Qu’est-ce que le cadre de cybersécurité du NIST ? Le guide ultime

Le National Institute of Standards and Technology (NIST) fournit des recommandations et des bonnes pratiques que les organisations peuvent suivre afin d’aider les entreprises, les organismes à but non lucratif et d’autres institutions du secteur privé à améliorer la gestion des risques de cybersécurité. Le NIST fait partie du département du Commerce des États-Unis et compte parmi les plus anciens laboratoires de sciences physiques du pays. 

En 2013, le président a publié le décret présidentiel 13636, qui stipulait :

« La politique des États-Unis consiste à renforcer la sécurité et la résilience des infrastructures critiques du pays et à maintenir un environnement cybernétique qui favorise l’efficacité, l’innovation et la prospérité économique, tout en promouvant la sûreté, la sécurité, la confidentialité des entreprises, la vie privée et les libertés civiles. »

Ce décret présidentiel a établi certaines exigences que le NIST a appliquées à son cadre de cybersécurité, notamment :

• Identifier les normes et directives de sécurité applicables à tous les secteurs des infrastructures critiques.

• Fournir une approche hiérarchisée, flexible, reproductible, fondée sur la performance et rentable.

• Aider les propriétaires et exploitants d’infrastructures critiques à identifier, évaluer et gérer les cyberrisques.

• Permettre l’innovation technique et tenir compte des différences organisationnelles.

• Fournir des recommandations neutres sur le plan technologique, permettant aux secteurs des infrastructures critiques de bénéficier d’un marché concurrentiel de produits et de services.

• Inclure des recommandations pour mesurer la performance de la mise en œuvre du cadre de cybersécurité.

• Identifier les axes d’amélioration à traiter par une future collaboration avec des secteurs et des organismes de normalisation spécifiques.

Pourquoi est-ce devenu si important ? 

En termes simples, l’augmentation des menaces de cybersécurité touche chaque jour les entreprises et autres organisations. Sans source de référence unique, il serait presque impossible pour les entreprises d’élaborer un cadre complet et efficace afin de les aider à mettre en œuvre des mesures efficaces pour réduire les risques de sécurité. C’est pourquoi le cadre de cybersécurité du NIST est devenu si crucial pour les entreprises : il encourage des solutions efficaces, innovantes et résilientes pour maintenir la sécurité.

Essentiellement, le cadre de cybersécurité du NIST aide les organisations de tous types à mieux comprendre, gérer et réduire les risques de cybersécurité. Le résultat final de l’application de ces recommandations est une meilleure protection des réseaux et des données. Le cadre de cybersécurité du NIST est structuré de manière à ce que toute entreprise ou organisation puisse le mettre en œuvre pour mieux comprendre où concentrer son temps et ses ressources afin d’améliorer sa protection en matière de cybersécurité. Il s’agit avant tout de donner aux entreprises les moyens de protéger plus efficacement leurs données, les données de leurs clients, leurs réseaux et leurs employés.

Bien que le cadre de cybersécurité du NIST ait été élaboré par une organisation aux États-Unis, il a été conçu dans une optique d’adoption mondiale. À cette fin, il a été traduit dans de nombreuses langues et adopté par des gouvernements, des entreprises et des organisations du monde entier.

Depuis le NIST Cybersecurity Framework 1.1, de nombreuses organisations et administrations ont adopté ce cadre avec succès, notamment :

• Saudi Aramco

• Gouvernement des Bermudes

• Direction nationale israélienne de la cybersécurité

• Cimpress-FAIR

• Multi-State - Information Sharing and Analysis Center

• Centre médical de l’Université du Kansas

• Université de Pittsburgh

• ISACA

• Forum intersectoriel japonais

• Université de Chicago

• Lower Colorado River Authority

• Optic Cyber Solutions   

La dernière version du NIST Cybersecurity Framework (CSF) s’adresse aux publics, secteurs d’activité et organisations de tous types et de toutes tailles, des petites écoles et associations à but non lucratif aux grandes entreprises. Le cadre a été conçu pour que toute organisation, quel que soit son niveau de maturité en cybersécurité, puisse bénéficier des informations qu’il présente.

Selon Laurie E. Locascio, directrice du NIST et sous-secrétaire au Commerce pour les normes et la technologie : 

« Le CSF a été un outil essentiel pour de nombreuses organisations, les aidant à anticiper et à gérer les menaces de cybersécurité… Le CSF 2.0, qui s’appuie sur les versions précédentes, ne se limite pas à un document. Il s’agit d’un ensemble de ressources qui peuvent être personnalisées et utilisées individuellement ou conjointement au fil du temps, à mesure que les besoins d’une organisation en matière de cybersécurité évoluent et que ses capacités progressent. » 

La dernière évolution du NIST Cybersecurity Framework va également au-delà des infrastructures critiques et englobe toutes les organisations, quelle que soit leur taille, dans tous les secteurs.

