Gestion De La Confidentialité Des Données

Guide du cadre de cybersécurité du NIST

Cadre de cybersécurité du NIST



LeCadre de cybersécurité du National Institute of Standards and Technology (NIST) des États-Unisfournit un cadre politique d'orientation en matière de sécurité informatique sur la manière dont les organisations peuvent évaluer et améliorer leur capacité à prévenir, détecter et répondre aux cyberattaques. Le cadre fournit une catégorisation de haut niveau des résultats en matière de cybersécurité et une méthodologie pour évaluer et gérer ces résultats.

Aperçu du cadre

LeCadre de cybersécurité du NIST (CSF)est une approche basée sur les risques conçue pour permettre aux entreprises d'évaluer et de gérer les risques de cybersécurité. Bien que le cadre soit publié par l'agence du Département du commerce des États-Unis, la taxonomie commune des normes, lignes directrices et pratiques qu'il propose n'est pas spécifique à un pays ; cela explique pourquoi il est utilisé par de nombreux gouvernements, entreprises et organisations dans le monde.



Le Cadre ne remplace pas le programme de gestion des risques ou de cybersécurité d’une organisation ; il complète plutôt le programme existant et apporte de la valeur en agissant comme un outil de haut niveau en matière de sécurité, de gestion et d’évaluation des risques. Les organisations peuvent tirer parti du cadre pour identifier les opportunités de renforcer et de communiquer leur gestion des risques de cybersécurité tout en s'alignant sur les pratiques du secteur.

Il est conçu pour les entreprises, les agences gouvernementales et les organisations à but non lucratif, quelle que soit leur orientation ou leur taille. Une organisation commence généralement par utiliser le cadre pour développer un « profil actuel », qui décrit ses activités de cybersécurité et ses résultats. Il peut ensuite créer un « profil cible » ou adopter un profil de référence adapté à son secteur industriel (par exemple, industrie de l’énergie ou des télécommunications) ou à son type d’organisation. Il peut alors définir des étapes pour permettre sa transition de son profil actuel vers son profil cible.



Le NIST CSF se compose de trois éléments principaux :

  • Le noyau du cadreCelui-ci contient diverses activités, résultats et références sur les aspects et les approches de la cybersécurité.
  • Les niveaux de mise en œuvre du cadreCeux-ci sont utilisés par une organisation pour clarifier, pour elle-même et pour ses partenaires, la manière dont elle perçoit le risque de cybersécurité et le degré de sophistication de son approche de gestion.
  • Le profil du cadreIl s'agit d'une liste de résultats qu'une organisation a choisis parmi les catégories et sous-catégories en fonction de ses besoins et de ses évaluations des risques.

Le noyau du cadre

Le Framework Core présente les normes, directives et pratiques de l'industrie qui permettent la communication des activités de cybersécurité et des résultats souhaités dans l'ensemble de l'organisation, du niveau exécutif au niveau de mise en œuvre/opérations.

Les matériaux de base sont organisés en cinq « Les fonctions, ' subdivisé en ' Catégories » tels que la gestion des actifs, la gestion des identités et le contrôle d'accès, ainsi que les processus de détection. Pour chaque catégorie, le cadre définit plusieurs « Sous-catégories » Les résultats de la cybersécurité et les contrôles de sécurité tels que les systèmes d'information externes sont catalogués, les données au repos sont protégées et les notifications des systèmes de détection font l'objet d'une enquête. Pour chaque sous-catégorie, le cadre fournit également « Ressources informatives ' faisant référence à des sections spécifiques de diverses autres normes de sécurité de l'information (telles que OIN 27001 , COBIT, ANSI/ISA-62443, etc.) et des pratiques qui illustrent une méthode pour atteindre les résultats associés à chaque sous-catégorie. Les cinq fonctions du Framework Core comprennent : identifier, protéger, détecter, répondre et récupérer.

Les cinq fonctions du NIST Cybersecurity Framework Core
Graphique 1.0 | Les cinq fonctions du NIST Cybersecurity Framework Core

Identifier: Les activités de la fonction d'identification sont fondamentales pour l'utilisation efficace du cadre.

