Cybersécurité et confidentialité : le cadre du NIST relooké

Cybersécurité et confidentialité : le cadre du NIST fait peau neuve

Par Dan Raywood • 29 mai 2025

Le NIST a récemment annoncé son intention de moderniser son cadre de protection de la vie privée et de le rendre plus organique et moins statique. Cela profite-t-il aux praticiens ? Dan Raywood examine les raisons de ce changement.

L’année dernière a vu l’introduction de la deuxième version du NIST Cadre de cybersécurité, une mise à jour de sa version 2014 visant à élargir l’utilisation du cadre, à améliorer les orientations sur la mise en œuvre et à souligner l’importance de la gouvernance.

Naturellement, la cybersécurité et la confidentialité vont de pair, et 12 mois après la révision du cadre de cybersécurité, le NIST a annoncé une période d'examen de deux mois en avril 2025 pour que le cadre de confidentialité prenne en compte les nouveaux ajouts et révisions.

Gérer les risques liés à la confidentialité

L'année dernière a vu le première annonce des révisions de la version 1.1, avec le document de conception sorti en juin 2024 avant la Projet public initial qui a été publié en avril.

Le NIST affirme que des modifications du cadre de confidentialité sont nécessaires en raison de la relation avec son cadre de cybersécurité : les deux cadres ont la même structure de haut niveau pour les rendre faciles à utiliser ensemble.

Julie Chua, directrice de la division Cybersécurité appliquée du NIST, a qualifié cette mise à jour de « modeste mais significative ». Elle a déclaré : « Le Cadre de confidentialité peut être utilisé seul pour gérer les risques liés à la confidentialité, mais nous avons également maintenu sa compatibilité avec le Cadre de cybersécurité 2.0 afin que les organisations puissent les utiliser conjointement pour gérer l'ensemble des risques liés à la confidentialité et à la cybersécurité. »

Petite mise à jour

Meghan Anderson, stratège en matière de risques liés à la confidentialité au sein du programme d’ingénierie de la confidentialité du NIST, explique qu’il ne s’agit pas d’une refonte majeure, mais d’une « mise à jour très légère et mineure ».

S'adressant à ISMS.online, Anderson déclare que le cadre de confidentialité « est un outil évolutif, destiné à répondre aux besoins de nos parties prenantes ». Cinq ans après la publication du premier cadre de confidentialité, ces dernières ont pu identifier les domaines dans lesquels des améliorations ciblées pourraient être apportées et envisager des évolutions technologiques.

Elle a minimisé l’importance des révisions de la version 1.1, les qualifiant de « simples révisions mineures ou de restructuration des catégories en sous-catégories ».

Elle a toutefois reconnu qu'après cinq ans de la version originale, il était temps de changer. « C'était comme si on se disait : "C'est une étape importante, il faut la moderniser" », dit-elle.

Plus précisément, Anderson explique que, le cadre de confidentialité étant calqué sur celui de cybersécurité, il est nécessaire de maintenir un lien entre les deux. « Je pense que l'un des atouts majeurs du cadre de confidentialité est sa grande flexibilité. De nombreuses organisations ou parties prenantes qui l'utilisent peuvent ainsi l'adapter à leurs besoins, à leurs résultats et à leurs objectifs en matière de confidentialité. »

Nouveaux éléments

L’un des changements importants de cette révision est la création d’un version en ligne du cadre. Au-delà de sa simple publication sur le site web, le NIST peut ainsi publier des mises à jour pertinentes et ponctuelles en réponse aux besoins des utilisateurs. Anderson précise que la section trois, qui contient des conseils sur l'utilisation du cadre de confidentialité, a été déplacée.

« Nous espérons que ce sera plus interactif et que nous pourrons le mettre à jour plus fréquemment qu'un document PDF statique », explique-t-elle. « Ainsi, nous pourrons le mettre à disposition sur le site web plus instantanément, contrairement au PDF, dont la mise à jour, la révision et la republication prennent du temps. »

Elle affirme également que les commentaires sur les nouvelles tendances – telles que l’IA – étaient courants, de sorte que des lignes directrices supplémentaires sur la relation entre l’IA et la gestion des risques liés à la vie privée ont été ajoutées, et il s’agit désormais d’une nouvelle section dans le projet public initial du cadre de confidentialité.

Le projet public initial affirme que le cadre révisé « peut aider les organisations à identifier et à gérer les risques pour la vie privée pouvant découler du traitement des données au sein des systèmes d'IA tout au long de leur cycle de vie ». Cela inclut les risques pour la vie privée qui surviennent lorsque les systèmes d'IA sont entraînés sur des données collectées sans le consentement des personnes ou que leurs garanties de confidentialité sont inexistantes ou inadéquates.

Dans certains cas, l'IA peut être le principal facteur de risque pour la vie privée et engendrer des problèmes de confidentialité pour les individus et les groupes. L'IA peut impacter la vie privée des individus et des groupes, entraînant des conséquences organisationnelles importantes, allant de pertes de revenus à des atteintes à la réputation.

Par conséquent, les organisations peuvent utiliser le nouveau cadre pour « gérer efficacement les risques liés à la confidentialité de l’IA et garantir que les valeurs de confidentialité de l’organisation se reflètent dans le développement et l’utilisation des systèmes d’IA ».

Évolution essentielle

Ce n'est pas une solution complète, mais c'est assurément un progrès. Qu'en est-il du point de vue des praticiens ? Est-ce suffisant pour relever les défis modernes ?

