Que sont les normes de sécurité NIST ?

Les entreprises se demandent aujourd'hui : « Que sont les normes de sécurité NIST et comment peuvent-elles leur être applicables ?

Cela ne devrait pas être une grande surprise - nous assistons actuellement à un changement radical d'attitude envers la menace de la cybercriminalité et il y a une reconnaissance croissante parmi les organisations que les normes de sécurité en matière de sécurité des réseaux ne sont pas seulement un aspect important d'une entreprise moderne, mais en fait vitales à sa survie.

Avant la pandémie, les entreprises, de leur propre aveu, n'étaient pas préparées aux cyberattaques, avec seulement 23 % des organisations indiquant qu'elles avaient un plan de réponse aux incidents appliqué à l'ensemble de leur entreprise, selon IBM.

De nombreuses entreprises ne sont tout simplement pas prêtes à faire face au nombre et à la gravité des cyberattaques modernes, et ce n'est pas une mince affaire : 93 % des entreprises sans plan de reprise après sinistre qui subissent un sinistre majeur en matière de données font faillite dans l'année.

En raison de la pandémie et des changements qu'elle a apportés, les cyberattaques sont actuellement à des niveaux plus élevés que jamais, et les entreprises doivent réagir afin de se protéger et de protéger leurs clients.

C'est là qu'interviennent des frameworks comme le NIST - les entreprises recherchent des conseils sur leur cybersécurité et espèrent que des normes comme le NIST pourront les leur fournir.

Dans ce blog, nous allons examiner ce que sont les normes de sécurité du NIST, les décomposer et déterminer dans quelle mesure elles sont applicables aux organisations à travers le pays qui souhaitent renforcer la sécurité de leur entreprise.

Qu'est-ce que le NIST ?

Le Bureau national des normes, comme on l'appelait jusqu'en 1988, a été fondé en 1901 en tant qu'agence non réglementaire pour fournir des normes dans un éventail d'industries, notamment la fabrication, les sciences de l'environnement, la sécurité publique, la nanotechnologie, les technologies de l'information, etc.

Au fil des années depuis sa création, le mandat du NIST s'est étendu à un nombre croissant d'industries, dont la cybersécurité (sous l'informatique) n'est qu'un exemple.

Les cadres du NIST, y compris son cadre de cybersécurité, sont destinés à être des directives volontaires pour toutes les organisations, à l'exception de celles qui s'engagent dans des contrats gouvernementaux, qui sont tenues de les respecter.

Qu'est-ce que le NIST Cybersecurity Framework (CSF) ?

Le cadre de cybersécurité du NIST, ou CSF en abrégé, a été établi par décret en 2013 sous le président Obama afin de créer un cadre de consensus pour aborder la cybersécurité dans le but de réduire les risques pour les systèmes critiques du gouvernement et des infrastructures publiques.

La première version du CSF a été publiée en 2014 et le Congrès a adopté le Cybersecurity Enhancement Act de 2014 peu de temps après avec l'objectif déclaré suivant :

UNE LOI Fournir un partenariat public-privé continu et volontaire pour améliorer la cybersécurité et renforcer la recherche et le développement en matière de cybersécurité, le développement et l'éducation de la main-d'œuvre, ainsi que la sensibilisation et la préparation du public, et à d'autres fins.

Un autre décret exécutif a été publié par le président Trump en 2017, ordonnant à toutes les agences fédérales d'utiliser le cadre.

En 2015, on estime que 30 % des entreprises américaines ont utilisé le CSF, avec une nouvelle augmentation à 50 % en 2020. Le succès du cadre a conduit à son adoption non seulement aux États-Unis, mais dans le monde entier, des États-Unis Royaume à Israël.

Résumé du cadre NIST

Alors, quelles sont les normes de sécurité NIST ?

Le cadre de cybersécurité du NIST est divisé en trois composants distincts : le « noyau », les « niveaux de mise en œuvre » et les « profils ».

Cœur

Le Framework Core est l'ensemble des activités conçues pour obtenir les meilleurs résultats de cybersécurité souhaités par les normes NIST.

Ces activités ne constituent pas une liste de contrôle, mais plutôt des résultats clés identifiés par les parties prenantes comme importants dans la gestion des risques de cybersécurité.

Que sont les normes de sécurité Elements NIST ?

