Le cadre de cybersécurité NIST 2.0: qu'est-ce que c'est et comment s'y conformer [+ Liste de contrôle]
Dans le Rapport Insight de Keeper Security 2024, 92 % des chefs de la technologie et de la sécurité ont déclaré avoir constaté une augmentation des cyberattaques d'année en année et 95 % ont également déclaré que les cyberattaques sont plus sophistiquées que jamais.
Avec la fréquence croissante et la sophistication des menaces cybernétiques, les organisations ont besoin d'une approche structurée pour gérer et atténuer ces risques efficacement. C'est là que des cadres tels que le Cadre de Cybersécurité de l'Institut National des Standards et de la Technologie (NIST) entrent en jeu.
Dans cet article de blog, nous explorerons ce qu'est le NIST CSF 2.0, ses catégories clés, comment il se rapporte au NIST 800-53, ses niveaux de maturité et bien plus encore.
Qu'est-ce que le NIST CSF ?
Le Cadre de Cybersécurité de NIST (CSF) est un ensemble de normes, lignes directrices et meilleures pratiques conçues pour aider les organisations à gérer et réduire les risques liés à la cybersécurité.
Développé par NIST, une agence non réglementaire du Département du Commerce des États-Unis, le CSF fournit des conseils à l'industrie, aux agences gouvernementales et à toute autre organisation pour mieux comprendre, évaluer, hiérarchiser et communiquer leurs efforts en matière de cybersécurité.
Ce cadre est conçu pour être flexible et adaptable afin que les organisations de toute taille, secteur ou niveau de maturité de programme de cybersécurité puissent l'utiliser et le personnaliser en fonction de leurs besoins spécifiques en matière de cybersécurité et de profils de risque.
NIST CSF 2.0
Alors que le NIST CSF a été révisé au fil du temps pour suivre le rythme des menaces cybernétiques émergentes et des avancées technologiques, le NIST CSF 2.0 est la première mise à jour majeure du cadre depuis sa création en 2014. La principale différence entre la dernière version et l'originale est que le NIST CSF 2.0 vise explicitement à aider toutes les organisations à gérer et réduire les risques, et non seulement celles des infrastructures critiques.
NIST CSF 2.0 contient également des mises à jour des conseils de base du CSF, avec un accent supplémentaire sur la gouvernance et les chaînes d'approvisionnement, et une suite de ressources connexes pour aider toutes les organisations à atteindre leurs objectifs de cybersécurité.
Date de Sortie du NIST CSF 2.0
Le NIST CSF 2.0 a été officiellement publié le 26 février 2024, marquant la première mise à jour majeure de ce cadre de cybersécurité en une décennie. Cette dernière version reflète les retours de plusieurs années de discussions et de commentaires publics, qui visaient à rendre le cadre plus efficace et pertinent pour un plus large éventail d'utilisateurs, tant aux États-Unis qu'à l'étranger.
Les informations ci-dessous reflètent la dernière version du NIST CSF.
Lecture recommandée
Gestion des risques de la chaîne d'approvisionnement : une décomposition du processus + modèle de politique
Catégories du NIST CSF
Le NIST CSF 2.0 est organisé en six fonctions clés. Ces fonctions représentent des résultats qui peuvent aider toute organisation à mieux comprendre, évaluer, prioriser et communiquer ses efforts en matière de cybersécurité.
Au sein de chaque fonction, il y a des catégories qui représentent des résultats liés à la cybersécurité. Ces catégories composent collectivement la fonction et fournissent un cadre complet pour aborder le risque de cybersécurité dans l'ensemble de l'organisation. Les catégories sont également divisées en sous-catégories, qui sont des résultats plus spécifiques des activités techniques et de gestion. Ensemble, elles constituent le noyau du CSF.
Ces fonctions et catégories ne sont pas une liste de contrôle des actions à réaliser. En effet, les actions spécifiques à entreprendre pour atteindre un résultat et les responsables de ces actions varient selon les organisations.
Ainsi, plutôt que de prescrire comment les résultats doivent être atteints, le CSF renvoie à des ressources en ligne qui fournissent des conseils supplémentaires sur les pratiques et les contrôles susceptibles d'être utilisés pour atteindre ces résultats. Cette suite complémentaire de ressources en ligne s'étend, et inclut déjà une série de guides de démarrage rapide (QSG), de références informatives et d'exemples de mise en œuvre.
