Qu’est-ce que le cadre de cyber-sécurité du NIST ?
Le National Institute of Standards and Technology (NIST) fait partie du département du Commerce des États-Unis. Sa mission est de promouvoir l’innovation et la compétitivité industrielle des États-Unis en faisant progresser la science de la mesure, les normes et la technologie de manière à renforcer la sécurité économique et à améliorer notre qualité de vie.
Le cadre de cyber-sécurité du NIST est conçu pour aider les entreprises de toutes tailles et de tous secteurs — y compris l’industrie, le gouvernement, le milieu universitaire et les organisations à but non lucratif — à gérer et à réduire leurs risques en matière de cyber-sécurité. Il est utile quel que soit le niveau de maturité et la sophistication technique des programmes de cyber-sécurité d’une entreprise. Cependant, le CSF n’adopte pas une approche unique. Chaque entreprise présente à la fois des risques communs et spécifiques, ainsi que des propensions et des tolérances au risque différentes, des missions et des objectifs spécifiques pour atteindre ces missions. De ce fait, la manière dont les entreprises mettent en œuvre le CSF variera nécessairement.
Qu’est-ce que le cadre de cyber-sécurité du NIST version 2.0 ?
Le cadre de cyber-sécurité (CSF) du NIST 2.0 a été publié le 26 février 2024. S’appuyant sur les versions précédentes, le NIST CSF 2.0 contient de nouvelles fonctionnalités qui soulignent l’importance de la gouvernance et des chaînes d’approvisionnement. Une attention particulière est accordée à la pertinence et à la facilité d’accès du CSF aussi bien aux petites entreprises qu’aux plus grandes.
Le NIST CSF 2.0 décrit des résultats de haut niveau en matière de cyber-sécurité qui peuvent être utilisés par toute entreprise pour mieux comprendre, évaluer, hiérarchiser et communiquer ses efforts en matière de cyber-sécurité. Le CSF ne prescrit pas la manière dont les résultats doivent être obtenus. Il renvoie plutôt à des ressources en ligne qui fournissent des conseils supplémentaires sur les pratiques et les contrôles pouvant être utilisés pour atteindre ces résultats.
Quelles sont les principales fonctions du cadre de cyber-sécurité du NIST version 2.0 ?
Les principales fonctions du cadre de cyber-sécurité du NIST 2.0 sont la gouvernance, l’identification, la protection, la détection, la réponse et la reprise. Ces six fonctions constituent une approche structurée de la gestion des risques liés à la cyber-sécurité tout au long du cycle de vie d’une entreprise.
Voici une description plus détaillée de chaque fonction :
- GOUVERNANCE (GV) :
la stratégie, les attentes et la politique de l’entreprise en matière de gestion des risques liés à la cyber-sécurité sont établies, communiquées et surveillées. La fonction de GOUVERNANCE fournit des résultats permettant d’orienter les actions qu’une entreprise peut entreprendre pour atteindre et hiérarchiser les résultats des cinq autres fonctions, dans le contexte de sa mission et des attentes de ses parties prenantes. Les activités de gouvernance sont essentielles pour intégrer la cyber-sécurité dans la stratégie plus large de gestion des risques d’entreprise (ERM) d’une entreprise. La fonction de GOUVERNANCE aborde la compréhension du contexte organisationnel, la mise en place d’une stratégie de cyber-sécurité et d’une gestion des risques liés à la chaîne d’approvisionnement en matière de cyber-sécurité, les rôles, les responsabilités et les pouvoirs, la politique et la supervision de la stratégie de cyber-sécurité. - Identification (ID) :
les risques actuels liés à la cyber-sécurité de l’entreprise sont compris. La compréhension des actifs de l’entreprise (p. ex. données, matériel, logiciels, systèmes, installations, services, personnel), des fournisseurs et des risques liés à la cyber-sécurité qui y sont associés permet à l’entreprise de hiérarchiser ses efforts en fonction de sa stratégie de gestion des risques et des besoins de la mission identifiés dans le cadre de la fonction de GOUVERNANCE. Cette fonction comprend également l’identification des possibilités d’amélioration des politiques, plans, processus, procédures et pratiques de l’entreprise soutenant la gestion des risques liés à la cyber-sécurité, afin d’éclairer les efforts déployés dans le cadre des six fonctions. - Protection (PR) :
