NIST : Cybersecurity Framework

NIST LPB Conseil

Présentation du Framework

Un peu d’histoire :

Le NIST (National Institute of Standards and Technology) est un laboratoire de sciences physiques ainsi qu’un organisme non réglementaire du département du Commerce des États-Unis.

Sa mission est de promouvoir l’innovation et la compétitivité industrielle. Elle compte sept comités permanents dont le conseil consultatif sur la sécurité de l’information et de la confidentialité.

En 2013 Le Président Barack Obama a émis le décret 13636 afin de charger le NIST d’élaborer un cadre de gestion de la cybersécurité afin de réduire les risques pour les infrastructures critiques des Etat Unis : C’est la naissance du Cybersecurity Framework.

Ce Framework a été élaboré suivant une méthodologie participative. Il se base sur les plus grands standards des normes de cybersécurité afin de faire faces aux risques :

  • CIS CSC  : Ensemble normatif et prioritaire de bonnes pratiques de cybersécurité et d’actions défensives
  • COBIT 5  : Référentiel de bonnes pratiques d’audit informatique et de gouvernance des systèmes d’information
  • ISA 62443-2-1 :2009 : Standard de la cybersécurité industrielle
  • ISA 62443-3-3 :2013
  • ISO/IEC 27001 :2013 : Norme internationale décrivant les bonnes pratiques à suivre dans le cadre de la création d’un système de gestion de la sécurité de l’information
  • NIST SP 800-53 Rev. 4 : Recommandation des contrôles de sécurité pour les systèmes et organisations d’information fédéraux.

Il permet de fournir une méthode plus simple, plus flexible utilisant des termes compréhensibles de tous afin d’identifier, d’évaluer et de gérer les risques en fonction des besoins de l’entreprise.

Le Framework ce veut applicable à tous secteurs d’activité et prend en compte les interactions avec les partenaires / fournisseurs en intégrant un processus d’amélioration continue.

Il est téléchargeable librement sur le site du NIST : https://www.nist.gov/cyberframework/framework

Structuration du Framework :

Le Framework est découpé en Trois grandes parties :

1 – Le Framework Core :

Il se décompose lui-même en Fonctions, Catégories et sous-catégories :

  • Les Fonctions sont au nombre de cinq :
  • Identification: Compréhension des enjeux, identification des actifs, des ressources, des fonctions critiques etc…
  • Protection : Mesures en place sur les infrastructures critiques, priorisation des actions à mener etc.
  • Détection : Identifier les évènements de cybersécurité
  • Réponse : Réponse aux incidents de cybersécurité, contenir les impacts
  • Reprise : Programmes de résilience, reprise rapide etc.

Ces 5 fonctions sont elles-mêmes divisées en 23 catégories qui permettent d’aborder les sujets techniques, organisationnelles et les processus.

Viennent ensuite les sous-catégories au nombre de 108 qui sont des actions à mettre en œuvre.

Enfin la correspondance dans les 6 normes des sous catégories du Framework

2 – Les niveaux de mises en œuvre :

Il en existe quatre qui décrivent le niveau d’application des mesures de sécurité et de rigueur interne mais aussi les mesures prisent dans les échanges avec les partenaires :

  • Le premier niveau est le niveau : Partiel
  • Le second niveau est défini en fonction du risque (risque défini/accepté)
  • Le troisième niveau est celui concernant la répétabilité
  • Et enfin le niveau adaptatif (amélioration continue)

3 – Les profils :

Les profils permettent de définirent le niveau actuel de sécurité et la cible à atteindre en fonction des objectifs de l’entreprise. Ces objectifs sont donc à mettre en adéquation en termes de tolérance aux risques de l’organisation ou bien encore des ces capacités à mettre en œuvre les ressources nécessaires afin d’y parvenir.

L’auto-évaluation permet donc de se positionner sur un des quatre profils du Framework cité plus haut et ainsi de viser le niveau supérieur.

Cela permettra également de définir la stratégie la plus cohérente à mettre en œuvre et d’impliquer la direction dans la démarche car sans leadership, un niveau satisfaisant ne pourra pas être atteint (nouvelles politiques, recrutement, budget etc.)

Pourquoi utiliser ce Framework ?

  • Revoir ses pratiques de cybersécurité
  • Mise en place d’un cadre de cybersécurité efficace
  • Plus de flexibilité que l’ISO
  • Avoir une approche par les risques
  • Meilleure Structuration dans les domaines de sécurité
  • Peut être combiné à l’Iso27001 par exemple
  • Référence vers le chapitre de plusieurs normes de sécurité (ISO 27001, COBIT, NIST SP 800-53, ISA 62443, CIS CSC)
  • Mieux identifier et communiquer les attentes de l’entreprise concernant la sécurité avec les partenaires

Il s’agit donc d’identifier de manière plus flexible le contexte et les besoins business, d’identifier et de remédier aux anomalies et enfin de développer un processus de résilience /de reprise des activités de l’entreprise.

LinkedIn

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

A propos de LPB Conseil

LPB Conseil est un cabinet de conseil indépendant en transformation des Organisations et en cybsersécurité.

Articles récents
Auteur de cet article
Articles de cet auteur

Téléphone : +33 (0)3 69 24 90 37​

3 rue Charles PEGUY
67200 STRASBOURG
GRAND EST, ALSACE​

PHP Code Snippets Powered By : XYZScripts.com
Retour en haut