S'adressant à ISMS.online, Tarun Samtani, membre du conseil consultatif de l'IAPP, déclare que la révision proposée « représente une évolution essentielle » et salue son alignement avec le cadre de cybersécurité de l'année dernière.

Il a déclaré que la révision « comble les lacunes opérationnelles critiques entre la sécurité et la confidentialité – un point sensible dont j'ai été témoin à plusieurs reprises ».

Samtani affirme notamment que le cadre actuel offre une théorie solide, mais peine à être appliqué concrètement. En examinant la version préliminaire de la version 1.1, il salue l'introduction d'une approche axée sur les risques émergents liés à l'IA, mais ajoute : « Il manque des pistes de mise en œuvre concrètes pour les organisations aux ressources limitées. »

Insuffisant Pas obsolète

Du point de vue d'un praticien, cette révision est-elle nécessaire ? Les directives de la version 2020 étaient-elles particulièrement obsolètes ? Il affirme qu'elles ne sont pas obsolètes, mais qu'elles sont de plus en plus insuffisantes. « Depuis la sortie de la version 1.0 en 2020, nous avons constaté une croissance fulgurante de l'utilisation des systèmes d'IA et de la prise de décision automatisée, ce qui crée de nouveaux risques pour la vie privée », explique-t-il.

La proposition de PFW 1.1 intègre judicieusement les nouvelles considérations relatives à l'IA tout en tirant les leçons des régimes réglementaires en pleine maturité. Cette mise à jour opportune reconnaît que la gestion des risques liés à la confidentialité s'étend désormais au-delà du traitement traditionnel des données et s'étend à la transparence algorithmique.

De l'autre côté, Samtani n'a pas été entièrement élogieux à l'égard des révisions ultérieures, affirmant que le projet avait besoin de mesures plus claires au-delà des niveaux de maturité et d'approches plus prescriptives pour les petites entreprises qui naviguent dans le paysage difficile des données et de l'IA d'aujourd'hui.

Il déclare : « Les améliorations structurelles de PFW 1.1 pourraient répondre à certains problèmes d'utilisabilité, mais sans conseils de mise en œuvre structurés, la conformité pourrait rester difficile à atteindre, en particulier pour les organisations dépourvues de programmes de confidentialité matures. »

Il affirme que l'alignement structurel proposé entre PFW 1.1 et CSF 2.0 résout les frictions opérationnelles, dont il a été témoin en conseillant des organisations multinationales. Il a recommandé trois ajouts pratiques pour améliorer la convivialité pour les praticiens :

Premièrement, des manuels de mise en œuvre intégrés démontrant une opérationnalisation simultanée.
Deuxièmement, des mesures inter-cadres standardisées pour des rapports cohérents.
Troisièmement, des profils spécifiques à la technologie pour des scénarios courants tels que les déploiements d’IA.

« Ces améliorations transformeraient les cadres, autrefois documents de référence, en outils opérationnels favorisant des améliorations mesurables de la gouvernance de la confidentialité », conclut-il. En réponse,

Anderson dit que tous les commentaires sur la révision de la version 1.1 sont les bienvenus.

Une telle révision comporte des défis, et les évolutions technologiques des cinq dernières années rendent cette révision nécessaire. Du point de vue de la conformité et de l'adhésion, la nouvelle version ne devrait pas poser trop de problèmes, car les changements sont mineurs et devraient permettre aux entreprises de combler le fossé entre les cadres de cybersécurité et de confidentialité.

Pour beaucoup, ces changements seront bien accueillis, mais les organisations plus petites ou disposant de moins de ressources pourraient rencontrer des difficultés sans des voies de mise en œuvre plus claires. C'est là que le passage à une version en ligne plus dynamique du cadre pourrait s'avérer le plus précieux, permettant au NIST de réagir plus rapidement aux problèmes émergents et de proposer des orientations plus pratiques et évolutives. Même si le cadre ne répondra pas parfaitement aux besoins de tous du premier coup, cette évolution vers une ressource vivante et réactive marque une avancée significative.

Dan Raywood

Dan Raywood écrit sur la sécurité informatique depuis 2008 et est un ancien analyste de la pratique de sécurité de l'information chez 451 Research. Il a pris la parole lors de salons tels que 44CON, SecuriTay, SteelCon, Irisscon et Infosecurity Europe, et a également écrit pour un certain nombre de blogs de fournisseurs et présenté des émissions sur le Web.

Lire la suite de Dan Raywood

La cyber-sécurité 30 septembre 2025

La violation de Grok créera-t-elle des problèmes de sécurité généraux ? Bannière

La violation de Grok va-t-elle créer des problèmes de sécurité pour GenAI ?

Un incident récent a soulevé des inquiétudes quant à la gestion des données par les outils GenAI. Est-il temps de vous assurer que vos données ne finissent pas dans leurs bases de données ?

Dan Raywood

La cyber-sécurité 21 Janvier 2025

vulnérabilités zero day : comment se préparer à la bannière inattendue

Vulnérabilités zero-day : comment se préparer à l’inattendu ?

Les avertissements des agences mondiales de cybersécurité ont montré que les vulnérabilités sont souvent exploitées comme des failles zero-day. Face à un contexte aussi imprévisible…

Dan Raywood

Confidentialité des données 8 Août 2024

la négociation est-elle votre meilleure stratégie en matière de bannière de ransomware

La négociation est-elle votre meilleure stratégie en matière de ransomware ?

Plutôt que de simplement payer pour vous sortir d'une situation délicate liée à un rançongiciel, pourriez-vous négocier votre sortie en suivant les étapes et les compétences appropriées ? Dan Raywoo…

Dan Raywood