Cadre de cybersécurité 2.0 du NIST : quoi de neuf et comment démarrer

Par Phil Muncaster • 3 octobre 2023

La gestion des cyber-risques ne peut pas vivre en vase clos. Et même si les meilleures pratiques de haut niveau peuvent rester largement les mêmes au fil des années, le paysage des menaces et les défis auxquels sont confrontées les équipes de conformité ont considérablement évolué au cours de la dernière décennie. C’est pourquoi l’une des directives les plus populaires consiste à actualiser votre système.

L'Institut national des normes et de la technologie (NIST) Cadre de cybersécurité (CSF) a été publié pour la première fois en 2014 à la suite d'un décret du président de l'époque, Barack Obama. Sa première actualisation significative est désormais publiée. L'espoir est qu'il aidera les organisations mondiales à relever les défis d'aujourd'hui et de demain tout en étant plus simple à utiliser que le CSF original. Il y a de quoi être optimiste.

Un contexte pour le CSF

Le CSF est volontaire et était initialement destiné aux organismes d'infrastructures nationales critiques (CNI). Cependant, sa clarté et sa minutie dans la mise en évidence des meilleures pratiques en matière de cybersécurité en ont fait l'un des cadres les plus populaires parmi les organisations américaines et mondiales, quel que soit leur secteur.

Il s'articule autour de cinq fonctions clés :

Identifier:

Créez un enregistrement des actifs matériels, logiciels et données de l’organisation. Publier un politique décrivant les rôles et les responsabilités de toute personne ayant accès aux données critiques, y compris les partenaires et les fournisseurs. Créez également une procédure de réponse aux incidents et de remédiation.

Protéger:

Contrôles physiques et techniques pour protéger les actifs critiques. Cela peut inclure des sauvegardes, la formation des utilisateurs, le chiffrement, contrôles d'accès et des mises à jour régulières.

Détecter:

Surveillez les accès non autorisés et les activités réseau inhabituelles.

Répondre:

Construire un plan de notification des incidents (aux clients, régulateurs, actionnaires, etc.), continuité de l'activité et enquête sur les incidents. Ce plan devrait être régulièrement testé.

Récupérer:

Réparer et restaurer les actifs/services concernés suite à une violation et tenir les employés et les clients informés. Améliorez la cyber-résilience grâce à l’apprentissage.

Dans le cadre de ce cadre, le NIST a également créé quatre niveaux pour aider les entreprises à évaluer leur maturité dans la mise en œuvre du CSF (Partial, Risk-informed, Repeatable, Adaptive). Et il comprenait un guide étape par étape pour créer un la gestion des risques programme. D'une manière générale, cela se présente comme suit :

Définir le projet et identifier les priorités
Orienter pour comprendre les réglementations pertinentes de l'industrie et les cybermenaces
Créer un profil pour illustrer la manière dont les risques sont actuellement gérés dans l'organisation
Effectuer une évaluation des risques pour comprendre la probabilité et la gravité d'un événement de cybersécurité qui pourrait avoir un impact sur l'organisation.
Créer un profil cible qui servira d'objectif final à l'équipe de sécurité
Identifier les écarts entre les profils actuels et cibles pour créer un plan d'action, incluant les ressources nécessaires
Mettre en œuvre le plan d'action

Quoi de neuf pour 2024 ?

Sortie en août 2023, la version préliminaire du CSF (v 2.0) apporte plusieurs mises à jour importantes au document original. Parmi ces efforts figurent notamment les tentatives visant à élargir l’utilisation du cadre, à améliorer les orientations en matière de mise en œuvre et à souligner l’importance de la gouvernance :

Un nouveau pilier de gouvernance

Cela couvre le contexte organisationnel ; stratégie de gestion des risques ; la cyber-sécurité risque de chaîne d'approvisionnement gestion; rôles, responsabilités et autorités ; politiques, processus et procédures ; et la surveillance. De plus, des conseils sont proposés sur l'intégration du CSF avec le NIST Privacy Framework et le NIST IR 8286.

