Le référentiel 800-53 est un document important produit et mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et de la sécurité associée. C’est aussi un document central pour les certifications de sécurité Cloud de type FedRamp. Au-delà des Etats-Unis, ce référentiel est beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework et du référentiel CIS.

Le SSDF (Secure Development Framework)du NIST propose des bonnes pratiques pour mettre sous contrôle son cycle développement, à l’instar d’autres référentiels comme celui de SAFECode, de BSIMMou de l’ISO 27034. Le contenu du référentiel est orienté sur l’organisation, les compétences et les outils à mettre en place, les protections contre les accès non autorisés aux composants, les pratiques de développant pour minimiser les vulnérabilités et les réponses en cas de détection de failles. Le référentiel répond à la section 4 du document fédéral signé par le Président des Etats-Unis sur l’amélioration de la Cybersécurité. Il répond aussi à l’augmentation des risques liés à la sous-traitance : voir à ce sujet l’ISO 27036et le SCRM.

Le NIST 800-70 est un guide destiné aux professionnels de la cybersécurité qui utilisent et développent des check-lists. Il s’agit de documents qui contiennent des instructions ou des procédures pour configurer un composant informatique dans son environnement opérationnel. Appelés aussi guides de durcissement, ils permettent de minimiser la surface d’attaque, réduire les vulnérabilités et limiter les impacts des attaques réussies.

Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.