Choisir un cadre pour le programme de sécurité de votre organisation est une tâche importante — et pas seulement pour protéger vos données. Des pratiques de sécurité et de conformité solides posent les bases de processus commerciaux plus efficaces, de politiques claires et efficaces, et d'un personnel bien formé. Sans parler d'une différenciation concurrentielle plus convaincante et d'une confiance accrue des clients.
Mais savoir quels cadres répondent aux besoins de votre entreprise, aux réglementations de votre secteur et aux exigences de vos clients peut être délicat. Surtout lorsqu'ils semblent tous similaires.
Si vous avez lu sur les cadres de conformité, il y a de grandes chances que vous ayez rencontré deux des plus populaires : NIST CSF et ISO 27001. Que comprennent chacun de ces cadres, en quoi diffèrent-ils et lequel convient le mieux à votre organisation ? Dans cet article, nous présenterons les bases de chaque cadre et offrirons quelques conseils pour choisir entre eux.
Le cadre de cybersécurité NIST expliqué.
Commençons par examiner en détail le cadre NIST. Ci-dessous, nous expliquerons pourquoi le cadre a été créé, qui doit être conforme, le processus de conformité, et plus encore.
Qu'est-ce que le NIST CSF ?
Le NIST CSF a été initialement créé à la suite d'un décret exécutif publié par le président Obama en février 2013. Obama a introduit ce décret pour établir des connaissances partagées et des meilleures pratiques autour des risques et des menaces liés à la cybersécurité des infrastructures critiques.
En conséquence, l'Institut national des normes et de la technologie des États-Unis s'est associé à des experts du secteur privé et du gouvernement pour créer un cadre pour la cybersécurité des infrastructures critiques. Le résultat a été le National Institute of Standards and Technology Cybersecurity Framework (NIST CSF).
Il existe quelques différents types d'organisations qui sont tenues de se conformer aux exigences du NIST CSF. Cela inclut toute organisation qui :
- Travaille avec le gouvernement fédéral américain.
- Travaille pour des institutions soutenues par des subventions fédérales.
- Travaille au sein de la chaîne d'approvisionnement d'une agence fédérale.
Le cadre NIST aide à évaluer le risque de cybersécurité à travers toute une organisation. Pour ce faire, il divise toutes les activités de cybersécurité en cinq catégories principales.
Identifier
Cette catégorie se concentre sur la réponse à deux questions clés. Premièrement, quels actifs votre organisation doit-elle protéger ? Et deuxièmement, de quels risques ces actifs ont-ils besoin de protection ?
Les activités s'articulent autour de l'établissement d'un programme de gestion des actifs et d'une stratégie de gestion des risques. Commencez par une liste des actifs que vous devez gérer, ainsi que des obligations légales, réglementaires ou contractuelles auxquelles votre organisation doit adhérer. Ensuite, identifiez qui aura accès à quels actifs et données.
Ensuite, identifiez les menaces potentielles pour ces actifs. Un registre des risques ou une matrice des risques est un outil utile pour identifier les menaces. Téléchargez un modèle de registre des risques avec une matrice des risques intégrée pour commencer.
Enfin, déterminez votre tolérance au risque — le montant de risque que vous êtes prêt à accepter avant d'agir pour le contrer. Tous les risques ne méritent pas une réponse. Par exemple, vous ne voudriez pas dépenser 10 000 dollars pour éviter un risque de 100 dollars. Il existe plusieurs façons de gérer le risque : l'atténuer, le transférer, le remédier ou le résoudre. Votre stratégie de gestion des risques doit soigneusement considérer comment vous voulez répondre à différents types de menaces.
Protéger
Cette catégorie décrit comment votre organisation protégera les actifs que vous avez identifiés, soit en empêchant un incident de sécurité, soit en limitant son impact négatif.
Vous devrez mettre en œuvre des contrôles de sécurité et d'accès internes, dispenser une formation de sécurité aux employés, créer des politiques et des processus, et établir des méthodes pour maintenir des protocoles de sécurité stricts tels que les encryptions.
Détecter
Comment votre organisation saura-t-elle si une violation de la sécurité se produit ? Cette catégorie concerne toutes les activités de détection, comme la surveillance des journaux d'événements et d'accès, l'établissement de systèmes de ticketing, etc. pour suivre les anomalies et signaler les événements de sécurité.
Répondre
Toute organisation a besoin d'un plan de réponse en cas d'incident de cybersécurité. Avoir un plan en place vous permet d'agir rapidement pour contenir plus efficacement l'événement, réduire son impact et tirer des leçons de l'incident.
Vous devrez établir un plan de réponse aux incidents qui inclut la communication avec les parties prenantes internes et externes, l'analyse des incidents pour déterminer la cause et les activités visant à atténuer l'impact de l'incident. Ce plan de réponse doit également inclure des moyens d'apprendre de l'incident pour éviter qu'il ne se reproduise et identifier des moyens potentiels d'améliorer votre réponse.
