Qu’est-ce que le cadre des exigences de cybersécurité du NIST ?

Qu’est-ce que le cadre des exigences de cybersécurité du NIST ?

Le cadre de cybersécurité du NIST (NIST CSF) offre des conseils et dévoile les bonnes pratiques que les entreprises du secteur privé peuvent suivre pour améliorer la sécurité de l’information et la gestion des risques liés à la cybersécurité.

Le National Institute of Standards and Technology (NIST) est un organisme non réglementaire qui promeut l’innovation en faisant progresser la science des mesures, les normes et la technologie.

Le CSF du NIST est suffisamment flexible pour s’intégrer aux processus de sécurité existants au sein de n’importe quelle entreprise, dans n’importe quel secteur. Il constitue un excellent point de départ pour mettre en œuvre la sécurité de l’information et la gestion des risques liés à la cybersécurité dans pratiquement toutes les entreprises du secteur privé aux États-Unis.

Histoire du cadre des exigences de cybersécurité du NIST

Le 12 février 2013, l’ordre exécutif (EO) 13636, visant à améliorer la cybersécurité des infrastructures critiques, a été publié. C’est ainsi que le NIST a travaillé avec le secteur privé américain pour « identifier les normes de consensus volontaires existantes et les bonnes pratiques des secteurs afin de les intégrer dans un cadre de cybersécurité ». Le résultat de cette collaboration a été la version 1.0 du cadre des exigences de cybersécurité du NIST.

Le Cybersécurité Enhancement Act (CEA) de 2014 a élargi les efforts du NIST dans le développement du cadre des exigences en matière de cybersécurité. Aujourd’hui, le CSF du NIST reste l’un des cadres des exigences les plus largement adoptés dans tous les secteurs aux États-Unis.

Structure de base du cadre des exigences de cybersécurité NIST

Le cadre des exigences de cybersécurité du NIST comprend des fonctions, des catégories, des sous-catégories et des références informatives.

Les fonctions donnent un aperçu général des protocoles de sécurité et des bonnes pratiques. Les fonctions ne sont pas destinées à être des étapes procédurales, mais sont exécutées « simultanément et en continu afin de créer une culture opérationnelle qui adresse le risque lié à la cybersécurité ». La catégorie et les sous-catégories fournissent des plans d’action plus concrets pour des départements ou des processus spécifiques au sein d’une entreprise.

Voici quelques exemples de fonctions et de catégories NIST :

  • Identifier : pour se protéger contre les cyberattaques, l’équipe de cybersécurité doit avoir une bonne compréhension des actifs et des ressources les plus importants de l’entreprise. La fonction d’identification comprend des catégories telles que la gestion des actifs, l’environnement commercial, la gouvernance, l’évaluation des risques, la stratégie de gestion des risques et la gestion des risques de la chaîne d’approvisionnement.

  • Protéger : la fonction de protection couvre une grande partie des contrôles de sécurité techniques et physiques pour développer et mettre en œuvre des mesures de protection appropriées et protéger les infrastructures critiques. Ces catégories sont la gestion des identités et le contrôle des accès, la sensibilisation et la formation, la sécurité des données, les processus et procédures de protection des informations, la maintenance et les technologies de protection.

  • Détecter : la fonction de détection met en œuvre des mesures qui alertent l’entreprise en cas de cyberattaques. Les catégories de détection comprennent les anomalies, la sécurité, la surveillance continue de et les processus de détection précoce.

  • Répondre : les catégories de fonctions de réponse garantissent une réponse appropriée aux cyberattaques et autres événements de cybersécurité. Les catégories spécifiques comprennent la planification de la réponse, les communications, l’analyse, l’atténuation et les améliorations.

  • Récupérer : les activités de récupération mettent en œuvre des plans de cyber-résilience et assurent la continuité des activités en cas de cyberattaque, de violation de la sécurité ou d’autre événement de cybersécurité. Les fonctions de récupération sont l’amélioration de la planification de la reprise et les communications.