Pour qu’une organisation puisse concentrer et prioriser efficacement ses efforts, conformément à sa stratégie de gestion des risques et à ses besoins commerciaux, une bonne compréhension du contexte commercial, des ressources qui soutiennent les fonctions critiques et des risques de cybersécurité associés sont essentielles.

La fonction d'identification aide à comprendre la gestion des risques de cybersécurité pour les systèmes, les actifs, les données, les capacités et les personnes au sein de l'organisation. Voici des exemples de catégories de résultats au sein de cette fonction : gestion des actifs ; Environnement de travail; Gouvernance ; Évaluation des risques et stratégie de gestion des risques. Les activités clés qui se déroulent dans ce groupe comprennent :

  • Identifier les actifs physiques (personnel, installations, etc.) et numériques (appareils, systèmes, données, logiciels, etc.) pour établir la base d'un programme de gestion des actifs.
  • Identifier l’environnement commercial de l’organisation, y compris sa mission, ses objectifs, ses parties prenantes, ses activités et son rôle dans la chaîne d’approvisionnement. Ces informations sont utilisées pour éclairer les rôles, les responsabilités et les décisions de gestion des risques en matière de cybersécurité.
  • Identifier les politiques, procédures et processus de cybersécurité établis pour surveiller et gérer les exigences réglementaires, juridiques, de risque, environnementales et opérationnelles de l'organisation. La compréhension de ceux-ci éclaire la gestion des risques de cybersécurité.
  • Identifier les cyber-risques et menaces aux opérations organisationnelles (y compris la mission, les fonctions, l’image ou la réputation), aux vulnérabilités des actifs, aux menaces pesant sur les ressources internes et externes de l’entreprise et aux activités de réponse.
  • Établir une stratégie de gestion des risques, y compris l'identification des contraintes, des tolérances au risque et des hypothèses. Ceux-ci sont utilisés pour soutenir les décisions en matière de risque opérationnel.
  • Établir une stratégie de gestion des risques de la chaîne d'approvisionnement, y compris les processus permettant d'identifier, d'évaluer et de gérer les risques de la chaîne d'approvisionnement. Ceux-ci sont utilisés pour soutenir les décisions en matière de risques associées à la gestion des risques de la chaîne d’approvisionnement.

Protéger: Les activités de la fonction de protection sont fondamentales pour l'élaboration et la mise en œuvre de garanties appropriées pour garantir la prestation des services critiques.

Il prend en charge la capacité de limiter ou de contenir l’impact d’un incident potentiel de cybersécurité. Voici des exemples de catégories de résultats au sein de cette fonction : Gestion des identités et contrôle d'accès ; Sensibilisation et formation ; Sécurité des données; Processus et procédures de protection des informations ; Technologie de maintenance et de protection. Les activités clés qui se déroulent dans ce groupe comprennent :

  • Mettre en œuvre des protections pour la gestion des identités et le contrôle d'accès au sein de l'organisation afin de garantir que l'accès aux actifs physiques et numériques est limité aux utilisateurs, processus ou appareils autorisés,
  • Donner du pouvoir au personnel grâce à formation de sensibilisation à la sécurité pour exercer leurs fonctions et responsabilités en toute sécurité, conformément aux politiques et procédures de cybersécurité connexes.
  • Établir une protection de la sécurité des données cohérente avec la stratégie de risque de l'organisation pour protéger la confidentialité, l'intégrité et la disponibilité des informations
  • Mettre en œuvre des politiques, des processus et des procédures de sécurité pour maintenir et gérer la protection des systèmes d'information et des actifs
  • Gérer la technologie pour garantir la sécurité et la résilience des systèmes, conformément aux politiques, procédures et accords organisationnels.

Détecter: La fonction Détecter définit, développe et met en œuvre les activités appropriées pour identifier rapidement les incidents de cybersécurité.

Des exemples de catégories de résultats au sein de cette fonction comprennent les anomalies et les événements ; Surveillance continue de la sécurité et processus de détection. Les actions clés qui ont lieu dans ce groupe comprennent :

  • Surveiller votre réseau à la recherche d'utilisateurs ou de connexions non autorisés et mettre en œuvre des mécanismes de détection pour garantir une sensibilisation rapide aux activités malveillantes.
  • Enquêter sur toute activité inhabituelle sur votre réseau et garantir que toute activité anormale est détectée rapidement et que l'impact potentiel des événements est compris.
  • Mettez en œuvre des capacités de surveillance continue pour surveiller les actifs informatiques, identifier les événements de cybersécurité et vérifier l’efficacité des mesures de protection.