Les fonctions et catégories du NIST CSF 2.0, ainsi que leurs définitions, sont répertoriées dans le tableau ci-dessous.
| Function | Definition | Categories | Definition |
|---|---|---|---|
| Govern | The organization’s cybersecurity risk management strategy, roles and responsibilities, and policy are established, communicated, and monitored. | Organizational Context | The circumstances — mission, stakeholder expectations, dependencies, and legal, regulatory, and contractual requirements — surrounding the organization’s cybersecurity risk management decisions are understood. |
| Risk Management Strategy | The organization’s priorities, constraints, risk tolerance and appetite statements, and assumptions are established, communicated, and used to support operational risk decisions. | ||
| Roles, Responsibilities, and Authorities | Cybersecurity roles, responsibilities, and authorities to foster accountability, performance assessment, and continuous improvement are established and communicated. | ||
| Policy | Organizational cybersecurity policy is established, communicated, and enforced. | ||
| Oversight | Results of organization-wide cybersecurity risk management activities and performance are used to inform, improve, and adjust the risk management strategy. | ||
| Cybersecurity Supply Chain Risk Management | Cyber supply chain risk management processes are identified, established, managed, monitored, and improved by organizational stakeholders. | ||
| Identity | The organization’s cybersecurity risks are understood. | Asset Management | Assets that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to organizational objectives and the organization’s risk strategy. |
| Risk Assessment | The cybersecurity risk to the organization, assets, and individuals is understood by the organization. | ||
| Improvement | Improvements to organizational cybersecurity risk management processes, procedures and activities are identified across all CSF Functions. | ||
| Protect | The organization uses safeguards to manage its cybersecurity risks. | Identity Management, Authentication and Access Control | Access to physical and logical assets is limited to authorized users, services, and hardware and managed commensurate with the assessed risk of unauthorized access. |
| Awareness and Training | The organization’s personnel are provided with cybersecurity awareness and training so that they can perform their cybersecurity-related tasks. | ||
| Data Security | Data is managed consistent with the organization’s risk strategy to protect the confidentiality, integrity, and availability of information. | ||
| Platform Security | The hardware, software, and services of physical and virtual platforms are managed consistent with the organization’s risk strategy to protect their confidentiality, integrity, and availability. | ||
| Technology Infrastructure Resilience | Security architectures are managed with the organization’s risk strategy to protect asset confidentiality, integrity, and availability, and organizational resilience. | ||
| Detect | The organization finds and analyzes possible cybersecurity attacks and compromises. | Continuous Monitoring | Assets are monitored to find anomalies, indicators of compromise, and other potentially adverse events. |
| Adverse Event Analysis | Anomalies, indicators of compromise, and other potentially adverse events are analyzed to characterize the events and detect cybersecurity incidents. | ||
| Respond | The organization takes actions regarding a detected cybersecurity incident. | Incident Management | Responses to detected cybersecurity incidents are managed. |
| Incident Analysis | Investigations are conducted to ensure effective response and support forensics and recovery activities. | ||
| Incident Response Reporting and Communication | Response activities are coordinated with internal and external stakeholders as required by laws, regulations, or policies. | ||
| Incident Mitigation | Activities are performed to prevent expansion of an event and mitigate its effects. | ||
| Recover | The organization restores assets and operations affected by a cybersecurity incident. | Incident Recovery Plan Execution | Assets and operations affected by a cybersecurity incident are restored. |
| Incident Recovery Communication | Restoration activities are coordinated with internal and external parties. |
Niveaux du NIST CSF
En plus du noyau du CSF, le NIST définit des niveaux pour aider les organisations à comprendre, évaluer, prioriser et communiquer les risques de cybersécurité.
Les niveaux caractérisent la rigueur de la gouvernance et des pratiques de gestion des risques de cybersécurité d'une organisation, et peuvent également fournir un contexte sur la manière dont une organisation perçoit les risques de cybersécurité et les processus qu'elle a en place pour gérer ces risques.
