Définition et objectif

Le cadre IT-Grundschutz vise à fournir une méthodologie standardisée pour mettre en œuvre et maintenir un système de gestion de la sécurité de l'information (ISMS). Le cadre aide les organisations à identifier et gérer les risques liés à leurs actifs informationnels, améliorant ainsi la posture globale de sécurité de l'information. L'objectif est de guider les organisations dans l'établissement, le maintien et l'amélioration continue de leurs mécanismes de sécurité de l'information, tout en se concentrant sur une mise en œuvre pratique.

Ce cadre est largement utilisé en Allemagne et est de plus en plus adopté par d'autres pays européens.

Organisme de régulation

L'organisme de régulation du cadre IT-Grundschutz est l'Office fédéral de la sécurité de l'information (Bundesamt für Sicherheit in der Informationstechnik ou BSI), une agence du gouvernement allemand.

Dernière mise à jour

Le cadre IT-Grundschutz est mis à jour périodiquement en fonction de l'évolution des cybermenaces et des meilleures pratiques. La mise à jour la plus récente a été publiée en février 2022.

S'applique à

Le BSI IT-Grundschutz n'est pas limité à un secteur spécifique et peut être appliqué largement à divers types d'organisations, y compris les agences gouvernementales, les entreprises privées et les organisations à but non lucratif. Il est particulièrement populaire en Allemagne, mais il est également applicable et utile pour les organisations en dehors de l'Allemagne, en particulier celles opérant au sein de l'Union européenne.

Contrôles et exigences

Le cadre IT-Grundschutz est vaste et comprend plusieurs modules qui traitent de différents aspects de la sécurité de l'information. Le cadre inclut, mais ne se limite pas, aux éléments suivants :

• Vérifications de la sécurité de base : Évaluation préliminaire des risques et mesures de sécurité initiales.
• Gestion des systèmes informatiques : Directives pour la mise en place et le maintien de systèmes informatiques sécurisés.
• Sécurité des réseaux : Protocoles et mesures pour la transmission sécurisée des données et la surveillance des réseaux.
• Contrôle d'accès : Mise en œuvre de contrôles d'accès basés sur les rôles et de mécanismes d'authentification.
• Protection des données : Directives pour la classification, le cryptage et le stockage sécurisé des données.
• Sensibilisation et formation des utilisateurs : Mesures éducatives pour sensibiliser les employés aux risques de sécurité.
• Gestion et réponse aux incidents : Processus d'identification et de réponse aux incidents de sécurité.
• Conformité et exigences légales : Étapes pour assurer la conformité légale en termes de protection des données et autres lois pertinentes.
• Plan de continuité des activités : Procédures garantissant la continuité opérationnelle en cas d'incident.
• Surveillance et audit de la sécurité : Mesures de surveillance et d'audit continus des contrôles de sécurité.

Veuillez vous référer au compendium IT-Grundschutz officiel pour une liste détaillée des contrôles et des exigences.

Type, fréquence et durée de l'audit

Le cadre exige généralement un audit interne ou externe, souvent aboutissant à une certification connue sous le nom de « Certification BSI IT-Grundschutz ». Les audits sont généralement effectués par des auditeurs reconnus par le BSI. La fréquence des audits peut varier en fonction des exigences réglementaires ou des politiques organisationnelles, mais en général, un cycle d'audit triennal est courant. La durée de l'audit peut varier en fonction de la taille et de la complexité de l'organisation, mais peut aller de quelques semaines à quelques mois.