Répondre: La fonction de réponse prend en charge la capacité à contenir l'impact d'un incident de cybersécurité potentiel en permettant le développement et la mise en œuvre d'activités appropriées pour prendre des mesures concernant un incident de sécurité détecté.

Des exemples de catégories de résultats au sein de cette fonction comprennent la planification de la réponse ; Communications ; Analyse; Atténuation et améliorations. Les activités clés qui se déroulent dans ce groupe comprennent :

  • Veiller à ce que les processus et procédures de réponse soient maintenus et exécutés pour garantir une réponse rapide aux événements de cybersécurité détectés.
  • Informer les clients, les employés et les autres parties prenantes clés dont les données peuvent être menacées pendant et après un incident de cybersécurité
  • Réaliser des activités d'atténuation pour empêcher l'expansion d'un événement et ses effets et résoudre l'incident.
  • Mettre à jour votre politique et votre plan de cybersécurité avec les enseignements tirés des activités de détection/réponse actuelles et précédentes et mettre en œuvre ces améliorations

Récupérer: La fonction de récupération prend en charge la reprise rapide des opérations normales qui ont été affectées en raison d'un incident de cybersécurité. Il soutient également l’élaboration et la mise en œuvre d’activités appropriées pour maintenir les plans de résilience.

Des exemples de catégories de résultats au sein de cette fonction comprennent la planification du rétablissement ; Améliorations et communications. Les actions clés qui ont lieu dans ce groupe comprennent :

  • Veiller à ce que les processus et procédures de récupération soient maintenus et exécutés et assurer la restauration en temps opportun des systèmes ou des actifs affectés par des incidents de cybersécurité.
  • Mettre en œuvre des améliorations en intégrant les leçons apprises dans les activités futures et les examens des stratégies existantes.
  • Coordonner les communications internes et externes pour tenir les employés, les clients et les autres parties prenantes informés de vos activités d'intervention et de rétablissement.

Niveaux de mise en œuvre du cadre

Les niveaux du cadre sont un système de classement échelonné (niveaux 1 à 4) qui décrit un degré croissant de rigueur et de sophistication dans les pratiques de gestion des risques de cybersécurité. Les niveaux supérieurs représentent un degré plus élevé de complexité et de maturité dans la gestion des risques et des réponses en matière de cybersécurité. Cela permet de déterminer dans quelle mesure la gestion des risques de cybersécurité est éclairée par les besoins de l’entreprise et intégrée dans les pratiques globales de gestion des risques d’une organisation. Il fournit un contexte aux parties prenantes quant à la mesure dans laquelle le programme de cybersécurité d’une organisation présente les caractéristiques du NIST CSF.

Le NIST indique clairement que les niveaux de mise en œuvre ne sont pas conçus pour être un modèle de maturité. Au lieu de cela, ils sont destinés à servir de référence pour faire le point sur les pratiques actuelles de gestion des risques de cybersécurité et aider les organisations à élaborer des plans pour améliorer leur posture de cybersécurité. Il existe au total quatre niveaux de mise en œuvre. Chacun des niveaux est divisé en trois éléments principaux : les processus de gestion des risques, le programme de gestion des risques et la participation externe. Le NIST décrit les niveaux comme indiqué dans le tableau ci-dessous :

1PartielPas de coordination en matière de cybersécurité. Les pratiques de cybersécurité sont adaptées aux risques rencontrés.
deuxInformé sur les risquesPartage et coordination informels. L'organisation est consciente de certains risques et planifie la manière d'y répondre.
3RépétableCoordination formalisée régulière. L'organisation dispose de processus de cybersécurité clairement définis et régulièrement reproductibles.
4AdaptatifGestion active des risques et partage d’informations. L’organisation met en place de manière proactive des mesures de cybersécurité.

