logo

Cadre de cybersécurité du NIST 2.0 : les changements clés à connaître

Le cadre de sécurité (CSF) de l’Institut national des normes et de la technologie (en anglais, National Institute of Standards and Technology ou NIST, pour son acronyme) est depuis longtemps un allié fidèle des organisations : il leur permet de mieux comprendre et d’évaluer les risques de cybersécurité, et leur offre des conseils en matière de communication.

La version 2.0 du CSF, attendue début 2024, devrait proposer un changement de paradigme. Ce billet de blog offre une exploration approfondie de la structure du CSF, et des changements essentiels à venir dans la version 2.0.

Éléments du cadre de cybersécurité du NIST

Le cadre de cybersécurité du NIST a vu le jour en 2013 à la suite d’un décret exécutif prévoyant la collaboration de l’institut avec le secteur privé afin d’élaborer un cadre de sécurité pour la gestion des risques de cybersécurité. Cette coopération a donné lieu à un cadre volontaire qui fournit des orientations aux organisations basées sur des normes établies et les meilleures pratiques connues, et se compose de trois éléments fondamentaux :

  • Le noyau du cadre : Le noyau définit les résultats souhaités en matière de cybersécurité, divisés en fonctions, catégories et sous-catégories. On observe de manière significative qu’aucune méthode pour atteindre ces résultats n’est proposée. À l’inverse, le noyau du cadre se caractérise par la flexibilité donnée aux organisations pour mettre en œuvre les contrôles les plus adaptés à leurs besoins particuliers.
  • Les niveaux de mise en œuvre du cadre : Les quatre niveaux de mise en œuvre (Partiel, Informé sur les risques, Répétable et Adaptatif) fournissent une évaluation des pratiques existantes en matière de gestion des risques de cybersécurité au sein d’une organisation, et comment elles permettent d’obtenir les résultats définis dans le noyau du cadre. Les organisations peuvent définir les niveaux qu’elles souhaitent atteindre en fonction de leurs objectifs, des tolérances au risque, des compétences et de leur budget.
  • Les profils du cadre : Les profils permettent aux organisations d’adapter le CSF à leurs besoins particuliers. Elles peuvent notamment créer un « profil actuel » et un « profil cible », et effectuer une analyse des écarts pour identifier les possibilités d’amélioration de leur posture de cybersécurité, établir des priorités en matière d’actions, évaluer les coûts et élaborer un plan d’action pour atteindre un niveau de cybersécurité souhaité.

Sélection de contenu connexe :

[Téléchargement gratuit] Contrôles NIST CSF et cartographie des fonctionnalités Netwrix

Les changements clés du cadre de cybersécurité du NIST 2.0

Le cadre de cybersécurité du NIST 2.0, qui se trouve actuellement à l’état de projet ouvert aux commentaires publics jusqu’au 4 novembre 2023, introduit plusieurs changements significatifs dans son champ d’application :

Champ d’application élargi :

  • Titre raccourci à « Cadre de cybersécurité » pour prendre en compte son utilisation plus large.
  • Conseils formels étendus aux organisations de toutes tailles, tous secteurs et tous niveaux de maturité.
  • Accent sur l’importance de donner aux entreprises les moyens d’utiliser efficacement le cadre.

Modifications apportées aux fonctions du noyau du cadre :

  • Introduction d’une sixième fonction, « Gouverner », qui met l’accent sur les résultats en matière de gouvernance.
  • Réorganisation des fonctions existantes : Identifier, Protéger, Détecter, Répondre et Récupérer.
  • Objectifs clés définis pour chaque fonction, plusieurs catégories appartenant désormais à la fonction Gouverner.

Fonction Gouverner :

  • Nouvelle fonction fondamentale pour développer des stratégies de gestion des risques de cybersécurité, répondre aux attentes et élaborer des politiques.
  • Objectifs précédemment fixés pour la fonction Identifier dorénavant assignés à la fonction Gouverner, y compris de nouvelles catégories comme la Surveillance.
  • Importance accrue de la gouvernance et harmonisation des risques de cybersécurité avec les risques d’entreprise généraux.

Conseils améliorés sur les profils :

  • Modifications et améliorations significatives des conseils sur les profils.
  • Exemples approfondis et étapes détaillées pour la création et l’utilisation des profils.
  • L’annexe A fournit un modèle pour créer un profil et un court paragraphe pour un modèle de plan d’action virtuel.

De multiples éléments, à l’origine classifiés sous la fonction « Identifier », ont été modifiés dans le CSF 2.0 du NIST, nombre d’entre eux soit partagés avec la nouvelle fonction « Gouverner », soit totalement assignés à cette dernière. Ce changement intéressant est particulièrement visible dans la composante « Surveillance », qui met en évidence les principes généraux de gouvernance. Cette réorganisation stratégique concerne des éléments qui ont trait aux politiques et aux procédures, et met l’accent non seulement sur l’aspect de sécurité, mais également sur les mesures organisationnelles internes, essentielles pour que l’ensemble fonctionne de manière fluide.