Le NIST CSF 2.0 comprend quatre niveaux, chacun reflétant les pratiques d'une organisation pour gérer les risques de cybersécurité :
- Niveau 1 : Partiel
- Niveau 2 : Informé sur les risques
- Niveau 3 : Répétable
- Niveau 4 : Adaptatif
Bien que ces niveaux représentent un degré croissant de rigueur et de sophistication dans les pratiques de gestion des risques de cybersécurité, ils ne représentent pas nécessairement des niveaux de maturité. Au lieu de cela, les niveaux doivent être utilisés par une organisation pour définir le ton général de la manière dont elle gérera ses risques de cybersécurité.
Les organisations doivent sélectionner le niveau qui :
- Correspond à leurs objectifs organisationnels
- Est réalisable pour elles à mettre en œuvre
- Réduit le risque de cybersécurité pour les actifs et ressources critiques à des niveaux jugés acceptables par leur organisation
Lors de la sélection d'un niveau, les organisations doivent également prendre en compte les pratiques actuelles de gestion des risques de l'organisation, l'environnement des menaces, les exigences légales et réglementaires, les pratiques de partage d'informations, les objectifs commerciaux, les exigences de cybersécurité de la chaîne d'approvisionnement et les contraintes organisationnelles.
Lecture recommandée
Quantification du risque cyber : comment elle peut aider à protéger vos actifs numériques
NIST CSF vs NIST 800-53
Bien que les deux cadres de cybersécurité NIST CSF 2.0 et NIST 800-53 aient été développés par le NIST et soient conçus pour tous types d'organisations, ils servent des objectifs différents. Le NIST CSF est un cadre de haut niveau qui fournit des orientations et des meilleures pratiques pour gérer les risques de cybersécurité, tandis que le NIST 800-53 est un cadre plus strict et plus complet qui prescrit des contrôles pour développer des systèmes d'information fédéraux sécurisés et résilients.
Les organisations peuvent utiliser les contrôles NIST 800-53 pour mettre en œuvre le NIST CSF. Cependant, comme mentionné ci-dessus, ce n'est pas le seul moyen pour les organisations de mettre en œuvre le CSF.
Une autre différence clé est que de nombreuses organisations utilisent le NIST CSF sur une base volontaire. C'était le cas des agences fédérales et des contractants jusqu'en 2017, lorsque l'Ordre exécutif 13800, Renforcement de la cybersécurité des réseaux et des infrastructures critiques fédérales, a été publié. Cet ordre exécutif a rendu le CSF obligatoire pour les agences et les contractants fédéraux.
Bien que toutes les agences et tous les contractants fédéraux doivent aujourd'hui se conformer à la fois au NIST CSF 2.0 et au NIST 800-53, les audits ne sont requis que pour le NIST 800-53. Le NIST 800-53 est également la norme et le critère sur lesquels la FISMA (Federal Information System Modernization Act) se base.
Le guide ultime des cadres fédéraux
Obtenez un aperçu des cadres fédéraux les plus courants, à qui ils s'appliquent et quelles sont leurs exigences.
Lecture recommandée
Comment rédiger un plan de reprise après sinistre + Modèle
Liste de contrôle de conformité NIST CSF
La mise en œuvre des normes et directives NIST CSF peut être difficile, mais les bons outils peuvent simplifier et accélérer le processus. Cette liste de contrôle de conformité NIST CSF n'est pas censée être prescriptive. Utilisez-la plutôt comme guide pour atteindre les résultats du NIST CSF 2.0.
Évaluation NIST CSF
Le NIST CSF n'offre pas de certification ni n'exige d'audits. Au lieu de cela, les organisations peuvent effectuer des évaluations de préparation en interne ou engager un consultant pour évaluer leurs pratiques de gestion des risques de cybersécurité et identifier les domaines à améliorer.
Que vous décidiez de le faire en interne ou d'engager un consultant, une évaluation de préparation suit généralement ces étapes :
- Mapper les contrôles existants au cadre NIST CSF 2.0. Identifiez les contrôles et la documentation existants qui répondent déjà au cadre NIST CSF 2.0. Si vous le faites manuellement, vous devrez enregistrer tous les résultats du noyau NIST CSF (représentés par des catégories et sous-catégories) que vous souhaitez atteindre, puis les associer à vos contrôles existants dans une feuille de calcul. Un outil d'automatisation de la conformité comme Secureframe peut le faire automatiquement.