Il y a quatre éléments clés qui composent le Framework Core. Ceux-ci sont:

• Fonctions : les fonctions sont parmi les aspects les plus reconnaissables du cadre de cybersécurité du NIST. Ils décrivent les activités de sécurité de base d'un point de vue de haut niveau et aident les organisations à aborder les éléments les plus cruciaux de la cybersécurité. Les fonctions incluent Identifier, Protéger, Détecter, Répondre et Récupérer.
• Catégories : les catégories sont axées sur les résultats commerciaux et sont légèrement plus approfondies, couvrant les objectifs des fonctions principales.
• Sous-catégories : les sous-catégories constituent le niveau d'abstraction le plus granulaire du noyau. Il existe un total de 108 sous-catégories, qui sont généralement axées sur les résultats et conçues pour fournir des considérations pour établir ou améliorer un programme de cybersécurité.
• Références informatives : Les références informatives font référence aux normes, directives et pratiques existantes pertinentes pour chaque sous-catégorie.

Catégories NIST des cinq fonctions clés du cadre de cybersécurité

Comme nous l'avons noté, chacune des fonctions clés est divisée en catégories NIST et sous-catégories NIST.

Les catégories NIST sont les suivantes :

Identité

• La gestion d'actifs
• Environnement de travail
• Gouvernance
• L'évaluation des risques
• Stratégie de gestion des risques
• Gestion des risques de la chaîne d'approvisionnement

Article connexe : Que se passe-t-il lors d'un audit des risques de cybersécurité ?

Protéger

• Gestion des identités et contrôle d'accès
• Sensibilisation et formation
• Sécurité des données
• Processus et procédures de protection des informations
• Entretien
• Technologie de protection

Détecter

• Anomalies et événements
• Surveillance continue de la sécurité
• Processus de détection

Répondre

• Planification de la réponse
• Communication
• Une analyse
• Atténuation
• Améliorations

Récupérer

• Planification de la reprise
• Améliorations
• Communication

Niveaux

Les niveaux de mise en œuvre du cadre visent à illustrer la mesure dans laquelle une organisation est en mesure de répondre efficacement aux caractéristiques décrites dans les fonctions et catégories du cadre.

Ces niveaux de mise en œuvre ne sont pas considérés comme des niveaux de maturité de la cybersécurité et ne sont pas destinés à l'être.

Cependant, les organisations qui satisfont aux normes des niveaux les plus élevés auront inévitablement de nombreuses caractéristiques qui définissent les entreprises cyber-mature.

Niveau 1 (partiel)

Processus de gestion des risques : Les pratiques de gestion des risques ne sont pas formalisées et les risques sont gérés de manière ponctuelle.

Programme de gestion intégrée des risques : Sensibilisation limitée aux risques liés à la cybersécurité au niveau organisationnel.

Participation externe : l'organisation ne collabore pas avec d'autres entités ou ne comprend pas son rôle dans l'écosystème plus large.

Niveau 2 (renseignement sur les risques)

Processus de gestion des risques : Les pratiques de gestion des risques sont approuvées par la direction et hiérarchisées en fonction des objectifs de risque organisationnels.

Programme de gestion intégrée des risques : Sensibilisation au risque de cybersécurité au niveau organisationnel, mais absence d'une approche à l'échelle de l'entreprise pour gérer ce risque.

Participation externe : L'organisation reconnaît son rôle dans l'écosystème d'affaires en ce qui concerne ses dépendances ou ses dépendants, mais pas les deux. Une certaine collaboration, mais peut ne pas agir de manière cohérente ou formelle sur les risques présentés.

Niveau 3 (répétable)

Processus de gestion des risques : Les pratiques de gestion des risques sont formellement approuvées et exprimées dans une politique. Les pratiques de cybersécurité sont régulièrement mises à jour en fonction de l'application du processus formel de gestion des risques.

Programme de gestion intégrée des risques : Approche à l'échelle de l'organisation de la gestion des risques de sécurité en place, et le personnel possède les connaissances et les compétences nécessaires pour gérer les risques de sécurité.

Participation externe : Le rôle de l'organisation dans l'écosystème plus large est compris comme il se rapporte à d'autres entreprises et il peut contribuer à une compréhension plus large des risques par la communauté. Collabore avec les autres et reçoit régulièrement des informations des autres.

Niveau 4 (Adaptatif)

Processus de gestion des risques : les pratiques de cybersécurité sont adaptées et développées en fonction des activités passées et actuelles, ainsi que des indicateurs prédictifs. Une amélioration continue des processus par l'incorporation de technologies et de pratiques avancées est attendue.

Programme de gestion intégrée des risques : La relation entre le risque de sécurité et les objectifs organisationnels est clairement comprise. La gestion des risques de sécurité fait partie de la culture organisationnelle et les changements apportés à l'approche de la gestion des risques sont communiqués rapidement et efficacement.

