gestion des risques et la gestion des risques de la chaîne d'approvisionnement.
  
  
• Protection : La fonction de protection couvre une grande partie des contrôles de sécurité techniques et physiques visant à élaborer et à mettre en œuvre des mesures de protection appropriées et à protéger les infrastructures critiques. Ces catégories sont la gestion des identités et le contrôle d'accès, la sensibilisation et la formation, la sécurité des données, les processus et procédures de protection de l'information, la maintenance et les technologies de protection.
  
  
• Détection : La fonction de détection met en œuvre des mesures qui alertent une organisation en cas de cyberattaques. Les catégories de détection comprennent les anomalies et les événements, la surveillance continue de la sécurité et les processus de détection.
  
  
• Réponse : Les catégories de la fonction de réponse assurent une réponse appropriée aux cyberattaques et autres événements liés à la cybersécurité. Les catégories spécifiques comprennent la planification de la réponse, les communications, l'analyse, l'atténuation et les améliorations.
  
  
• Récupération : Les activités de récupération mettent en œuvre des plans de cyber-résilience et assurent la continuité des activités en cas de cyber-attaque, de violation de la sécurité ou d'autres événements liés à la cybersécurité. Les fonctions de récupération sont les améliorations de la planification de la récupération et les communications.

Les références informatives du cadre de cybersécurité du NIST établissent une corrélation directe entre les fonctions, les catégories, les sous-catégories et les contrôles de sécurité spécifiques d'autres cadres. Ces cadres comprennent le Center for Internet Security (CIS) Controls®, COBIT 5, l'International Society of Automation (ISA) 62443-2-1:2009, ISA 62443-3-3:2013, l'Organisation internationale de normalisation et la Commission électrotechnique internationale 27001:2013 ainsi que le NIST SP 800-53 Rev. 4.

Le cadre de cybersécurité du NIST ne dit pas comment inventorier les dispositifs et systèmes physiques ou comment inventorier les plateformes et applications logicielles ; il fournit simplement une liste de contrôle des tâches à accomplir. Les organisations peuvent choisir leur propre méthode pour réaliser l'inventaire. Si une organisation a besoin de conseils supplémentaires, elle peut consulter les références informatives aux contrôles connexes dans d'autres normes complémentaires. Le cadre de cybersécurité offre une grande liberté pour choisir les outils qui répondent le mieux aux besoins de gestion des risques de cybersécurité d'une organisation.

Quatre niveaux ont été définis pour aider les organisations du secteur privé à mesurer leurs progrès dans la mise en œuvre du cadre de cybersécurité du NIST :

• Niveau 1 – Partiel : L'organisation est familiarisée avec le cadre de cybersécurité du NIST ​et peut avoir mis en œuvre certains aspects du contrôle dans certains domaines de l'infrastructure. La mise en œuvre des activités et des protocoles de cybersécurité a été réactive plutôt que planifiée.  L'organisation est peu sensibilisée aux risques de cybersécurité et ne dispose pas des processus et des ressources nécessaires pour assurer la sécurité des informations.
  
  
• Niveau 2 – Informé des risques : L'organisation est plus consciente des risques de cybersécurité et partage les informations de manière informelle. Elle ne dispose pas d'un processus de gestion des  risques  de cybersécurité planifié, reproductible et proactif à l'échelle de l'organisation.
  
  
• Niveau 3 – Reproductible : L'organisation et ses cadres supérieurs sont conscients des risques cybersécurité. Ils ont mis en œuvre un plan de gestion des risques de cybersécurité reproductible à l'échelle de l'organisation. L'équipe de cybersécurité a créé un plan d'action pour surveiller les cyberattaques et y répondre efficacement.
  
  
• Niveau 4 – Adaptatif : L'organisation est désormais cyber-résistante et utilise les leçons apprises et les indicateurs prédictifs pour prévenir les cyber-attaques. L'équipe de cybersécurité améliore et fait progresser en permanence les technologies et les pratiques de cybersécurité de l'organisation et s'adapte rapidement et efficacement à l'évolution des menaces. Il existe une approche de la gestion des risques liés à la sécurité de l'information à l'échelle de l'organisation, avec une prise de décision, des stratégies, des procédures et des processus basés sur les risques.  Les organisations adaptatives intègrent la gestion des risques de cybersécurité dans leurs décisions budgétaires et leur culture organisationnelle.

Le cadre de cybersécurité du NIST fournit un guide détaillé sur la façon d'établir ou d'améliorer son programme de gestion des risques liés à la sécurité de l'information :

1. Établir les priorités et l'étendue du projet :  Définir clairement l'étendue du projet et identifier les priorités. Établir les principaux objectifs de l'entreprise ou de la mission, les besoins de l'entreprise, et déterminer la tolérance aux risques de l'organisation.
   
   
2. Orienter : Faire le point sur les actifs et les systèmes de l'organisation et identifier les réglementations applicables, l'approche du risque et les menaces auxquelles l'organisation pourrait être exposée.
   
   
3. Créer un profil actuel : Un profil actuel est un instantané de la manière dont l'organisation gère les risques à l'heure actuelle, comme défini par les catégories et sous-catégories du cadre de cybersécurité.
   
   
4. Effectuer une évaluation des risques : Évaluer l'environnement opérationnel, les risques émergents et les informations sur les menaces de cybersécurité afin de déterminer la probabilité et la gravité d'un événement de cybersécurité pour l'organisation.
   
   
5. Créer un profil cible : Un profil cible représente l'objectif de gestion des risques de l'équipe de sécurité de l'information.
   
   
6. Déterminer, analyser et hiérarchiser les écarts : En identifiant les écarts entre le profil actuel et le profil cible, l'équipe de sécurité de l'information peut créer un plan d'action, comprenant des étapes mesurables et les ressources (personnes, budget, temps) nécessaires pour combler ces écarts.
   
   
7. Mettre en œuvre le plan d'action : Mettre en œuvre le plan d'action défini à l'étape 6.