- Vérifiez les lacunes. Vous pourriez découvrir des contrôles manquants, constater que vous devez redessiner des processus, mettre en œuvre des programmes de formation des employés ou documenter plus de preuves pour vos contrôles existants.
- Développez un plan de remédiation. Essayez d'inclure des délais spécifiques et des livrables pour combler les lacunes. Identifiez une personne responsable du suivi des progrès.
Comment Secureframe peut aider à simplifier la conformité au NIST CSF 2.0
Secureframe peut rationaliser le processus de conformité au NIST CSF, aidant les organisations à gagner du temps, réduire les coûts et améliorer leurs pratiques en matière de cybersécurité.
L'une des principales caractéristiques de la plateforme de Secureframe est sa capacité à automatiser la cartographie des contrôles de sécurité existants d'une organisation au cadre NIST CSF 2.0. Ce processus de cartographie aide les organisations à comprendre comment leurs mesures de sécurité actuelles s'alignent sur les normes, lignes directrices et meilleures pratiques décrites dans le NIST CSF 2.0 et à identifier les lacunes ou domaines à améliorer. En automatisant ce processus de cartographie, Secureframe permet aux organisations d'obtenir une vue d'ensemble de leur posture de cybersécurité et de prioriser les efforts pour traiter les insuffisances efficacement, tout en éliminant les approximations et le travail manuel.
De plus, la plateforme d'automatisation de la conformité de Secureframe offre des flux de travail automatisés et des modèles de politique spécialement conçus pour le NIST CSF 2.0. Ces flux de travail automatisent la plupart du processus de mise en œuvre et de maintien des mesures de sécurité nécessaires pour se conformer efficacement au NIST CSF 2.0, y compris la collecte de preuves, la gestion des risques, l’inventaire des actifs, la gestion des politiques et la gestion des tâches. En utilisant ces flux de travail, les organisations peuvent garantir la cohérence, l'exactitude et l'exhaustivité de leurs efforts de conformité, réduisant ainsi la probabilité d'erreurs ou d'omissions.
En outre, la plateforme de Secureframe offre des capacités de surveillance continue, permettant aux organisations d'identifier et de traiter de manière proactive les risques de cybersécurité en temps réel. En surveillant continuellement leur posture de sécurité par rapport au NIST CSF 2.0, les organisations peuvent rapidement détecter et répondre aux menaces émergentes, aux vulnérabilités ou aux problèmes de conformité, améliorant ainsi leur résilience globale en matière de cybersécurité et renforçant leur stratégie de conformité continue.
Enfin, Secureframe aide les organisations à se tenir au courant des mises à jour du cadre comme le NIST CSF 2.0 afin qu'elles ne soient pas en non-conformité - sans avoir à parcourir les sites Web réglementaires pour des changements pouvant impacter leur organisation. L'équipe de Secureframe ne se contente pas d'informer les clients des changements ou des mises à jour affectant leur posture de conformité. Notre plateforme est également construite et maintenue par des experts en conformité et sécurité, donc toutes les mises à jour du cadre sont reflétées dans la plateforme.
Pour en savoir plus sur la façon dont Secureframe peut vous aider à vous conformer à la dernière version du NIST CSF, planifiez une démonstration.
FAQs
La conformité au NIST CSF est-elle obligatoire?
La conformité au NIST CSF 2.0 est obligatoire pour les entrepreneurs fédéraux et les agences gouvernementales, et recommandée pour les organisations commerciales et autres cherchant à gérer efficacement les risques cybersécuritaires.
Qui utilise le NIST CSF?
Bien qu'il soit généralement suivi par les entrepreneurs fédéraux et les agences gouvernementales, le NIST CSF fournit un cadre flexible que toute organisation peut utiliser pour gérer les risques cybersécuritaires, indépendamment de leur taille, secteur ou niveau de maturité de leurs programmes de cybersécurité. Par exemple, l'industrie, le gouvernement, le milieu universitaire et les organisations à but non lucratif utilisent parfois le NIST CSF comme lignes directrices de meilleures pratiques.