Tableau 1.0 Niveaux de mise en œuvre du NIST CSF

PartielPratiques de gestion des risques non formalisées. Approche.réactiveSensibilisation limitée aux cyber-risques et gestion irrégulière des risquesAucune collaboration externe
Informé sur les risquesPratiques approuvées, mais peu utilisées comme politiquePlus de sensibilisation aux risques et de partage interne, mais aucune approche établie à l'échelle de l'organisation pour gérer les risquesCollabore, mais pas de partage d’informations formalisé
RépétableApprouvé en tant que politique et mis à jour régulièrementLes politiques, processus et procédures tenant compte des risques sont définis, mis en œuvre comme prévu et examinés.Collaborer et recevoir des informations régulièrement
AdaptatifAmélioration continueApproche à l’échelle de l’organisation pour gérer les risques de cybersécuritéPartage activement les informations en interne et en externe

Tableau 2.0 Niveaux de mise en œuvre du NIST CSF et ses composants

Le profil du cadre

Selon le NIST, « un Framework Profile permet aux organisations d’établir une feuille de route pour réduire les risques de cybersécurité qui est bien alignée sur les objectifs organisationnels et sectoriels, prend en compte les exigences légales/réglementaires et les meilleures pratiques du secteur, et reflète les priorités de gestion des risques ». Les profils de cadre peuvent être utilisés pour décrire « l’état actuel » de votre organisation (profil actuel) ou votre « état futur » souhaité (profil cible) d’un niveau de cybersécurité spécifique. L’état tel quel ou le profil actuel indique les résultats en matière de cybersécurité actuellement atteints. En revanche, l’état futur ou profil cible montre les résultats nécessaires pour atteindre les objectifs souhaités en matière de gestion des risques de cybersécurité.

Une organisation peut utiliser des profils pour comparer son profil actuel à un profil cible. Selon le NIST, les profils répondent aux exigences commerciales d’une organisation et aident à communiquer les risques au sein de l’organisation, tant en interne qu’en externe. Ce faisant, l’organisation peut constater les lacunes de sa posture de cybersécurité et identifier les opportunités d’amélioration. La rapidité avec laquelle une organisation réagit pour atténuer ces lacunes dépend de ses besoins commerciaux et de ses processus de gestion des risques.

Profil NIST CSF : vs actuel. État cible
Graphique 2.0 | Profil NIST CSF : vs actuel. État cible

Comment utiliser le cadre de cybersécurité du NIST

Le NIST CSF n'est pas conçu pour remplacer vos processus existants mais pour les compléter. Une organisation peut utiliser le cadre comme élément crucial de son « processus systématique d’identification, d’évaluation et de gestion des risques de cybersécurité ». En utilisant le cadre comme outil de gestion des risques de cybersécurité, une organisation peut déterminer les activités critiques de prestation de services et hiérarchiser les dépenses afin de maximiser l’impact de l’investissement. Les sections suivantes présentent différentes manières dont les organisations peuvent utiliser le Cadre, comme indiqué dans le document Cadre.

  1. Examen de base des pratiques de cybersécurité : Le Framework peut être utilisé pour comparer les activités actuelles d’une organisation en matière de cybersécurité avec celles décrites dans le Framework Core. Le cadre peut également aider une organisation à répondre à des questions clés telles que où elle se trouve et où elle va. Ils pourront alors agir de manière plus éclairée pour renforcer leurs pratiques de cybersécurité là où et quand cela sera jugé nécessaire.
  2. Établir ou améliorer un programme de cybersécurité : Bien que le cadre ne soit pas destiné à être utilisé comme cadre autonome pour développer un programme de sécurité de l’information, il peut servir de base pour développer un programme de cybersécurité à l’échelle de l’entreprise. Les bons programmes de sécurité sont généralement construits à partir de plusieurs sources ou points de vue, et le framework NIST fournit de nombreux excellents outils pour y parvenir. Le cadre peut également être personnalisé ou associé à d'autres cadres ou normes tels que ISO/IEC 27000, COBIT 5, ANSI/ISA 62443 et NIST SP 800-53 pour renforcer votre programme de cybersécurité.
  3. Communiquer les exigences en matière de cybersécurité avec les parties prenantes : Le cadre fournit un langage commun pour communiquer les exigences entre les parties prenantes interdépendantes chargées de fournir des produits et services d’infrastructures critiques essentiels. Une organisation peut utiliser le cadre pour communiquer son état actuel et souhaité en matière de cybersécurité via un profil actuel et un profil cible aux parties prenantes essentielles.
  4. Décisions d'achat : Un cadre peut être utilisé pour éclairer les décisions concernant l’achat de produits et de services. Une fois qu'un produit ou un service est acheté, le profil peut également être utilisé pour suivre et traiter les risques résiduels de cybersécurité.
  5. Identifier les opportunités de références informatives nouvelles ou révisées : Le cadre peut être utilisé pour identifier les opportunités de normes, lignes directrices ou pratiques nouvelles ou révisées où des références informatives supplémentaires aideraient les organisations à répondre aux besoins émergents.