Conseils d'utilisation élargis

CSF 2.0 introduit davantage d'exemples de mise en œuvre. Il révise également les profils de framework pour faciliter leur utilisation lors des projets. Des modèles théoriques sont inclus, que les organisations peuvent utiliser ou adapter pour créer des profils et des plans d'action.

Élargir le CSF

Le titre officiel a été modifié, passant de Cadre pour l'amélioration de la cybersécurité des infrastructures critiques à CSF, plus couramment utilisé. Le champ d'application a été mis à jour pour refléter l'utilisation par toutes les organisations, et pas seulement par celles qui exploitent CNI.

De plus, l'accent est davantage mis sur la sécurité de la chaîne d'approvisionnement, avec de nouveaux liens vers le NIST SP 800-55. L’importance de l’amélioration continue reçoit également plus de poids grâce à une nouvelle catégorie « amélioration » sous le pilier Identifier.

Un pas dans la bonne direction

Les experts accueillent globalement favorablement le rafraîchissement du CSF. Joseph Carson, scientifique en chef de la sécurité et RSSI consultatif chez Delinea, explique à ISMS.online qu'après près d'une décennie, une nouvelle version était nécessaire pour prendre en compte l'évolution du paysage des menaces.

« L’étendre à un plus grand nombre d’organisations est la bonne approche pour renforcer la résilience face au vaste éventail de cybermenaces auxquelles elles sont confrontées », ajoute-t-il. La simplification du CSF facilitera également l’adoption du cadre, permettant ainsi à davantage d’organisations d’élever leur niveau de protection en matière de sécurité.
Le PDG de Netography, Martin Roesch, fait également l'éloge du nouveau pilier « Gouverner ».

« L'ajout d'une gouvernance au cadre de cybersécurité du NIST est une étape clé pour aider les organisations à prouver que leur infrastructure est conforme à leurs politiques à tout moment, et cela permet aux équipes de sécurité d'avoir un moyen de mesurer l'efficacité du fonctionnement de leur système », explique-t-il. ISMS.en ligne.

« En élargissant la portée du CSF et en améliorant les directives de mise en œuvre, le NIST fournit à un plus grand nombre d'organisations une feuille de route solide pour réussir en matière de sécurité de l'information et de gestion des risques, quelle que soit leur taille ou leur secteur d'activité.

Cependant, dans le même temps, Roesch affirme que certaines organisations peuvent avoir du mal à appliquer les principes de gouvernance à leur environnement, « surtout si elles disposent de technologies, de systèmes et de processus diversifiés ». Il prévient également que les contraintes de ressources pourraient interdire la surveillance continue nécessaire pour « établir et maintenir une gouvernance solide en matière de cybersécurité » dans un contexte d’architecture de sécurité des réseaux en évolution rapide. Il décrit la gouvernance des médias sociaux, en particulier, comme une « boîte de Pandore » remplie de défis en matière de confidentialité et de sécurité.

Ainsi, la mise en œuvre d’un CSF, même simplifié et plus convivial, peut s’avérer difficile pour certaines organisations. Mais un système de gestion de la sécurité de l'information (ISMS) pourrait aider, déclare Carson de Delinea.

«Il peut donner des exemples d'utilisation du Outil de référence CSF 2.0 et donner une compréhension de ce à quoi ressemblent les mises en œuvre dans le monde réel », dit-il. « À mesure que de plus en plus d’organisations observeront leurs pairs déployer et mettre en œuvre avec succès le CSF, et comment elles s’alignent sur l’outil de référence, cela encouragera d’autres à suivre rapidement. »

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 17er Février 2026.

Ce que la faille de sécurité de LastPass nous apprend sur la conformité en 2026

Le RGPD a toujours été conçu pour être vague. En n'énumérant pas de contrôles techniques prescriptifs – comme le fait par exemple la norme PCI DSS – le règlement est plus efficace…

Phil Muncaster

La cyber-sécurité 12er Février 2026.

Le plan d'action cybernétique du gouvernement est-il adapté à son objectif ?

Le plan d'action du gouvernement en matière de cybersécurité est-il adapté à son objectif ?

Il est rare que le gouvernement admette ses erreurs. Pourtant, en début d'année, nous avons eu droit à un mea culpa exceptionnel : la reconnaissance d'une faute antérieure…

Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster