Adopté en 2019, le règlement européen relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications est plus connu sous la dénomination Cybersecurity Act. Ce règlement renforce le rôle de l’ENISA et définit un cadre pour les certifications cybersécurité.

Les certifications « critères communs » (Common Criteria) sont un standard international pour certifier le niveau de sécurité d’un produit en prenant en compte la conception, le développement et la résistance aux attaques. Le processus de certification, piloté par les agences nationales de sécurité (ANSSI pour la France) est relativement long, un an à un an et demi. L’évaluation est menée par des laboratoires spécialisés (licensed laboratories). En France, les laboratoires CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information) sont accrédités par le COFRAC et agréés par l’ANSSI. Les certifications répondent à des besoins réglementaires, commerciaux ou contractuels. Les certifications peuvent concerner les solutions de cybersécurité et, plus largement, toutes les solutions offrant des fonctionnalités de sécurité (équipements réseaux, firewalls, cartes à puces, Hardware Security Module, automates programmables industriels, serveurs SCADA…).

La gestion des vulnérabilités et de leurs correctifs fait partie des fondamentaux de la sécurité opérationnelle. Les CVE sont utilisés depuis longtemps pour identifier et catégoriser les vulnérabilités publiques. La première liste CVE a été lancée par un groupe de travail issu du MITRE en 1999, connu aussi pour son catalogue ATT&CK beaucoup utilisé en CTI. Le FIRST, association de CSIRT très actif dans le domaine des vulnérabilités publie et met à jour le système CVSS qui fixe une note de criticité pour chaque vulnérabilité en fonction de paramètres déterminés par les spécifications. Le FIRST propose aussi depuis 2019 l’indicateur EPSS (Exploit Prediction Scoring System) pour évaluer la vraisemblance qu’une vulnérabilité puisse être exploitée. Le modèle a été présenté lors d’un Black Hat aux Etats-Unis. L’objectif est de mieux prioriser les processus de remédiation qui peuvent être lourds dans des groupes aux systèmes d’information complexes et répartis dans de nombreuses filiales et pays. Ce type de scoring est un exemple de mesure quantitative du risque, mis en œuvre par exemple dans la méthode FAIR.

ISO 31000 fournit des bonnes pratiques pour la gestion des risques, quelque soit leur forme et quelque soit le secteur professionnel. C’est donc un cadre plus général que des méthodes qui se concentrent sur les risques cyber comme EBIOS Risk Manager, FAIR, ISO 27005 ou le référentiel de l’ISACA. ISO 31000 définit un risque comme l’effet de l’incertitude sur les objectifs. Cet effet peut être positif ou négatif. Il peut entrainer des opportunités ou des menaces. La finalité de la gestion des risques au sens de l’ISO 31000 est de créer et préserver de la valeur pour l’entité.

La norme ISO 27031 fournit des lignes directrices pour la préparation des TIC (technologies de la communication et de l’information) pour la continuité d’activité. Ce document fournit un cadre pour adapter les systèmes d’information aux besoins de continuité métiers. Cette norme est liée à la série ISO 22301 centrée sur les aspects continuité. La continuité informatique est une des composantes du programme de continuité des activités.

Les SOC (Security Operation Center), internes ou externalisés se concentrent sur la détection et la notification des incidents de sécurité. Les modalités de réponses aux incidents sont du ressort des équipes internes avec l’aide de services des CSIRT, par exemple pour les investigations numériques. Des bonnes pratiques issues des normes ISO 27035 ou du NIST SP 800-61 permettent de définir et de mettre en œuvre un processus efficace de détection et de réponse aux incidents de sécurité. Pour construire son SOC, on peut s’appuyer sur des référentiels comme le PDIS de l’ANSSI ou les bonnes pratiques publiées par l’ETSI.

La norme ISO 20000 spécifie les exigences pour établir, implémenter, maintenir et améliorer un système de management des services (SMS). Cette norme, en complément de la norme ISO 27001 et ISO 27018 (voir première et deuxième partie) est par exemple utilisée dans le cadre de la certification HDS (hébergeurs donnés de santé). ISO 20000 fait partie des normes à connaitre dans le cadre de la préparation à la certification CISSP. Pour être conforme à l’ISO 20000, le SMS doit obligatoirement respecter les exigences définies dans la norme, regroupées dans plusieurs domaines.

La cybersécurité des fournisseurs fait partie des risques majeurs à analyser et traiter. Le concept de SCRM est souvent évoqué et fait partie du programme de la certification CISSP. Le NIST a publié des bonnes pratiques dans son référentiel 8276. La série de normes ISO 27036 propose des guides et des bonnes pratiques pour sécuriser les relations avec ses fournisseurs.

La prise en compte de la cyber sécurité dans les cycles de développement est une activité primordiale. Plusieurs référentiels de bonne pratique sont disponibles. Par exemple, la norme ISO 27034 fournit un cadre pour renforcer la sécurité du processus de développement. Autres exemples, le modèle BSIMM et SSDF. SAFECode est une association internationale qui se focalise sur les bonnes pratiques visant à améliorer la sécurité dans les développements. Cette organisation publie et met à jour régulièrement son référentiel de sécurisation du cycle de développement. Comment identifier les exigences. Comment gérer les composants externes « OpenSource » ou et propriétaires. Comment gérer les problèmes de sécurité. Comment traiter les vulnérabilités découvertes dans ses applications.

La cartographie des systèmes d’information fait partie des prérequis à toute démarche de cybersécurité. Elle est indispensable en amont lors des analyses de risques, par exemple dans la méthode EBIOS Risk Manager ou le référentiel de l'ISACA sur les risques IT. La cartographie participe aussi fortement à l’efficacité du processus de réponse à incident. On reconnait cette bonne pratique dans de nombreux référentiels comme le NIST 800-53, le NIST CSF (dans la fonction identifier), la CCM pour la sécurité des environnements Cloud ou encore l’ISO 27002 qui préconise des mesures de sécurité en application du SMSI ISO 27001. Pour les entités qui doivent se conformer au standard PCI DSS, la cartographie fait partie de l’exigence 2.4 (maintenir un inventaire des composants du périmètre PCI DSS). L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) insiste sur ce point, en particulier pour les opérateurs d’importance vitale. L’agence a récemment mis à jour son guide pour établir cette cartographie.

L’agence fédérale allemande de cybersécurité BSI est à l’origine du catalogue C5 (Cloud Computing Compliance Criteria Catalogue), à l’instar de SecNumCloud pour la France. Le BSI a publié la première version de ce catalogue en 2016 pour évaluer la sécurité des services de Cloud. Outre les bonnes pratiques régulièrement mises à jour par le BSI (IT-GrundschutzKompendium), les référentiels ISO 27001, ISO 27002, ISO 27017 et CCM ont servi de base pour établir le catalogue C5. Il a fait l’objet d’une nouvelle version en 2020. Les principaux changements concernent DevOps, le règlement européen Cybersecurity Act, les modalités d’enquêtes administratives et judiciaires, les exigences clients, les audits. Le fournisseur de Cloud peut associer l’audit de conformité à d’autres démarches comme ISAE 3402 par exemple.

TOGAF est proposé par l’association internationale Open Group. C’est un référentiel d’architecture d’entreprise qui fait le lien entre les processus métiers et les systèmes d’information. TOGAF vient historiquement de TAFIM (Technical Architecture Framework for Information Management) utilisé par le département de la défense américain. Le but des référentiels d’architecture d’entreprise est de disposer d’une vue globale des processus et des systèmes d’information de l’entité. Ces référentiels facilitent aussi bien la mise en œuvre des programmes de transformation que l’efficacité opérationnelle au quotidien. Bien que n’étant pas un référentiel focalisé sur la cybersécurité, TOGAF est au programme du CISSP, abordé dans le domaine 1 du programme. La mise en œuvre d’un référentiel d’architecture d’entreprise comme TOGAF est très bénéfique pour définir une gouvernance de la sécurité efficace. Zachman est un autre exemple de référentiel d’architecture. OpenGroup propose une certification TOGAF orientée sur la sécurité et les risques.

Le SSDF (Secure Development Framework) du NIST propose des bonnes pratiques pour mettre sous contrôle son cycle développement, à l’instar d’autres référentiels comme celui de SAFECode, de BSIMM ou de l’ISO 27034. Le contenu du référentiel est orienté sur l’organisation, les compétences et les outils à mettre en place, les protections contre les accès non autorisés aux composants, les pratiques de développant pour minimiser les vulnérabilités et les réponses en cas de détection de failles. Le référentiel répond à la section 4 du document fédéral signé par le Président des Etats-Unis sur l’amélioration de la Cybersécurité. Il répond aussi à l’augmentation des risques liés à la sous-traitance : voir à ce sujet l’ISO 27036 et le SCRM.

L’association ISACA est un acteur reconnu dans le domaine de la gouvernance IT. Créée en 1969 par un groupe d’auditeurs, l’ISACA est présente mondialement. Cette association est à l’origine du référentiel COBIT et propose plusieurs certifications professionnelles comme CISA en audit ou CRISC pour les risques. Le référentiel de gestion des risques IT de l’ISACA a été mis à jour récemment. Il traite l’ensemble des risques IT auxquels une entreprise est confrontée. Le référentiel comprend trois documents principaux : une description du cadre, un guide de mise en œuvre et des exemples de scénarios de risques.

Le standard PCI DSS (Payment Card Industry Data Security Standard) est développé par PCI pour renforcer la sécurité des données de titulaires de cartes bancaires. PCI a été fondée par American Express, Discover, JCB International, MasterCard et Visa. PCI DSS s’applique aux entités qui traitent des cartes de paiement, que ce soit en tant que commerçants, acquéreurs, émetteurs ou prestataires de services et plus généralement à toutes les entités qui stockent, traitent ou transmettent les données « cartes bancaires ». Ce standard est au programme du CISSP, notamment dans le domaine 1 ainsi que des certifications de sécurité du Cloud CCSP et CCSK. Le standard PCI DSS a été revu en mars 2022 : voir les principaux changements entre PCI DSS v4 et v3.2.1.

La norme ISO 27002 est la référence pour mettre en œuvre les mesures de traitement des risques de cybersécurité dans un système de management de la sécurité de l'information (SMSI) basé sur l’ISO 27001. Il peut aussi être utilisé comme un catalogue de mesures à l’instar du NIST 800-53, de la CCM pour les environnements Cloud ou le référentiel CIS. Les exigences de sécurité proviennent des analyses de risques, des éléments de conformité (légale, statutaire, réglementaire, clients) et des objectifs métiers. En anglais le terme « control » dans la norme ISO 27002 est défini comme une mesure qui modifie ou maintient le risque. Une politique de sécurité, par exemple, ne peut que maintenir le risque, alors que la conformité à la politique de sécurité de l'information peut modifier le risque. La norme ISO 27017 est une extension de la norme ISO 27002 pour les environnements Cloud.

Le CAIQ (Consensus Assessments Initiative Questionnaire) s’aligne sur les spécifications de la CCM. Ce questionnaire permet d’aider les organisations à conduire leurs autoévaluations pour tester leur conformité vis-à-vis de la matrice de mesures CCM. Il est développé pour la certification STAR, niveau 1 de la Cloud Security Alliance. STAR 2 requiert des audits indépendants et STAR 3 des audits continus. Les fournisseurs de services Cloud certifiés STAR sont répertoriés dans le registre de la CSA. La connaissance du CAIQ fait partie du programme des certifications individuelles CCSK et CCSP.

La certification individuel CCSP de l’ISC⁽²⁾ (Certified Cloud Security Professional) fournit l’assurance qu’un professionnel de la cybersécurité possède les connaissances, les compétences et les savoir-faire pour intervenir sur des projets et des environnements de Cloud privés et publics. Pour passer l’examen, il faut maîtriser les référentiels liés à plusieurs domaines : architecture, conception, opération et orchestration. La réglementation et la conformité sont aussi des éléments indispensables à connaître. Le programme de l’examen est revu tous les trois ans. Il est articulé en six domaines : architecture et conception, sécurité des données, sécurité des infrastructures, sécurité applicative, sécurité des opérations, conformité – risques et aspects légaux. Comme le CISSP, la certification CCSP est conforme aux exigences de l’ISO 17024. Pour être certifié il faut un minimum de cinq années d’expérience professionnelle dont trois ans en cybersécurité et un an dans au moins un domaine du programme. Les titulaires de la certification CCSK peuvent s’abstenir de justifier de cette expérience d’un des six domaines.

La norme ISO 27005 fournit des bonnes pratiques pour analyser et traiter les risques de cybersécurité. Ce guide est particulièrement utile pour mettre en œuvre un SMSI (Système de Management de Sécurité de l’Information) certifié ISO 27001 ou pour les hébergeurs de données de santé en France. ISO 27005 ne constitue pas une méthode comme EBIOS Risk Manager ou FAIR. Cette norme est plutôt un guide qui propose des lignes directrices à la gestion des cyber-risques, à l'instar du référentiel de l'ISACA pour les risques IT. Chaque activité décrite dans la norme comprend les éléments d’entrée requis, la description des actions, des préconisations de mise en œuvre et les éléments de sortie.

La norme ISO 27043 propose des lignes directrices pour élaborer des processus d’investigation sur incident impliquant des preuves numériques. L’investigation numérique utilise des méthodes scientifiques éprouvées pour procéder à l’identification, la collecte, le transport, le stockage, l’analyse, l’interprétation, la présentation, la distribution et éventuellement la destruction de preuves numériques. Les investigations numériques font partie du processus de réponse aux incidents de cybersécurité, pour lequel la série de normes ISO 27035 fournit des bonnes pratiques. Les investigations numériques comportent des exigences légales relatives notamment à la recevabilité des preuves devant une cour de justice. Si les exigences de recevabilité varient entre les juridictions, deux éléments fondamentaux sont la pertinence des preuves par rapport aux faits et l’authenticité, en démontrant que les preuves sont ce qu’elles sont censées être. Par exemple le juge pourra demander la garantie démontrable qu’un disque provient bien d’un serveur donné et qu’il n’a pas été modifié depuis sa collecte.