Combien de contrôles y a-t-il dans NIST CSF?
Au lieu d'un ensemble prédéfini de contrôles, NIST CSF fournit des normes, des lignes directrices et des meilleures pratiques pour les organisations afin de gérer et d'améliorer leur posture de cybersécurité, et les cadres NIST 800-53 et NIST 800-171 fournissent des contrôles de sécurité pour la mise en œuvre de NIST CSF.
Quelle est la différence entre NIST CSF et NIST 800-53?
NIST CSF 2.0 et NIST 800-53 sont tous deux des cadres de cybersécurité développés par NIST, mais ils servent des objectifs différents. NIST 800-53 est conçu pour permettre le développement de systèmes d'information fédéraux sécurisés et résilients et la conformité est obligatoire pour les agences fédérales et les contractants ainsi que pour toute organisation qui traite des données fédérales. NIST CSF, en revanche, est conçu pour permettre une identification complète et personnalisée des faiblesses de sécurité et est obligatoire pour les agences fédérales et les contractants et recommandé pour les organisations commerciales.
Quand NIST CSF 2.0 sera-t-il publié?
NIST CSF 2.0 a été publié le 26 février 2024.
À quelle fréquence NIST CSF est-il mis à jour?
NIST CSF 2.0, qui a été publié en 2024, a été la première mise à jour majeure du cadre depuis sa création en 2014. Cette mise à jour est le résultat d'un processus de plusieurs années de discussions et de commentaires publics visant à rendre le cadre plus efficace.
NIST CSF 2.0 peut-il être personnalisé pour des industries ou des organisations spécifiques?
Oui, NIST CSF 2.0 est conçu pour être flexible et adaptable, permettant aux organisations d'adapter le cadre à leurs besoins uniques en matière de cybersécurité, à leurs profils de risque et à leurs exigences réglementaires.
Utilisez la confiance pour accélérer la croissance
Demander une démo
Comment mettre en œuvre le NIST CSF 2.0
Voici quelques étapes orientées vers l'action que vous pouvez suivre pour atteindre les résultats du NIST CSF. Comme les exemples de mise en œuvre proposés par le NIST, ceci n'est pas une liste exhaustive d'actions pouvant être entreprises par une organisation pour atteindre un résultat. Ce n'est pas non plus une base d'actions requises pour traiter les risques de cybersécurité.
1. Documenter une stratégie de gestion des risques
Une stratégie de gestion des risques est une stratégie qui explique comment une organisation a l'intention d'identifier, d'évaluer, de répondre et de surveiller les risques. Une stratégie efficace doit tenir compte des objectifs de cybersécurité spécifiques de votre organisation, de son environnement de risque et des leçons tirées de votre passé et d'autres organisations. Par exemple, vous pouvez examiner les résultats des audits, les incidents de cybersécurité et les indicateurs de risque clés pour mesurer l'efficacité de la stratégie actuelle de gestion des risques et l'améliorer au fil du temps.
2. Documenter une politique de gestion des risques
Établissez une politique de gestion des risques de cybersécurité basée sur le contexte organisationnel, la stratégie de cybersécurité et les priorités de votre organisation. Une politique efficace devrait :
Veuillez noter que votre organisation peut choisir d'avoir une politique/un plan individuel de gestion des risques de la chaîne d'approvisionnement et, dans ce cas, votre politique de gestion des risques n'a pas besoin de traiter des risques de la chaîne d'approvisionnement.
3. Effectuer une analyse d'impact sur les activités professionnelles
Établir des critères pour déterminer quelles sont les fonctions, processus, systèmes et données essentiels aux opérations de votre organisation et l'impact potentiel d'une perte de ces opérations. Dans le cadre de cette analyse d'impact sur les activités, établir des objectifs de temps de récupération pour fournir ces capacités et services critiques dans divers états de fonctionnement, y compris en cas d'attaque, en cours de récupération et pendant les opérations normales.
4. Maintenir un inventaire des actifs
Connaître les actifs de votre organisation - y compris les données, le matériel, les logiciels, les systèmes, les installations, les dispositifs, les personnes et les services fournis par les fournisseurs - est essentiel pour la gestion des risques en matière de cybersécurité. Maintenir un inventaire de ces actifs peut être fait manuellement dans une feuille de calcul, bien que cela puisse être fastidieux et difficile à maintenir à jour. Un outil d'automatisation de la conformité peut maintenir un inventaire à jour de tous vos actifs pour une meilleure visibilité et une meilleure surveillance.