des mesures de protection sont utilisées pour gérer les risques liés à la cyber-sécurité de l’entreprise. Une fois les actifs et les risques identifiés et hiérarchisés, la fonction de PROTECTION permet de sécuriser ces actifs afin de prévenir ou de réduire la probabilité et l’impact d’incidents de cyber-sécurité indésirables, ainsi que d’accroître la probabilité et l’impact de la saisie d’opportunités. Les résultats couverts par cette fonction comprennent la gestion des identités, l’authentification et le contrôle d’accès, la sensibilisation et la formation, la sécurité des données, la sécurité des plateformes (c.-à-d. la sécurisation du matériel, des logiciels et des services des plateformes physiques et virtuelles) et la résilience de l’infrastructure technologique. - Détection (DE) :
les attaques et compromissions de cyber-sécurité possibles sont détectées et analysées. La fonction de DÉTECTION permet la détection et l’analyse rapides des anomalies, des indicateurs de compromission et d’autres événements potentiellement néfastes pouvant indiquer que des attaques et des incidents de cyber-sécurité sont en cours. Cette fonction permet de soutenir les activités de réponse et de reprise en cas d’incident. - Réponse (RS) :
des mesures sont prises concernant un incident de cyber-sécurité détecté. La fonction de RÉPONSE contribue à contenir les effets des incidents de cyber-sécurité. Les résultats attendus de cette fonction couvrent la gestion des incidents, leur analyse, leur atténuation, leur signalement et leur communication. - Reprise :
les actifs et les opérations affectés par un incident de cyber-sécurité sont rétablis. La fonction de REPRISE permet de rétablir rapidement les opérations normales afin de réduire les effets des incidents de cyber-sécurité et de faciliter une communication appropriée pendant les efforts de reprise.
Quelles entreprises peuvent utiliser le NIST CSF 2.0 ?
Le cadre NIST CSF 2.0 a été développé en mettant l’accent sur les secteurs vitaux pour la sécurité nationale et économique, notamment l’énergie, la banque, les communications et la défense. Depuis, sa flexibilité s’est avérée suffisante pour qu’elle soit adoptée volontairement par de grandes et petites entreprises et organisations de tous les secteurs d’activité, ainsi que par les gouvernements fédéraux, des États et locaux.
Quelles sont les sanctions en cas de non-conformité au NIST CSF 2.0 ?
L’adhésion au cadre de cyber-sécurité du NIST 2.0 est volontaire. Toutefois, la preuve qu’une entreprise suit les meilleures pratiques du cadre NIST peut constituer une protection supplémentaire contre les amendes prévues par des réglementations telles que le RGPD, démontrant ainsi les efforts de bonne foi déployés par l’entreprise en matière de sécurité de l’information.
Comment Thales contribue-t-il à la conformité au NIST CSF 2.0 ?
Thales peut aider les entreprises à se conformer au NIST CSF 2.0 en répondant aux exigences essentielles en matière de cyber-sécurité et en automatisant la sécurité, réduisant ainsi la charge de travail des équipes de sécurité et de conformité. En savoir plus ici.
Autres réglementations clés en matière de protection et de sécurité des données
PCI HSM
MANDAT | EN VIGUEUR
La spécification PCI HSM définit un ensemble de normes de conformité de sécurité logiques et physiques pour les HSM, spécifiquement destinées au secteur des paiements. La certification de conformité à la spécification PCI HSM dépend du respect de ces normes.
DORA
RÉGLEMENTATION | EN VIGUEUR
Le règlement DORA vise à renforcer la sécurité informatique des entités financières afin de garantir la résilience du secteur financier en Europe face à l’augmentation du volume et de la gravité des cyberattaques.
Lois sur la notification des violations de données
RÉGLEMENTATION | EN VIGUEUR
Des exigences de notification en cas de violation de données ont été promulguées par des pays du monde entier suite à la perte d’informations personnelles. Elles varient en fonction des juridictions, mais comprennent presque toutes une clause de « clause d’exonération » (safe harbor).
GLBA
RÉGLEMENTATION | EN VIGUEUR
Le Gramm-Leach-Bliley Act (GLBA), également connu sous le nom de Financial Services Modernization Act (Loi sur la modernisation des services financiers) de 1999, exige des institutions financières qu’elles expliquent à leurs clients leurs pratiques en matière d’échange d’informations et protègent les données sensibles.