Le référentiel cybersécurité du NIST

Le référentiel cybersécurité du NIST américain (National Institute of Standards and Technology) est de plus en plus utilisé par les grands groupes, y compris européens. Conséquence de la loi de 2014 « Cybersecurity Enhancement Act », ce référentiel avait pour objectif initial de définir un socle de mesures de sécurité pour protéger les infrastructures vitales et l’économie américaines. Il s’est imposé comme standard international incontournable de la cybersécurité au même titre que les normes ISO 27000, le catalogue NIST 800-53 ou encore le référentiel CIS pour tous les domaines d’activités. Il est maintenant au programme des certifications individuelles en sécurité comme le CISSP, ou le CCSP par exemple.

 

 

Ce référentiel fournit un langage commun pour aider toute entité, publique ou privée à décrire le plus objectivement possible sa posture et ses objectifs de cybersécurité, à prioriser ses opportunités d’amélioration, à mesurer ses progrès et enfin à communiquer vers ses parties prenantes internes et externes.

Basé sur une approche par les risques et téléchargeable librement sur le site du NIST, il est composé de trois parties principales :

1. Les fondamentaux qui déterminent les activités à mener suivant cinq fonctions : identifier, protéger, détecter, réagir et reprendre. Ces fondamentaux ne constituent pas une check-list préétablie mais des résultats sélectionnés comme importants par l’entité en fonction de son métier et de ses risques. Ses résultats sont classés en catégories et sous-catégorie. Par exemple, le vecteur ID.CM-8 fait partie de la fonction « détecter », catégorie « supervision continue de la sécurité », sous-catégorie « scans de vulnérabilité ». Autre exemple, le vecteur RS.CO-2 fait partie de la fonction « réagir », catégorie « communications », sous-catégorie « déclaration des incidents de sécurité ». Chaque vecteur est mis en correspondance avec d’autres standards de sécurité : « critical security controls » du CIS, clauses ISO 27001-2013, COBIT 5 (gouvernance IT), référentiel ISA-62443-2-1 pour les systèmes industriels et le catalogue 800-53. Cela rejoint d’autres initiatives, comme OSCAL par exemple, pour rationaliser les approches de conformité.
2. Le contexte de mise en œuvre qui fixe le niveau de rigueur et de sophistication choisi par l’entité dans l’application de son programme de sécurité. 4 niveaux sont définis (Tier 1 à Tier 4). Ces degrés ne correspondent pas à des niveaux de maturité mais à des priorités en termes de gestion des risques qui doivent aider l’entité à allouer efficacement ses ressources. Les critères sont liés au processus de gestion des risques, à son intégration dans l’entité ainsi que les relations de l’entité avec son écosystème externe (clients, agences nationales, bonnes pratiques, analyse de la menace, chaine de sous-traitance…).
3. Le profil qui reprend les vecteurs de la première partie (en les complétant si nécessaire par d’autres catégories) en adaptant les résultats attendus à l’entité et ses risques. Plusieurs profils peuvent être définis selon les besoins (profil actuel, profils intermédiaires et profil cible par exemple). Cette notion de profil est particulièrement intéressante pour établir des schémas directeur ou feuilles de route (roadmaps) cybersécurité. Le profil peut aussi être utilisé dans le cadre d’évaluation ou d’audit du niveau de sécurité.

Quelques exemples concrets d’utilisation du référentiel :

• Faire un état des lieux du niveau des bonnes pratiques.
• Concevoir et suivre un programme cybersécurité selon plusieurs étapes : périmètre et priorités, orientations stratégiques, profil actuel, évaluation des risques, profil cible, analyse des écarts, plan d’actions.
• Communiquer vers les parties prenantes comme par exemple un nouveau prestataire Cloud (que ce soit en mode SaaS, PaaS ou IaaS), une nouvelle filiale à intégrer au système d’information ou encore dans le cadre de « due diligence » préalable à une nouvelle acquisition.
• Améliorer son processus de réaction aux incidents de sécurité.

 

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :