Articulation

RMF prévoit sept étapes :

• Préparation
• Catégorisation
• Sélection
• Mise en œuvre
• Evaluation
• Autorisation
• Supervision

Elément fondamental d’une analyse de risques, la cartographe du système d’information s’appuie dans RMF sur le standard ISO 15288 sur l’ingénierie des systèmes et des logiciels. Les périmètres d’autorisation doivent être définis très tôt dans la phase préparatoire. RMF met aussi l’accent sur les risques liés à la sous-traitance. RMF insiste par ailleurs sur l’importance de la cohérence avec le SDLC de l’entité, voir par exemple les référentiels de mise en œuvre de la sécurité dans le cycle de développement de SAFECode, du NIST et BSIMM. RMF fait aussi le lien avec la phase « identifier » du référentiel CSF ainsi que le catalogue 800-53 pour la sélection des mesures. Des liens avec les critères communs et les certifications ISO 27001 sont aussi formulés dans RMF.

Tâches

Les modalités de mise en œuvre sont flexibles et une entité peut adapter RMF à son contexte. RMF est néanmoins très précis sur les tâches à accomplir par étape.

Comme dans la présentation des mesures de sécurité du référentiel NIST 800-53, les tâches sont présentées sous forme de tableau ce qui facilite la cohérence et la standardisation des analyses de risques :

• Identification de la tâche.
• Prérequis.
• Résultats attendus.
•  Responsables
•  Contributeurs
• Recommandations de mise en œuvre.

Les tâches sont catégorisées suivant les plans de l’organisation, des processus métiers et des systèmes d’information.

Source : NISTR

Au-delà des utilisations obligatoires aux Etats-Unis, RMF est un cadre intéressant pour mettre en place son processus de gestion des risques, au même titre que les méthodes d’analyse de risques, voir par exemple EBIOS RM, FAIR ou les recommandations ISO 27005. Il s’inscrit aussi dans le cadre général de gestion des risques ISO 31000.