Récupérer
Une fois que vous avez répondu à un incident de sécurité, vous aurez besoin d'un plan de récupération pour restaurer tous les services affectés et empêcher qu'un incident similaire ne se reproduise.
Outre la restauration des systèmes et/ou services affectés, les activités de récupération typiques incluent la révision de l'incident, l'identification des leçons apprises et la mise en œuvre d'améliorations.
Processus de conformité NIST CSF
Le cadre NIST demande aux organisations de mapper leurs contrôles de sécurité et leurs activités sur une sorte de matrice qui identifie les « niveaux de mise en œuvre » pour chacune de ces cinq principales catégories de sécurité. Ces niveaux décrivent à quel point vos systèmes et contrôles de cybersécurité sont matures ou complets pour ces catégories. Les niveaux de mise en œuvre sont : Partiel, Informed, Repeatable et Adaptatif.
Pour chaque catégorie de sécurité, vous énumérerez tous les contrôles internes, politiques ou processus que vous avez mis en place pour la soutenir. Par exemple, la catégorie Identifier inclurait votre inventaire des actifs, votre stratégie de gestion des risques et vos processus et documents d'évaluation des risques. La catégorie Protéger inclurait vos cryptages, logiciels pare-feu, système de détection d'intrusion, certificats de formation à la sécurité des employés, etc.
Comme vous pouvez le deviner, une mise en œuvre « partielle » signifie que votre organisation peut avoir du travail à faire ou des lacunes à combler pour cette catégorie, tandis que « adaptatif » indique que vous avez un programme de sécurité mature et réactif en place.
Avantages du NIST CSF
Amener votre organisation à se conformer à un cadre de sécurité implique beaucoup de temps, d'efforts et de ressources. Avant de commencer, il est important de savoir ce qui est impliqué et ce que votre organisation a à y gagner.
Le cadre NIST offre un certain nombre d'avantages convaincants pour les organisations en croissance, notamment :
- Les meilleures pratiques de cybersécurité qui ont été identifiées par un consensus d'experts dans les secteurs privé et gouvernemental
- Un accent sur la gestion des risques et la communication à travers toute l'organisation. Le NIST CSF encourage également une surveillance continue des risques, ce qui aide les organisations à adopter une conformité continue.
- Flexibilité pour adapter le cadre à vos besoins commerciaux spécifiques tout en permettant l'évolutivité
- Des niveaux de mise en œuvre clairement définis facilitent l'identification et la prioritisation des lacunes de vos processus et politiques actuels
- Capacité à s'associer avec les agences gouvernementales fédérales américaines tout en prouvant une forte posture de sécurité à des clients potentiels du secteur privé
La norme ISO 27001 expliquée
Passons maintenant à ISO 27001, un cadre qui est devenu une référence mondiale pour la sécurité de l'information à l'international. Ci-dessous, nous couvrirons les origines du cadre, ses avantages et le processus de certification.
Qu'est-ce que l'ISO 27001 ?
La norme ISO 27001 a été établie en 2005 par l'Organisation internationale de normalisation, puis révisée en ISO/IEC 27001 en 2013 et 2017 grâce à un partenariat avec la Commission électrotechnique internationale (CEI).
L'Organisation internationale de normalisation est une entité mondiale qui réunit des conseils de normalisation de 166 pays. Son objectif est de garantir que les frontières nationales n'interfèrent pas avec la capacité de la société moderne à développer des technologies fiables. L'organisation a créé l'ISO 27001 pour contrer la montée des attaques sophistiquées contre les systèmes d'information dans le monde entier.
Le cadre a été conçu pour évaluer si le système de gestion de la sécurité de l'information (SGSI) d'une organisation peut protéger les données sensibles. Il garantit également que les organisations donnent la priorité à la cybersécurité en se concentrant sur l'amélioration continue du SGSI.
Contrairement aux cadres tel que le NIST CSF, le RGPD et la HIPAA, la conformité à l'ISO 27001 n'est pas légalement requise. Mais en matière de sécurité de l'information, la certification ISO 27001 est l'une des normes les plus respectées à l'international. De nombreuses sociétés mondiales voudront savoir que vous êtes certifié ISO 27001 avant de faire des affaires avec votre organisation.
Le processus de certification ISO 27001
Les exigences de l'ISO 27001 incluent la conformité aux clauses 4 à 10 de la norme, 114 contrôles de l'annexe A, plus la documentation requise telle que la Déclaration d'applicabilité, la politique de l'ISMS et une évaluation des risques ISO 27001 formelle.
La certification ISO 27001 implique un processus d'audit en deux étapes. Lors d'un audit de la phase 1, un auditeur externe accrédité examine la conception de votre SGSI. Lors d'un audit de la phase 2, l'auditeur examinera comment votre SGSI fonctionne et si les politiques et processus sont correctement suivis. Après un audit réussi de la phase 2, votre organisation recevra une certification ISO 27001 valable pour trois ans.
Pour maintenir la conformité, vous devrez effectuer des audits internes réguliers, ainsi qu'un audit de surveillance annuel. À la fin de la troisième année, vous pouvez réaliser un audit de recertification valable pour trois ans supplémentaires.
