Guide essentiel aux frameworks de sécurité et 14 exemples
Bien que la plupart des PDG et des experts en conformité comprennent la valeur des mesures de cybersécurité, les frameworks de sécurité peuvent rendre la protection de votre organisation intimidante. Vous savez que vous devez mettre en place quelque chose de formel mais vous ne savez peut-être pas quels frameworks et normes de sécurité vous devriez envisager (ou auxquelles vous devez vous conformer légalement).
Ce guide explore 14 frameworks de sécurité courants et fournit des indications pratiques afin que vous puissiez choisir en toute confiance celui ou ceux qui conviennent à votre organisation.
Qu'est-ce qu'un framework de sécurité ?
Un framework de sécurité définit les politiques et les procédures pour établir et maintenir des contrôles de sécurité. Les frameworks clarifient les processus utilisés pour protéger une organisation contre les risques de cybersécurité. Ils aident les professionnels de la sécurité informatique et les équipes de sécurité à maintenir leurs organisations conformes et protégées contre les menaces cybernétiques.
Il est important de noter qu'une fois que vous avez mis en œuvre un framework de sécurité, vous ne devez pas cocher « conformité » sur votre liste de tâches.
L'une des plus grandes erreurs liées à la sécurité que les entreprises font est de vérifier la conformité une fois puis de l'oublier.
Comme l'explique notre PDG Shrav Mehta, « Les exigences de conformité, les contrôles et les politiques sont des éléments qui doivent être examinés et mis à jour en permanence pour rester véritablement sécurisés. »
14 frameworks de cybersécurité courants
Maintenant que nous avons établi pourquoi les frameworks de sécurité sont importants, examinons quelques-uns des frameworks les plus courants pour vous aider à décider lesquels conviennent à votre organisation.
14 frameworks de sécurité à connaître
| Framework | Purpose | Best Suited For | Certification | Certification Method | Audit Duration | Audit Frequency |
|---|---|---|---|---|---|---|
| SOC 2 | Manage customer data | Companies and their third-party partners | N/A | Authorized CPA firms | 6-month period | Every year |
| ISO 27001 | Build and maintain an information security management system (ISMS) | Any company handling sensitive data | Yes | Accredited third-party | 1 week-1 month | Every year |
| NIST Cybersecurity Framework | Comprehensive and personalized security weakness identification | Anyone | N/A | Self | N/A | N/A |
| HIPAA | Protect patient health information | The healthcare sector | Yes | The Department of Health and Human Services (third-party) | 12 weeks | 6 per year |
| PCI DSS | Keep card owner information safe | Any company handling credit card information | Yes | PCI Qualified Security Assessor (third-party) | 18 weeks | Every year |
| GDPR | Protect the data of people in the EU | All businesses that collect the data of EU citizens | Yes | Third-party | About 30 days | Depends on preference |
| HITRUST CSF | Enhance security for healthcare organizations and technology vendors | The healthcare sector / Anyone | Yes | Third-party | 3-4 months | Every year |
| COBIT | Alignment of IT with business goals, security, risk management, and information governance | Publicly traded companies | Yes | ISACA (third-party) | N/A | N/A |
| NERC-CIP | Keep North America’s bulk electric systems operational | The utility and power sector | Yes | Third-party | Up to 3 years | Every 5 years |
| FISMA | Protect the federal government’s assets | The federal government and third parties operating on its behalf | Yes | The FISMA Center | 12 weeks | Every year |
| NIST Special Publication 800-53 | Compliance with the Federal Information Processing Standards' (FIPS) 200 requirements and general security advice | Government agencies | N/A | Self | N/A | N/A |
| NIST Special Publication 800-171 | Management of controlled unclassified information (CUI) to protect federal information systems | Contractors and subcontractors of federal agencies | N/A | Self | N/A | N/A |
| IAB CCPA | Protecting California consumers’ data | California businesses and advertising tech companies | N/A | Self | N/A | N/A |
| CIS Controls | General protection against cyber threats | Anyone | Yes | Third-party | N/A | N/A |
1. SOC 2
Les contrôles des systèmes et des organisations (SOC) 2 sont un ensemble de critères de conformité développés par l'American Institute of Certified Public Accountants (AICPA).
- À qui cela s'adresse : Les entreprises et leurs partenaires tiers
- Focus : Gestion des données des clients et gestion des risques des tiers
Le SOC 2 évalue la posture de sécurité d'une entreprise en relation avec cinq critères des services de confiance. Après un audit, l'auditeur donne à l'entreprise un rapport SOC 2 avec un aperçu de la qualité de sa cybersécurité en rapport avec les CSC : sécurité, disponibilité, confidentialité, intégrité du traitement et confidentialité.
Malgré la valeur qu'il apporte à une organisation, la mise en œuvre du SOC 2 peut être difficile et chronophage. Secureframe rationalise ce processus, aidant les entreprises à devenir conformes au SOC 2 en un temps record.
Le guide ultime du SOC 2
Découvrez tout ce que vous devez savoir sur les exigences, le processus et les coûts de l'obtention de la certification SOC 2.
2. ISO 27001
L'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont établi la série ISO 27000 afin d'introduire des lignes directrices pour la mise en œuvre de politiques de sécurité de l'information. En tant que norme internationale pour la validité des programmes de sécurité, la certification ISO/CEI informe les partenaires de votre fiabilité et de votre sérieux.
Plus précisément, l'ISO 27001 énumère les exigences pour la construction et le maintien d'un système de gestion de la sécurité de l'information (SGSI). Un SGSI est un outil utilisé pour minimiser les risques liés à la sécurité de l'information en vous aidant à gérer les personnes, les processus et la technologie.
- Pour qui : Les entreprises qui gèrent des données sensibles
- Objectif : Construire et maintenir un système de gestion de la sécurité de l'information (SGSI)
Si obtenir la conformité ISO 27001 améliore la fiabilité de votre marque, envisagez de simplifier votre processus de certification avec Secureframe.
Le guide ultime de l'ISO 27001
Si vous souhaitez construire un SGSI conforme et obtenir la certification, ce guide contient tous les détails dont vous avez besoin.
3. Cadre de cybersécurité du NIST
Le National Institute of Standards and Technology (NIST) des États-Unis a développé le cadre de cybersécurité du NIST (également connu sous le nom de cadre de gestion des risques du NIST) en réponse à une initiative de 2013 de l'ancien président Obama. L'initiative appelait le gouvernement et le secteur privé à collaborer dans la lutte contre les risques cybernétiques.
- Pour qui : Tout le monde
- Objectif : Identification complète et personnalisée des faiblesses en matière de sécurité
Le cadre est séparé en trois composants : le Core, les Tiers de mise en œuvre et les Profils.
- Le Core : Définit les objectifs de cybersécurité et les organise en cinq phases : identifier, protéger, détecter, répondre et récupérer. Par exemple, la gestion des risques liés à la chaîne d'approvisionnement fait partie de la phase « identifier ».
- Les Tiers de mise en œuvre : Déterminent l'efficacité avec laquelle les efforts de cybersécurité d'une organisation atteignent les objectifs du cadre. Ils vont de partiel (Tier 1) à adaptatif (Tier 4). Une organisation visant le Tier 4 voudra s'assurer que ses efforts de cybersécurité sont de premier ordre selon les normes du cadre.
- Les Profils : Aident les organisations à comparer leurs objectifs existants au Core du cadre et à identifier les opportunités d'amélioration. Ils guident la manière dont le NIST peut répondre au mieux aux besoins spécifiques de l'organisation.
La conformité au cadre est volontaire. Cela dit, NIST est largement respecté pour repérer les faiblesses de sécurité. Il peut aider les organisations à adhérer aux réglementations, et même offrir des suggestions de sécurité personnalisées.
Le Guide Ultime des Cadres Fédéraux
Obtenez un aperçu des cadres fédéraux les plus courants, à qui ils s'appliquent et quelles sont leurs exigences.
4. HIPAA
La Loi sur la Portabilité et la Responsabilité en matière d'Assurance Maladie (HIPAA) est une loi fédérale de 1996 qui a créé des normes pour la protection des informations de santé des patients. Toutes les organisations de santé doivent suivre des pratiques de cybersécurité et réaliser des évaluations des risques pour se conformer à la HIPAA.
- Pour qui : Le secteur de la santé
- Focus : Protection des informations de santé des patients
Le secteur de la santé est la septième cible la plus fréquente des cyberattaques, il est donc nécessaire que les organisations du secteur restent vigilantes.
Le Guide Ultime de la HIPAA
Apprenez tout ce que vous devez savoir sur les exigences, le processus et les coûts pour devenir conforme à la HIPAA.
5. PCI DSS
La Norme de Sécurité des Données de l'Industrie des Cartes de Paiement (PCI DSS) a été créée en 2006 pour s'assurer que toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit fonctionnent de manière sécurisée. Le cadre vise principalement à protéger les informations des titulaires de carte. Toutes les entreprises manipulant ces informations doivent se conformer au PCI DSS, quelle que soit leur taille.
- Pour qui : Toute entreprise manipulant des informations de carte de crédit
- Focus : Sécurité des informations des titulaires de carte
Contrairement aux cadres imposés par le gouvernement, les marques de paiement (MasterCard, Visa, etc.) imposent la conformité PCI DSS.
Le Guide Ultime de la PCI DSS
Ce guide vous aidera à comprendre les exigences, le processus et les coûts pour obtenir la certification.
6. RGPD
L'Union européenne a adopté le Règlement général sur la protection des données (RGPD) pour protéger les données des citoyens de l'UE. Il s'applique à toutes les entreprises qui collectent et traitent les données des citoyens de l'UE, que ces entreprises soient basées dans l'UE ou à l'international. Le cadre énumère les règlements relatifs aux droits d'accès aux données des consommateurs, aux droits de protection des données, au consentement, et plus encore. Il est appliqué par le Bureau du Commissaire à l'information (ICO).
- Pour qui : Toutes les entreprises qui collectent les données des citoyens de l'UE
- Objectif : Confidentialité et protection des données des citoyens de l'UE
Le règlement est vaste — 88 pages, pour être exact — et l'ICO est réputé pour infliger de lourdes amendes aux entreprises qui ne se conforment pas. Par exemple, en 2018 (la même année que le RGPD a été établi), l'ICO a infligé une amende de 50 millions d'euros à Google.
7. HITRUST CSF
Bien que la loi HIPAA soit un cadre utile pour atténuer les cybermenaces, les violations de données dans le secteur de la santé sont encore beaucoup trop fréquentes. 42 % des organisations de santé ne disposent pas de plan de réponse aux incidents, et la conformité HIPAA n'est pas toujours suffisante.
- Pour qui : Tout le monde (en particulier le secteur de la santé)
- Objectif : Améliorer la sécurité pour les organisations de santé et les fournisseurs de technologies
HITRUST CSF améliore la sécurité pour les organisations de santé et les fournisseurs de technologies en combinant des éléments d'autres cadres de sécurité. Plus précisément, le cadre utilise l'analyse des risques et la gestion des risques pour assurer la sécurité organisationnelle.
Bien que le HITRUST CSF ait été développé pour compléter la loi HIPAA, il a été adopté mondialement par des organisations dans presque tous les secteurs d'activité.
8. COBIT
Au milieu des années 90, l'Information Systems Audit and Control Association (ISACA) a développé Control Objectives for Information and Related Technology (COBIT). Ce cadre réduit les risques techniques organisationnels en aidant les entreprises à développer et à mettre en œuvre des stratégies de gestion de l'information.
COBIT a été mis à jour plusieurs fois depuis les années 90 pour suivre les menaces de sécurité. Les versions les plus récentes se concentrent sur l'alignement de l'informatique avec les objectifs commerciaux, la sécurité, la gestion des risques et la gouvernance de l'information. COBIT est souvent utilisé pour se conformer aux règles de la loi Sarbanes-Oxley (SOX), qui a été promulguée au début des années 2000 pour protéger les investisseurs.
- Pour qui : Sociétés cotées en bourse
- Objectif : Aligner l'informatique avec les objectifs commerciaux, la sécurité, la gestion des risques et la gouvernance de l'information
9. NERC-CIP
La North American Electric Reliability Corporation - Critical Infrastructure Protection (NERC-CIP) a été créée en 2008 en réponse aux attaques contre les infrastructures des États-Unis. Elle s'applique aux entreprises opérant dans le secteur des services publics et de l'énergie. Le but de ce cadre est de minimiser les risques dans ce secteur et de maintenir les systèmes électriques de grande envergure de l'Amérique du Nord opérationnels.
- Pour qui : Le secteur des services publics et de l'énergie
- Objectif : Protéger les systèmes électriques de grande envergure de l'Amérique du Nord
Le cadre énonce des exigences spécifiques pour les fournisseurs de services dans ce secteur. Il s'agit notamment de faire l'inventaire de tous les actifs protégés, de décrire les mesures de sécurité existantes, de bien former les employés, de développer un plan de réponse aux incidents, et plus encore.
10. FISMA
Le Federal Information Security Management Act (FISMA) isole les actifs du gouvernement américain des cybermenaces. Il s'applique au gouvernement fédéral et aux tiers opérant en son nom. Le Département de la Sécurité intérieure est chargé de superviser sa mise en œuvre.
- Pour qui : Le gouvernement fédéral et les tiers opérant en son nom
- Objectif : Protection des actifs gouvernementaux
À l'instar du NIST, le FISMA exige la documentation des actifs numériques et des intégrations réseau. Les organisations doivent également surveiller leur infrastructure informatique et évaluer régulièrement les risques et les vulnérabilités.
11. Publication spéciale 800-53 du NIST
Le NIST a publié la Publication spéciale 800-53 en 1990, mais le cadre a évolué au fil du temps. Il conseille désormais les agences et autres organisations dans presque tous les domaines de la sécurité de l'information. Il répertorie les contrôles de sécurité et de confidentialité pour tous les systèmes d'information fédéraux des États-Unis (à l'exception de la sécurité nationale).
Les agences gouvernementales suivent la NIST SP 800-53 pour respecter les exigences des normes fédérales de traitement de l'information (FIPS) 200. Cependant, les entreprises de presque tous les secteurs peuvent l'implémenter. En fait, de nombreux cadres de sécurité existants ont été construits en utilisant le NIST SP 800-53 comme point de départ.
- Pour qui : Tous, en particulier les agences gouvernementales
- Objectif : Se conformer aux exigences des FIPS 200 et fournir des conseils généraux en matière de sécurité
12. Publication spéciale 800-171 du NIST
Le NIST SP 800-171 est un document complémentaire au NIST SP 800-53 destiné à protéger les systèmes d'information fédéraux. Il explique comment les entrepreneurs et sous-traitants des agences fédérales (souvent dans le secteur manufacturier) doivent gérer les informations non classifiées contrôlées (CUI). Les entrepreneurs doivent se conformer au NIST 800-171 pour poursuivre de nouvelles opportunités commerciales.
- Pour qui : Entrepreneurs et sous-traitants des agences fédérales
- Objectif : Défense des systèmes d'information fédéraux
Alors que de nombreux cadres nécessitent une certification tierce, les entrepreneurs peuvent s'auto-certifier avec le NIST SP 800-171 en suivant la documentation du NIST.
13. CCPA IAB
Si vous vivez en Californie et avez déjà vu un lien indiquant "Ne vendez pas mes informations personnelles" sur un site web, vous avez rencontré le Cadre de conformité CCPA de l'IAB (Interactive Advertising Bureau California Consumer Privacy Act). Ce cadre offre aux consommateurs californiens un meilleur contrôle sur leurs données personnelles. Il nécessite la conformité des entreprises qui collectent des informations sur les utilisateurs et des entreprises tech publicitaires qui les achètent.
- Pour qui : Entreprises et entreprises tech publicitaires qui gèrent les données personnelles des résidents de Californie
- Objectif : Protection des données des consommateurs californiens
Lorsque les utilisateurs décident qu'ils ne veulent pas que leurs données soient vendues, les entreprises doivent le communiquer aux entreprises tech publicitaires et les données de l'utilisateur ne peuvent pas être vendues.
