NIST Cybersécurité Framework, approche d’analyse de risques sécurité
Découvrir le NIST* Cybersécurité Framework
Le NIST Cybersécurité Framework est un cadre conçu par le gouvernement américain, dédié aux institutions publiques et privées, avec pour objectif d’améliorer leur capacité à identifier, détecter et réagir en cas d’incidents de nature cyber. Ce Framework aide les institutions dans la protection de leurs actifs/ biens qui sont classés sensibles et / ou critiques. Il faut noter que le NIST CSF* n’est pas une règlementation imposée aux entreprises et n’est pas conçu pour remplacer les standards opérationnels existants tels que COBIT ou ISO 2700x. Il s’agit d’un référentiel de « best practices », capable d’évaluer de point de vue processus la maturité de l’organisation en termes de cybersécurité.
Les 5 fonctions du Framework
Le cycle de vie proposé par le NIST CSF, s’articule autour de 5 fonctions représentant un ensemble de critères relatifs aux différents aspects de la cybersécurité (22 critères au total), notamment la « gestion des actifs », la « gouvernance », la « gestion des risques », le « contrôle des accès », la « sécurité des données » et le « plan de reprise ». Ces éléments mettent à disposition 98 points de contrôle SSI concernant différents acteurs au sein de l’entreprise (RSSI, DSI, Contrôleurs interne, Administrateur…). Cette évaluation doit permettre de mettre en place les plans d’actions et les politiques nécessaires au niveau de maturité et de résilience des infrastructures critiques souhaité.
Identifier (Identify) : la première fonction du NIST CSF réclame une compréhension complète et avancée de la gestion des risques cybersécurité affectant les systèmes, les actifs, les données et les ressources. Les organisations doivent identifier et gérer les actifs et les systèmes conformément à leur niveau de sensibilité, définir les rôles et les responsabilités des acteurs de la gestion risques et cybersécurité et maitriser le risque auquel s’exposent les activités métiers.
Protéger (Protect) : après avoir identifié les actifs sensibles et maitrisé les risques cybersécurité, les organisations doivent maintenant protéger leur environnement en mettant en œuvre les mesures appropriées. Cette fonction préconise ainsi de contrôler les accès aux actifs, programmer des séances de sensibilisation et de formation, protéger les données et les technologies et déployer des politiques et des procédures pour maintenir les SI.
Détecter (Detect) : pour répondre à la fonction « détecter », l’entité doit être en mesure d’identifier la probabilité de survenance d’un évènement cyber. Elle doit être munie d’un ensemble de moyens qui lui permettront d’anticiper ces incidents à travers des systèmes d’alertes et de disposer des compétences nécessaires. La veille fournit un moyen très efficace de prévention contre les menaces potentielles.
Répondre (Respond) : l’entité doit être en mesure de déployer les mesures appropriées, immédiatement lors de la détection d’évènements cyber. Elle doit notamment élaborer un plan de réaction, établir les communications nécessaires entre les acteurs concernés, analyser les incidents, limiter leur propagation dans le réseau de l’organisme, mitiger le risque résultant et intégrer le retour d’expérience dans les prochaines stratégies d’intervention.
Se rétablir (Recover) : cette dernière famille de critères de sécurité propose de définir et de déployer les actions nécessaires à la maintenance des plans de résilience et au rétablissement des ressources et services affectés par un incident cyber. L’entité doit mettre en place un plan de reprise et de continuité d’activité et maintenir à jour sa stratégie de reprise.
Cycle de vie et mode opératoire du NIST CSF
Implémenter le NIST Cybersécurité Framework
Périmètre d’application
Le CSF est en lui-même une approche d’analyse de risques cybersécurité, développé par des intervenants du gouvernement américain et des experts sécurité civile pour compléter et améliorer les activités métiers et les procédures existantes de cybersécurité. Il a été utilisé et adapté par de nombreuses organisations dans le secteur privé, telle que Intel mais également dans le secteur public, comme les gouvernements américain et italien. D’après une étude de Gartner, 30% des organisations ont opté pour le CSF en 2015 et 50% d’organisations vont l’implémenter en 2020.
Implémentation
Dans son Framework, NIST associe ses points de contrôle (ce qu’on appelle aussi « sous-catégories ») à différents référentiels tels que : CCS CSC, COBIT 5, ISA 62445, ISO/IEC 27001, NIST SP 800-53 Rev.4. Le CSF peut être aussi personnalisé et adapté au contexte de l’entité concernée afin qu’il soit compatible avec son niveau de maturité.
Pour une implémentation efficace du CSF, l’entité doit préalablement fixer les objectifs qu’elle voudrait atteindre. En d’autres termes, elle doit identifier ses infrastructures critiques, préciser le niveau de risque qui serait acceptable par tous ses départements et clarifier son niveau de maturité actuelle.
L’étape suivante consiste à adapter le Framework au contexte de l’entité ; garder ou changer les 22 catégories cybersécurité selon les besoins et les activités métiers, identifier les niveaux d’évaluation des processus (Point de contrôle) par critère.
Ainsi, pour le compte de l’un de nos clients, nous avons effectué une évaluation à trois dimensions :
Une évaluation qualitative sur la maturité du processus,
Une évaluation qualitative sur le périmètre d’application du processus,
Une évaluation quantitative du point de contrôle par KPI*.
A la suite de cette évaluation, le client est en mesure d’élaborer des tableaux de bords des indicateurs de performances collectés et de présenter les résultats obtenus dans les comités concernés. Il possède ainsi une visibilité sur ses risques cybersécurité, leurs niveaux de criticité et les écarts avec les objectifs qui ont été fixés avant le déploiement du Framework et peut maintenant mettre en œuvre les actions nécessaires pour les atteindre.
Le déploiement du CSF peut être effectué dans un premier temps sur un petit périmètre afin de tester son efficacité, d’identifier les obstacles rencontrés et les actions nécessaires pour réussir le déploiement à grande échelle.
*National Institute of Standards and Technology
*Cybersecurity Framework
*Key Performance Indicator
Loubna