Les avantages de la certification ISO 27001
Voici quelques avantages de posséder une certification ISO :
- Obtenez un avantage concurrentiel sur le marché, notamment à l'international
- Gagnez des contrats face à des concurrents non conformes à l'ISO 27001
- Accélérez le cycle de vente en éliminant la sécurité et la conformité comme objections
- Vendez sur le marché supérieur en gagnant la confiance des grandes entreprises
- Renforcez la confiance des clients en prouvant que votre service est sécurisé. Un SGSI certifié offre une forte garantie sur votre posture globale de sécurité
- Posez les bases d'un SGSI solide qui renforce la sécurité et les processus métier
- Obtenez un avis d'expert tiers sur vos contrôles et politiques de sécurité des données
- Créez une culture d'entreprise axée sur la sécurité et la conformité
- Élaborez un cadre pour gérer les risques de sécurité à travers l'entreprise
- Améliorer la confiance des investisseurs et des partenaires
- Rationaliser la diligence technique par un acheteur ou un investisseur potentiel
NIST vs ISO 27001 : Quelle est la différence ?
Les deux, NIST CSF et ISO 27001, aident les organisations à mettre en œuvre les meilleures pratiques pour une posture de cybersécurité solide. Et les deux cadres se concentrent sur l'aide aux organisations pour mieux identifier, suivre, atténuer, se préparer à et se remettre des incidents de sécurité et des violations de données. NIST et ISO 27001 sont chacun des cadres très respectés qui signalent une posture de sécurité solide et inspirent la confiance des clients.
Mais les deux cadres ne sont pas interchangeables. Discutons de quelques différences clés entre les deux.
Focus et objectif
Alors que la flexibilité du NIST CSF signifie qu'il peut être appliqué à toute organisation, quel que soit le secteur ou la taille, il a été créé avec en tête les agences fédérales américaines et leurs partenaires. De même, bien que l'ISO 27001 puisse être adopté par toute organisation, il a été conçu spécifiquement pour aider les entreprises à construire et maintenir un Système de Management de la Sécurité de l'Information (ISMS) conforme.
Processus de conformité
Une autre différence clé réside dans le processus de conformité lui-même. Avec le NIST CSF, les organisations du secteur privé se certifient elles-mêmes, tandis que l'ISO 27001 exige un auditeur externe pour vérifier la conformité. La certification ISO 27001 est valable pour trois ans et nécessite des audits de surveillance et de recertification. NIST ne propose pas de certifications.
Avec le NIST CSF, les agences fédérales américaines sont tenues de soumettre des rapports de gestion des risques au Secrétaire de la Sécurité Intérieure et au Directeur de l'Office de Management et Budget (OMB), mais toute organisation du secteur privé peut simplement utiliser le cadre pour guider son programme de cybersécurité.
Temps et coût
Les exigences en termes de temps et de coût sont également importantes à considérer et varient entre les deux cadres. Le NIST CSF est disponible gratuitement et peut être mis en œuvre à votre propre rythme. La norme ISO 27001 doit être achetée, et les audits externes engendrent un coût supplémentaire.
Alors, comment votre entreprise doit-elle décider quel cadre poursuivre ?
La question principale est probablement de savoir qui sont vos clients et quel type de conformité ils exigent de vous. Si vous travaillez avec ou à proximité des agences fédérales américaines ou de leurs partenaires, il est probable que le NIST CSF sera pertinent ou requis pour votre entreprise. Si vous essayez de séduire des clients internationaux, une certification ISO 27001 débloquera probablement plus d'opportunités de revenus.
Au-delà de cela, considérez la maturité de votre programme de cybersécurité. La plupart des entreprises qui sont encore en train de poser les bases commencent par utiliser le cadre de cybersécurité NIST comme guide. Sa flexibilité et ses niveaux de mise en œuvre clairs permettent une évaluation plus simple d'où se concentrer et remédier aux lacunes de votre posture de sécurité. À mesure que les entreprises mûrissent dans leur portée et leurs opérations, elles peuvent être prêtes à adopter une approche plus systématique et mettre en œuvre un ISMS complet. Dans ce cas, les avantages de la certification ISO 27001 deviennent plus apparents.
Pour certaines organisations, ce n'est pas une situation de choix unique. Plusieurs cadres de sécurité peuvent s'améliorer mutuellement, et chaque approche offre ses propres avantages uniques. Prenez une décision en fonction des risques inhérents à votre entreprise, de votre posture de sécurité actuelle et du temps et des ressources que vous pouvez réalistement consacrer à la conformité.
Rationaliser la conformité de sécurité avec Secureframe
Que votre organisation décide de suivre une norme de sécurité telle que NIST CSF ou ISO 27001 ou souhaite simplement développer un programme de cybersécurité plus mature, Secureframe peut vous aider. Notre plateforme simplifie le processus de préparation des audits et facilite la conformité continue en surveillant votre pile technologique pour les non-conformités. En savoir plus sur notre solution en demandant une démonstration dès aujourd'hui.