14. Contrôles CIS
La plupart des cadres de cybersécurité se concentrent sur l'identification et la gestion des risques. En revanche, les Contrôles CIS sont simplement une liste d'actions que toute organisation peut entreprendre pour se protéger des menaces cybernétiques. Quelques exemples de contrôles incluent des mesures de protection des données, la gestion des journaux d'audit, les défenses contre les logiciels malveillants, les tests d'intrusion, et bien plus encore.
- Pour qui : Tout le monde
- Objectif : Protection générale contre les menaces cybernétiques
Essentiellement, les autres cadres sont excellents pour localiser où la « fuite » de sécurité se situe. Les contrôles CIS fournissent des indications sur la manière de colmater la fuite.
Quel cadre de sécurité informatique est fait pour moi ?
Maintenant que nous avons exploré certains des cadres de sécurité les plus courants, vous vous demandez probablement lesquels s'appliquent à votre entreprise.
Votre décision dépend de divers facteurs, tels que les normes de votre secteur, les exigences de conformité imposées par le gouvernement ou votre secteur, et votre vulnérabilité aux menaces cybernétiques.
Pour vous aider à démarrer, posez-vous les questions suivantes :
- Êtes-vous ou vos clients dans l'industrie du commerce de détail ou de la santé ? Vous devrez probablement être conformes au PCI DSS ou à la HIPAA.
- Collectez-vous, traitez-vous ou stockez-vous des données d'utilisateurs pour des citoyens de l'UE ou des résidents de Californie ? Le RGPD ou le CCPA peuvent être légalement requis.
- Traitez-vous ou stockez-vous des données client dans le cloud ? La conformité SOC 2 et ISO 27001 peut renforcer votre posture de sécurité et établir la confiance avec les clients.
- Êtes-vous une entreprise cotée en bourse ? COBIT vous aidera à devenir conforme à la loi SOX.
- Êtes-vous une agence fédérale américaine ou un entrepreneur employé par l'une d'elles ? Vous êtes probablement tenu de vous conformer aux normes NIST SP 800-53 ou NIST SP 800-171.
Heureusement, de nombreux cadres partagent une base similaire. Si vous apprenez plus tard que votre organisation doit se conformer à un autre cadre, il peut y avoir un chemin facile depuis votre cadre actuel.
FAQs
Qu'est-ce qu'un cadre de sécurité ?
Un cadre de sécurité définit les politiques et les procédures pour établir et maintenir des contrôles qui aident à protéger une organisation contre les risques de cybersécurité et à maintenir la conformité avec les lois, réglementations et normes pertinentes.
Quels sont les cadres de sécurité courants ?
Les cadres de sécurité courants incluent SOC 2, ISO 27001, NIST CSF, HIPAA, PCI DSS, HITRUST, COBIT, NIST 800-53 et NIST 800-171.
NIST est-il un cadre de sécurité ?
NIST est le National Institute of Standards and Technology du Département du commerce des États-Unis. Cet organisme a été créé par le Congrès pour faire progresser la science de la mesure, les normes et la technologie de manière à améliorer la sécurité économique et notre qualité de vie. Dans ce but, il a créé plusieurs cadres de sécurité, dont NIST 800-53, NIST 800-171 et NIST CSF.
Comment Secureframe peut vous mettre sur la bonne voie
Bien que les cadres de sécurité puissent aider à clarifier les contrôles de sécurité essentiels que les organisations doivent mettre en œuvre pour protéger leurs données, la conformité peut encore être complexe.
Secureframe simplifie le processus en fournissant des vérifications de conformité complètes par rapport aux cadres les plus demandés, notamment SOC 2, ISO 27001, HIPAA, PCI DSS, et plus encore.
Ce qui prenait des mois de travail manuel ne prend plus que quelques semaines.
Pour en savoir plus sur la façon dont Secureframe peut vous faire gagner du temps dans la mise en œuvre des cadres de sécurité, demandez une démonstration de notre plateforme dès aujourd'hui.