Lorsque le NIST Cybersecurity Framework a été créé, l’objectif était de maintenir un dialogue continu avec les parties prenantes des administrations, de l’industrie et du monde universitaire. Pour créer ce cadre, le NIST a mené des actions de sensibilisation et organisé des ateliers dans tout le pays, ainsi qu’une demande d’informations (RFI) et un appel à commentaires (RFC). Leur objectif initial comportait trois volets :

• Identifier les normes, directives, cadres et bonnes pratiques existants en matière de cybersécurité.

• Préciser les lacunes hautement prioritaires.

• Élaborer des plans d’action pour combler ces lacunes.

La période de commentaires pour la collecte d’informations s’est terminée le 8 avril 2013, et le NIST a reçu plus de 270 réponses à la demande d’informations. À partir de ces réponses, le NIST a élaboré l’ordre du jour de son premier atelier sur le Cybersecurity Framework, qui s’est tenu à Washington DC dans le but de susciter l’intérêt, de sensibiliser et de donner un aperçu du processus d’élaboration collaborative. Les thèmes de l’atelier comprenaient le décret présidentiel, les objectifs du développement et la confirmation du processus qui serait utilisé pour élaborer le cadre.

Le deuxième atelier s’est tenu du 29 au 31 mai 2013 à l’Université Carnegie Mellon, avec un ordre du jour fondé sur l’analyse de la demande d’informations initiale. Les objectifs étaient de mieux définir et clarifier les informations reçues, et d’encourager le débat sur plusieurs sujets liés à la sécurité. À l’issue de cet atelier, le NIST a analysé les informations recueillies et créé des synthèses qui ont été partagées avec les secteurs d’activité et utilisées pour créer la première ébauche du Cybersecurity Framework.

La première ébauche du NIST Cybersecurity Framework a été publiée le 2 juillet 2013.

Après cette publication, le NIST a organisé plusieurs ateliers destinés à discuter et à affiner la version initiale. Le 12 février 2014, la version 1.0 du NIST Cybersecurity Framework a été publiée.

Le NIST Cybersecurity Framework se compose de plusieurs fonctions essentielles, qui donnent une vue d’ensemble des bonnes pratiques. Ces fonctions ne sont pas destinées à être considérées comme des étapes procédurales, mais plutôt à être utilisées pour répondre à la nature dynamique des risques de cybersécurité.

Gouverner

Cette fonction fournit des résultats qui aident à déterminer ce qu’une organisation peut faire pour prioriser les autres fonctions dans le contexte de sa mission et des attentes des parties prenantes.

Identifier

La fonction Identifier met en avant la nécessité de développer une compréhension organisationnelle des risques de cybersécurité pesant sur les systèmes, les actifs, les données et les capacités. Cet élément se concentre sur l’activité, afin qu’elle puisse prioriser ses efforts de manière cohérente avec sa stratégie de gestion des risques.

Protéger

Cette fonction soutient la capacité d’une organisation à sécuriser ses actifs, et à prévenir ou réduire la probabilité d’un événement de cybersécurité ainsi que son impact.

Détecter

Cette fonction permet de découvrir et d’analyser en temps opportun les anomalies, les indicateurs de compromission et les autres événements indésirables qui indiquent qu’un événement de cybersécurité s’est produit ou va se produire.

Répondre

Cette fonction permet de contenir les effets d’un incident de cybersécurité, en couvrant la gestion des incidents, l’analyse, l’atténuation, le reporting et la communication.

Rétablir

Cette fonction vise à rétablir rapidement les opérations métier normales afin de réduire les effets d’un incident de cybersécurité, ainsi qu’à permettre la communication nécessaire (et appropriée) pendant le rétablissement.

L’objectif ultime de ces fonctions est d’offrir une vue stratégique de haut niveau sur la manière dont une organisation se prépare aux événements de cybersécurité, y réagit et s’en remet.

Avec une bonne compréhension de ce que fait le cadre de cybersécurité du NIST et de son évolution, vous vous demandez probablement comment le mettre en œuvre au mieux. 

Le NIST recommande une approche de mise en œuvre en 7 étapes, qui se présente comme suit :

1. Prioriser et définir le périmètre - Priorisez les objectifs et les actifs de votre organisation qui doivent être protégés.

2. S’orienter - Familiarisez-vous, ainsi que votre équipe, avec les processus, systèmes et composants inclus dans le périmètre, ainsi qu’avec les principales réglementations de conformité auxquelles ils doivent se conformer.

3. Créer un profil actuel - Indiquez quels résultats de contrôle du cadre sont déjà atteints au sein de votre organisation, puis créez une liste de ce qui reste à intégrer.

4. Réaliser une évaluation des risques - Analysez votre environnement opérationnel afin de déterminer la probabilité d’événements de cybersécurité, ainsi que l’impact qu’ils pourraient avoir.

5. Créer un profil cible - Concentrez-vous sur l’évaluation des catégories et sous-catégories du cadre de cybersécurité afin de vous aider à décrire les résultats de cybersécurité souhaités.

6. Identifier, analyser et prioriser les écarts - Identifiez les écarts de cybersécurité qui existent dans votre organisation. À partir de cette analyse, vous pouvez ensuite créer un plan priorisé pour répondre à ces besoins.

7. Mettre en œuvre votre plan d’action - Agissez et mettez en œuvre le plan que vous avez créé pour résoudre tous les problèmes découverts lors des étapes précédentes.