Conclusion

Le NIST CSF est un outil puissant pour organiser et améliorer votre posture de cybersécurité. Il s’appuie sur des normes et pratiques reconnues et représente les meilleures pratiques actuelles en matière de cybersécurité. La mise en œuvre du cadre est volontaire, ce qui signifie qu’il n’y a pas de bonne ou de mauvaise manière de procéder. Si vous souhaitez améliorer la façon dont votre organisation identifie, détecte, répond et se remet des cyber-risques, le NIST CSF est un excellent outil à intégrer dans votre programme de cybersécurité. Pour maximiser ses avantages, vous devrez le personnaliser et l’adapter pour répondre aux processus et priorités métier spécifiques de votre organisation. Si vous ne savez pas par où commencer, Le NIST fournit beaucoup matériaux que vous pouvez utiliser pour commencer à utiliser le framework.

FAQ sur le cadre de cybersécurité du NIST

Qu'est-ce que le cadre de cybersécurité du NIST ?

NIST est l'Institut national des normes et de la technologie. Il s’agit d’une agence du ministère du Commerce des États-Unis. L'organisation produit de nombreuses normes et directives, parmi lesquelles le NIST Cybersecurity Framework. Ce système est un guide des mesures que les entreprises doivent prendre pour réduire les risques de cybersécurité et garantir qu'une protection suffisante est en place pour les ressources de l'entreprise, en particulier les données conservées dans le système.

Quels sont les cinq éléments du cadre de cybersécurité du NIST ?

Il existe cinq processus dans le cadre de cybersécurité du NIST. Celles-ci divisent en phases la longue liste de tâches liées à la mise en place et à l’exploitation d’un service de cybersécurité. Ces étapes sont :

  1. Identifier
  2. Protéger
  3. Détecter
  4. Répondre
  5. Récupérer

Ces divisions des tâches relèvent du bon sens et cette facilité de reconnaissance rend relativement simple l’identification quelle tâche appartient à quelle étape. L'étape d'identification consiste à identifier le risque dans votre système, c'est-à-dire les ressources qui tentent les étrangers en raison de leur valeur potentielle. Cette valeur est amplifiée par la vulnérabilité au risque. L'identification de ces zones à risques vous permet de mettre en place plusieurs projets pour mettre en place une protection. Les systèmes de cybersécurité que vous mettez en place doivent détecter les menaces, y répondre et aider votre entreprise à se remettre d'attaques réussies.

Qu’est-ce que le NIST et pourquoi est-il important ?

Le cadre de cybersécurité du National Institute of Standards and Technology (NIST) est un ensemble de bonnes pratiques qui guident les entreprises dans la mise en œuvre d'une protection de leurs systèmes contre la menace d'attaque de pirates informatiques ou d'initiés mécontents. Le NIST vise à encourager les organisations des secteurs public et privé à améliorer leurs mesures de sécurité.

Quels sont les composants du framework NIST ?

Le cadre de cybersécurité du NIST comprend trois composants :

  • Le noyau
  • Niveaux de mise en œuvre
  • Profils

Le Framework Core est comme un magasin central de références qui définit les normes communes de tous les projets au sein du framework. Les niveaux de mise en œuvre sont des projets qui visent à mettre en place des services de cybersécurité et les profils sont comme des rapports d'avancement de projets individuels, indiquant l'objectif ultime de chacun et ce qui est nécessaire pour l'atteindre.

^