Le Framework NIST est une méthode de cybersécurité très utilisée par les grands groupes bancaires et industriels du monde entier – à la fois dans le secteur public et privé. Elle s’est progressivement imposée en tant qu’autorité en matière d’auto-évaluation des risques de cybersécurité et de mise en œuvre d’actions de prévention et de protection. Découvrez le Framework en détail.
Pour rappel : l’origine du Framework NIST
Le Framework NIST trouve son origine dans la loi « Cybersecurity Enhancement Act » votée par le Congrès américain en 2014.
L’objectif premier du NIST – ou « National Institute of Standards and Technology Cybersecurity Framework » de son nom complet – était de garantir la cybersécurité des infrastructures vitales situées aux États-Unis.
Qu’est-ce que le Framework NIST ?
Le « Cybersecurity Framework » est un ensemble de normes, de règles et de bonnes pratiques qui consistent à :
- anticiper les failles de sécurité,
- gérer et réduire les risques informatiques identifiés.
Il donne aux entreprises un cadre méthodologique précieux – qu’elles ont la possibilité d’utiliser (sans obligation légale).
Le NIST CSF se rapproche particulièrement des préconisations détaillées dans la certification AFAQ / ISO 27001 – une norme relative à la sécurité des Systèmes d’Information (SI).
À quoi sert le Framework NIST ?
Le Framework NIST accompagne les organisations publiques et privées dans la définition de leurs objectifs de cybersécurité. Il permet notamment d’encadrer le processus d’identification des risques, de protection du SI, de gestion des failles de cybersécurité et de récupération.
Mais le NIST ne s’arrête pas là. Il aide aussi les entreprises qui le déploient à prioriser leurs pistes d’amélioration et à mesurer leurs avancées en termes de cybersécurité.
Quels sont les composants du Framework NIST ?
Framework Profile
Il faut définir le Profil Actuel (« tel qu’il est ») et les actions, priorités et mesures à mettre en œuvre pour atteindre le Profil Cible (« l’état cible »). Pour cela, il faut garantir l’alignement de l’organisation avec les préconisations du Framework en matière de cybersécurité.
Framework Core
Le Framework Core est l’ensemble des activités à réaliser en matière de cybersécurité :
- identifier,
- protéger,
- détecter,
- répondre,
- récupérer.
Il s’agit également des résultats escomptés et des références aux standards internationaux applicables (tels que ISO 27001, COBIT, CIS/CSC, ISA, etc.).
Framework Implementation Tiers
L’objectif du composant « Implementation Tiers » est de s’assurer que la gestion des risques en matière de cybersécurité respecte les critères préconisés par le Framework.
Celle-ci doit passer par une progression des niveaux :
- Partial (Tier 1),
- Risk Informed (Tier 2),
- Repeatable (Tier 3),
- Adaptive (Tier 4).
Framework NIST : quels avantages et inconvénients ?
Avantages :
- Encadrement de la gestion des risques de manière détaillée
- Aide à la prise de conscience des faiblesses en termes de gestion des risques
- Facilitation de la compréhension des mesures de protection à mettre en œuvre
Inconvénients :
- Organisation du Framework autour de différentes catégories et sous-catégories complexes à appréhender
- Processus d’auto-évaluation sans validation externe et dont l’application du Framework n’est jamais garantie
- Écarts potentiels du Framework NIST vis-à-vis d’autres méthodes de gestion des risques
Inclusion des grandes références mondiales en matière de gestion des risques informatiques
Le Framework NIST est utilisé à la fois par des structures privées et publiques, partout dans le monde, pour gagner en maturité dans la gestion de la cybersécurité. Et vous ? Comment faites-vous pour être conforme aux exigences réglementaires ?