Il faut garder à l’esprit que le cadre n’est pas rigide. En réalité, il offre suffisamment de flexibilité pour s’intégrer à vos processus de sécurité existants. Vous devriez voir comment cela fonctionne dans les sept étapes énumérées ci-dessus.

Grâce à la manière dont le NIST présente les sept étapes de mise en œuvre du cadre, les organisations obtiennent une vue d’ensemble complète des risques auxquels elles sont exposées, de la façon de planifier en fonction de ces risques, d’améliorer la communication à l’échelle de l’organisation et de renforcer la conformité. La sensibilisation aux faiblesses d’une organisation et à la manière de les atténuer est l’un des principaux avantages du cadre du NIST.

Selon la Federal Trade Commission, le cadre du NIST « aide les entreprises de toutes tailles à mieux comprendre, gérer et réduire leur risque de cybersécurité, et à protéger leurs réseaux et leurs données ».

Le NIST comprend que chaque organisation est différente, et propose même 3 conseils pour sécuriser vos mots de passe (qui devraient être considérés comme universels).

Le cadre de cybersécurité du NIST peut être complexe. Il est important de bien comprendre les fonctions essentielles avant de passer aux sept étapes énumérées ci-dessus. Pour garantir une réussite durable, il est essentiel d’encourager une culture de la cybersécurité au sein de votre organisation ; sinon, vous rencontrerez une résistance face à ce qui pourrait représenter un changement majeur des processus et des systèmes.

Parmi les autres défis :

• Contraintes de ressources : il se peut que vous ne disposiez pas actuellement du personnel capable de mettre en œuvre ces changements.

• Vous devrez très probablement consacrer du temps à personnaliser le cadre de cybersécurité afin qu’il corresponde mieux à votre organisation.

• Les menaces évoluent constamment, ce qui signifie que vos pratiques de sécurité devront suivre le rythme.

• Vous devrez intégrer le Cadre de cybersécurité aux processus existants que vous avez déjà mis en place.

• Il peut être difficile d’encourager l’engagement des parties prenantes, ce qui est directement lié à l’instauration d’une culture de cybersécurité capable de répondre à ces exigences.

Il existe quatre niveaux de mise en œuvre du NIST :

• Niveau 1Partiel - Entreprises avec des procédures de sécurité à la demande ou inexistantes.

• Niveau 2Fondé sur les risques - Entreprises conscientes des menaces auxquelles elles sont confrontées et disposant de certaines politiques de sécurité, mais dépourvues d’une stratégie coordonnée.

• Niveau 3Reproductible - Entreprises dont la gestion des risques et les bonnes pratiques de cybersécurité ont été approuvées par la direction. Ces entreprises se comparent souvent à leurs concurrents et collaborent même avec d’autres organisations pour s’assurer que leurs pratiques sont alignées.

• Niveau 4Adaptatif - Entreprises de secteurs fortement réglementés (comme la banque et la santé) qui contribuent régulièrement à une large sensibilisation aux risques.

Selon le NIST, le profil du Cadre de cybersécurité « correspond à l’alignement des fonctions, catégories et sous-catégories avec les exigences métier, la tolérance au risque et les ressources de l’organisation ». Ces profils aident les organisations à établir une feuille de route pour réduire les risques de cybersécurité. 

Le NIST propose un modèle personnalisable de profil organisationnel pour le Cadre de cybersécurité, ainsi qu’une liste de profils communautaires pouvant être utilisés.

Gardez à l’esprit que le Cadre de cybersécurité du NIST est conçu comme un document évolutif, qui dépend de mises à jour régulières reflétant l’évolution constante du paysage de la cybersécurité et des menaces émergentes. C’est pourquoi il est essentiel que les organisations restent informées des dernières menaces, afin que le Cadre de cybersécurité puisse évoluer pour répondre aux besoins actuels et s’améliorer en continu. 

Pour vous assurer que votre organisation est capable d’évoluer avec le Cadre de cybersécurité du NIST, vous pourriez consulter comment créer la meilleure stack technologique de cybersécurité pour votre entreprise, afin de vous assurer de pouvoir exploiter les meilleures technologies, capables d’évoluer avec le Cadre de cybersécurité.

Il va sans dire que la sécurité est devenue l’un des domaines de priorité les plus importants pour les organisations. Sans pratiques robustes de gestion des risques de cybersécurité, les entreprises pourraient être victimes d’un grand nombre de menaces présentes dans la nature. Grâce au Cadre de cybersécurité du NIST, associé à une planification et une communication rigoureuses, la sécurité de votre organisation pourrait s’améliorer considérablement. Abordez le Cadre de cybersécurité du NIST de manière approfondie, suivez les 7 étapes et soyez toujours prêt à vous mettre à jour et à évoluer, afin que votre organisation soit mieux protégée contre les risques de cybersécurité.

Prêt à vous lancer dès aujourd’hui ? Envisagez d’adopter une solution de gestion des mots de passe pour mettre votre organisation sur de bons rails. Découvrez les offres Bitwarden Business, contactez l’équipe commerciale, et comparez les tarifs des offres.