Participation externe : L' organisation comprend pleinement son rôle dans l'écosystème plus large et contribue à la compréhension des risques par la communauté. Reçoit, génère et hiérarchise les informations qui informent l'analyse constante des risques. L'analyse des données en temps réel est exploitée et la communication est proactive en ce qui concerne les risques associés aux produits et services utilisés.

Profil

Le profil du cadre fait référence à l'alignement global des fonctions, catégories et sous-catégories avec les exigences opérationnelles, la tolérance au risque et les ressources de l'organisation.

Parce que différentes entreprises ont des priorités différentes, il n'y a pas deux profils identiques, et donc la détermination du profil de cadre unique qui correspond le mieux à l'entreprise est le dernier aspect clé des normes NIST.

Profil actuel vs profil cible

Lorsque les entreprises établissent des profils pour les normes de cybersécurité, un moyen courant et efficace de comprendre où elles en sont et où elles veulent être est de créer deux profils : le profil actuel et le profil cible.

Le profil actuel est créé en évaluant la capacité de l'organisation à mener à bien les activités de la sous-catégorie.

Des exemples de sous-catégories incluent des éléments tels que « Les appareils et systèmes physiques au sein de l'organisation sont inventoriés » (ID.AM-1) et « Les données en transit sont protégées » (PR.DS-2) ».

Ce ne sont là que deux exemples des 108 sous-catégories au total, mais elles donnent une indication des types d'activités qui sont évaluées.

Une fois le profil actuel établi en hiérarchisant la capacité de l'entreprise à remplir chaque sous-catégorie, il est alors temps de créer le profil cible.

Le profil cible est effectivement là où l'entreprise devrait être avec sa cybersécurité afin d'atteindre les objectifs et les priorités de gestion des risques souhaités.

Une fois le profil cible créé, l'organisation peut alors comparer les deux et obtenir une compréhension claire de l'endroit où l'entreprise atteint ses objectifs de gestion des risques et où des améliorations doivent être apportées.

C'est l'un des moyens les plus efficaces de comprendre pleinement ce que sont les normes de sécurité du NIST et dans quelle mesure elles sont directement applicables à une organisation en termes d'amélioration de ses protocoles et de mise en conformité avec les recommandations CSF du NIST.

Qui utilise le cadre de cybersécurité du NIST ?

Comme nous l'avons noté, le NIST est conçu avant tout comme un cadre destiné aux entreprises de la chaîne d'approvisionnement fédérale, qu'il s'agisse de maîtres d'œuvre, de sous-traitants ou d'une autre entité tenue de se conformer au NIST.

Les normes du NIST, cependant, sont applicables à pratiquement toutes les entreprises et constituent une source extrêmement précieuse pour déterminer les activités de cybersécurité actuelles d'une entreprise et sa capacité à les mener à bien selon des normes acceptables, en plus de découvrir des priorités nouvelles et inconnues.

Le but ultime du NIST est de fournir un cadre non seulement pour les organisations fédérales associées, mais pour le monde des affaires dans son ensemble.

À cette fin, le NIST prévoit de mettre à jour en permanence le cadre de cybersécurité pour le garder frais et applicable à tous, qu'ils aient spécifiquement besoin ou non de la conformité NIST CSF.

Et maintenant?

Nous espérons que cet article de blog vous a aidé à comprendre ce que sont les normes de sécurité du NIST et comment elles sont utilisées dans les organisations.

Bien que la conformité au NIST CSF ne soit pas nécessaire pour les organisations non sous-traitées par le gouvernement ou sous-traitées par un entrepreneur gouvernemental, bon nombre de ses activités et protocoles s'appliquent à de nombreuses autres réglementations de conformité qui doivent être suivies, comme HIPAA, PCI, PII.

Pour se conformer à ces réglementations (et à bien d'autres), il est suggéré d'utiliser une solution de gouvernance des risques et de la conformité (GRC) afin que les activités puissent être surveillées et maintenues avec précision.

Chez Impact, nous proposons une telle solution, avec des options de gestion hybride ou complète de la GRC par nos experts, qui effectueront une évaluation des risques et s'assureront que vos politiques de cybersécurité sont exactement là où elles doivent être pour rester conformes.

Pour plus d'informations, consultez notre page Services de conformité et contactez un spécialiste pour voir comment Impact peut mettre la conformité de votre organisation sur la bonne voie dès aujourd'hui.