Les références informatives du NIST CSF établissent une corrélation directe entre les fonctions, la catégorie, les sous-catégories et les contrôles de sécurité spécifiques d’autres cadres d’exigences. En voici quelques exemples :

  1. The Center for Internet Security (CIS) Controls
  2. COBIT 5
  3. Société internationale d’automatisation (ISA) 62443-2-1:2009
  4. ISA 62443-3-3:2013
  5. Entreprise internationale de normalisation et commission électrotechnique internationale 27001:2013
  6. NIST SP 800-53 Rév. 4

Le CSF du NIST n’indique pas comment faire l’inventaire des appareils et systèmes physiques, ni comment faire le stock des plateformes et applications logicielles. Il fournit simplement une liste de contrôle des tâches à effectuer. Une entreprise peut choisir sa propre méthode pour réaliser le stock.

Si une entreprise a besoin de conseils supplémentaires, elle peut se référer aux références informatives aux contrôles connexes dans d’autres normes complémentaires. Le CSF offre une grande liberté pour sélectionner les outils qui répondent le mieux aux besoins de gestion des risques liés à la cybersécurité d’une entreprise.

Niveaux de mise en œuvre du cadre des exigences NIST

Pour aider les entreprises à mesurer leurs progrès dans la mise en œuvre du cadre des exigences de cybersécurité, celui-ci identifie quatre niveaux de mise en œuvre :

  • Niveau 1 – Partiel : l’entreprise est familière avec le CSF du NIST et a peut-être mis en œuvre certains aspects de contrôle dans une partie des domaines de l’infrastructure. La mise en œuvre des activités et des protocoles de cybersécurité a été réactive plutôt que planifiée. L’entreprise est peu sensibilisée aux risques liés à la cybersécurité et ne dispose pas des processus et des ressources nécessaires pour assurer la sécurité de l’information.

  • Niveau 2 – Prise en compte des risques : L’entreprise est plus consciente des risques liés à la cybersécurité et partage des informations de manière informelle. Elle ne dispose pas d’un processus de gestion des risques liés à la cybersécurité planifiée, reproductible et proactive à l’échelle de l’entreprise.

  • Niveau 3 – Répétable : l’entreprise et ses cadres supérieurs sont conscients des risques liés à la cybersécurité. Ils ont mis en place un plan de gestion des risques liés à la cybersécurité reproductible à l’échelle de l’entreprise. L’équipe de cybersécurité a élaboré un plan d’action pour surveiller les cyberattaques et y répondre efficacement.

  • Niveau 4 – Adaptatif : l’entreprise est désormais Resilient  et utilise les leçons tirées et les indicateurs prédictifs pour prévenir les cyberattaques. L’équipe de cybersécurité améliore et fait progresser en permanence les technologies et les pratiques de cybersécurité de l’entreprise et s’adapte rapidement et efficacement à l’évolution des menaces. Il existe une approche de la gestion des risques liés à la sécurité de l’information à l’échelle de l’entreprise, avec des décisions, des politiques, des procédures et des processus tenant compte des risques. Les entreprises adaptatives intègrent la gestion des risques liés à la cybersécurité dans leurs décisions budgétaires et leur culture organisationnelle.

Mise en place d’un programme de gestion du cadre des exigences risque lié à la cybersécurité du NIST

Le cadre des exigences de cybersécurité du NIST fournit un guide étape par étape sur la manière de mettre en place ou d’améliorer son programme de gestion des risques liés à la sécurité de l’information :

  1. Priorités et portée : faites-vous une idée claire de la portée du projet et identifiez les priorités. Établissez les objectifs métier ou de mission de haut niveau, les besoins métier et déterminez la tolérance aux risques de l’entreprise.

  2. Orienter : évaluer les actifs et les systèmes de l’entreprise et identifier les réglementations applicables, l’approche des risques et les menaces qui pèsent sur l’entreprise.

  3. Créer un profil actuel : un profil actuel est un aperçu de la manière dont l’entreprise gère les risques tels que définis par la catégorie et les sous-catégories du CCA.

  4. Procéder à une évaluation des risques : évaluer l’environnement opérationnel, les risques émergents et les informations sur les menaces de cybersécurité afin de déterminer la probabilité et la gravité d’un événement de cybersécurité.

  5. Créer un profil cible : un profil cible représente l’objectif de gestion des risques de l’équipe de sécurité des informations.

  6. Déterminer, analyser et hiérarchiser les écarts : en identifiant les écarts entre le profil actuel et le profil cible, l’équipe de sécurité de l’information peut créer un plan d’action, comprenant des étapes mesurables et les ressources (personnes, budget, temps) nécessaires pour combler ces écarts.

  7. Mettre en œuvre le plan d’action : mettre en œuvre le plan d’action défini à l’étape 6.