5. Identifier, évaluer et documenter les risques.
Les risques pour les actifs doivent être identifiés, évalués et documentés. Une façon de le faire est de créer un registre des risques. Un registre des risques est un référentiel de tous les risques auxquels votre organisation est confrontée et des informations connexes telles qu'une description du risque, l'impact si le risque se réalise, la probabilité de son occurrence, les stratégies d'atténuation, les responsables des risques et un classement pour aider à prioriser les efforts d'atténuation. Comme pour un inventaire des actifs, vous pouvez créer un registre des risques manuellement, mais un outil d'automatisation peut accélérer le processus et le maintenir à jour pour vous.
6. Mettre en œuvre des contrôles d'accès.
Pour aider à protéger vos actifs, votre organisation peut établir une politique de limitation et d'octroi d'accès à vos installations, environnement, réseaux, instances et données. Vous pouvez également introduire des règles d'accès basées sur les besoins et des dates d'expiration pour vous aider à suivre qui a accès et pour combien de temps. En examinant et surveillant régulièrement l'accès du personnel et des fournisseurs, vous pouvez vous assurer que le principe du moindre privilège, le minimalisme fonctionnel et la séparation des tâches sont mis en œuvre et minimiser les risques de cybersécurité.
7. Fournir une formation de sensibilisation à la cybersécurité
Fournir une formation de sensibilisation à la cybersécurité peut aider à garantir que les employés, partenaires et fournisseurs de votre organisation ont les connaissances et compétences nécessaires pour effectuer des tâches en tenant compte des risques de cybersécurité et des politiques, procédures et accords associés. Une formation efficace doit :
8. Développer un plan de gestion des vulnérabilités
Un plan de gestion des vulnérabilités peut aider à garantir que le risque de cybersécurité pour l'organisation, les actifs et les individus est compris. Le plan doit définir clairement le processus, la structure et la portée de la gestion des vulnérabilités ainsi que les responsabilités et attentes de ceux responsables de la gestion du programme ainsi que de tous les autres au sein de l'organisation. Cela inclut les critères pour décider d'accepter, de transférer, d'atténuer ou d'éviter le risque. Une gestion efficace des vulnérabilités implique plusieurs étapes, y compris la détection des vulnérabilités, les scans DAST et SAST, les tests de pénétration, les évaluations des risques, la formation des employés et plus encore.
9. Mettre en œuvre une surveillance continue
Surveiller en continu votre système d'information et vos actifs ainsi que vos fournisseurs peut aider votre organisation à identifier les événements de cybersécurité et vérifier l'efficacité des contrôles que vous avez en place. La création et l'attribution de tickets lors de la survenue de certains types d'alertes, manuellement ou automatiquement, peut également aider à garantir que les attaques de cybersécurité potentielles soient trouvées et analysées.
Un outil comme Secureframe peut automatiser le processus de surveillance continue et notifier automatiquement les responsables lorsqu'un contrôle échoue.
10. Développer un plan de réponse aux incidents
Un plan de réponse aux incidents est un document contenant un ensemble prédéfini d'instructions ou de procédures pour détecter, répondre et limiter les conséquences d'un incident de sécurité. Avoir un plan de réponse aux incidents en place peut garantir que les processus et procédures de réponse sont exécutés lorsqu'un incident de cybersécurité est détecté. Ce plan doit être régulièrement mis à jour pour incorporer les leçons apprises.
11. Développez un plan de reprise après sinistre
Avoir un plan de reprise après sinistre en place, qui définit clairement les processus et procédures de reprise, peut aider à garantir la restauration des systèmes ou des actifs affectés par des incidents de cybersécurité. Il peut également définir des protocoles de communication et des procédures de notification pour assurer la communication pendant et après un sinistre avec les parties prenantes internes et externes ainsi qu'avec la direction.
Comme le plan de réponse aux incidents, ce plan doit être régulièrement mis à jour pour intégrer les leçons apprises.