Le regroupement de ces éléments au sein d’une fonction unique revêt une importance particulière pour deux raisons fondamentales : la transparence et la responsabilité. L’introduction du principe de « Surveillance » joue un rôle déterminant, car il permet de s’aligner sur les cadres réglementaires, notamment les réglementations de la SEC, qui mettent un accent particulier sur la responsabilité du conseil d’administration et de la haute direction. Cette responsabilité collective souligne le rôle vital joué par ces acteurs dans la prise de décisions stratégiques en matière de sécurité informatique.

Nous détaillons ci-dessous les éléments clés du CSF 2.0 du NIST, en analysant entre autres sa portée plus étendue, les modifications apportées aux fonctions du noyau, l’introduction de la fonction « Gouverner », et ses conseils améliorés sur les profils.

Sélection de contenu connexe :

Qu’est-ce que la conformité à la norme NIST SP 800-171 ? Guide pour protéger vos données les plus sensibles

Modifications apportées aux fonctions du noyau du cadre

L’un des changements les plus attendus du CSF 2.0 du NIST est sans doute l’introduction d’une nouvelle fonction fondamentale et la réorganisation des cinq autres déjà existantes :

Introduction à la sixième fonction : « Gouverner »

Le CSF 2.0 du NIST ajoute une nouvelle fonction, « Gouverner », et rappelle ainsi le rôle critique de la gouvernance dans la gestion des risques de cybersécurité. Cette fonction constitue un élément unificateur qui permet d’aider les organisations à fixer leurs priorités et à atteindre les objectifs définis dans les cinq autres fonctions. Elle accorde également une importance accrue à la transparence et à la responsabilité. Elle met l’accent sur le fait que la cybersécurité n’est pas une préoccupation unique, mais plutôt une partie intégrante du risque d’entreprise.

Le principe de « Surveillance » de cette nouvelle fonction permet notamment aux organisations de s’aligner sur les cadres réglementaires, notamment les réglementations de la SEC, qui mettent un accent particulier sur la responsabilité du conseil d’administration et de la haute direction en matière de prise de décision sur la sécurité informatique.

Réorganisation des fonctions d’origine

Les cinq fonctions d’origine (Identifier, Protéger, Détecter, Répondre et Récupérer) ont été revues pour améliorer leur lisibilité et leur pertinence, et les éléments liés à la gouvernance ont été assignés à la nouvelle fonction Gouverner. En outre, les objectifs clés de chaque fonction sont désormais expressément définis. Cette réorganisation a pour but de faciliter une approche plus structurée et interconnectée de la cybersécurité. Elle tient compte du fait que ces fonctions ne peuvent pas être mises en œuvre de manière linéaire, mais représentent plutôt des éléments liés les uns aux autres au sein d’une stratégie de cybersécurité exhaustive.

Conseils améliorés sur les profils

Pour répondre aux besoins en constante évolution en matière de cybersécurité, le CSF 2.0 du NIST prévoit des modifications et des améliorations significatives des conseils sur les profils pour aider les organisations à en faire une meilleure utilisation. La mise à jour comprend :

  • Des exemples et des instructions détaillées — Le CSF 2.0 du NIST propose de multiples exemples approfondis de profils et détaille les étapes à suivre pour leur création et leur utilisation, aidant ainsi les organisations à en faire une utilisation efficace pour répondre à leurs besoins uniques en matière de cybersécurité et à atteindre leurs objectifs.
  • Modèle de profil — L’annexe A fournit un modèle de création de profils et aide les entreprises à créer des profils qui leur permettent de parvenir aux résultats définis dans le noyau du cadre. Une liste d’éléments supplémentaires qui peuvent être intégrés à un profil se révèle également d’une grande utilité.

Comment Netwrix peut vous aider

Les solutions Netwrix offrent aux organisations une visibilité en temps réel de leurs environnements informatiques et leur donnent les moyens d’être en conformité avec les six fonctions fondamentales du CSF 2.0 du NIST. Elles sont notamment en mesure d’identifier et de catégoriser précisément leurs actifs informatiques aussi bien en local que dans le cloud, de reconnaître les risques de cybersécurité et d’y remédier, de détecter rapidement les menaces actives et d’y répondre, et d’accélérer la récupération et l’analyse post-incident.  Les solutions de gouvernance d’accès aux données (DAG) sont particulièrement adaptées à la nouvelle fonction Gouverner du CSF 2.0 du NIST.

Le CSF 2.0 du NIST, un voyage dans le futur de la cybersécurité

Son champ d’application élargi, ses fonctions fondamentales adaptées et ses conseils améliorés sur les profils font du cadre de cybersécurité 2.0 du NIST un outil dynamique et incontournable pour les organisations du monde entier. S’adapter rapidement aux changements à venir constitue en effet un impératif stratégique pour toute entreprise engagée dans le renforcement de sa posture de cybersécurité.

Surveillez ce billet de blog : nous le mettrons à jour au fur et à mesure que s’approche la date de publication du CSF 2.0 du NIST, en principe attendue pour début 2024.