Qu’est-ce que le NIST Cybersecurity Framework 1.1 et comment l’aborder ?

Co-écrit par Paulin Carles, Guillaume Plaquet, Sarah Tedeschi et Thomas Seeburger.

Identification, évaluation et gestion du risque cyber, qu’est-ce que le NIST Cybersecurity Framework 1.1 et à quoi sert-il ?

Le framework des frameworks ?

Le National Institute of Standards and Technology (NIST), est une agence appartenant au Département du Commerce des États-Unis et a pour objet de promouvoir l’économie, notamment par le développement de méthodologies et de standards. Cette organisation a conçu le NIST Cybersecurity Framework, qui représente un cadre volontaire visant à assister les organisations dans la gestion des cyber-risques. Il s’articule autour des normes de cybersécurité existantes pour mettre en avant des bonnes pratiques et pistes de solutions. Toutefois, s’il peut constituer un appui solide à la montée en maturité de la cybersécurité des entreprises, il possède également quelques limites.

S’il s’adressait en premier lieu aux infrastructures critiques, le NIST CSF est néanmoins conçu pour être utilisé par des acteurs économiques de tout type (entreprises, organismes à but non-lucratif, organismes publics…) et de tout secteur. Son applicabilité territoriale est large puisque celle-ci ne se limite pas aux Etats-Unis, ce framework ayant vocation à être mis en œuvre au niveau international. Ce déploiement mondial s’est notamment matérialisé par sa mise en application dans de grands groupes bancaires et industriels qui ont adapté ses dispositions à leurs problématiques cyber et à leur structure. Ce choix s’inscrit également dans la volonté de se mettre en conformité avec les normes américaines dont l’applicabilité peut être internationale. Enfin, l’intérêt de ce standard est d’être une des principales références sur la cybersécurité et d’influencer ainsi la structure des nouvelles réglementations en cybersécurité. Il est ainsi assez facilement transposable avec les exigences des régulateurs.

La révision du 16 avril 2018, NIST 1.1, reste dans la lignée de son prédécesseur tout en apportant des éléments nouveaux et complémentaires notamment en ce qui concerne l’auto-évaluation de son niveau de maturité mais également la prise en compte de la supply chain et des parties prenantes qui y sont liées.

Une structure bien définie

Le framework se construit autour de 3 parties complémentaires :

NIST Cybersecurity Framework

  • Le noyau, qui apporte une vision stratégique de la gestion du risque cyber au travers de 5 fonction : identifier, protéger, détecter, répondre et récupérer. Ces fonctions sont détaillées en catégories et sous-catégories matérialisant les préconisations du NIST CSF. Pour chacune d’elles, des références documentaires sont présentées comme ressources.
  • Les niveaux de mise en œuvre, qui fournissent un contexte sur la façon dont une organisation perçoit le risque cyber et permettent d’identifier les processus en place pour gérer ce risque. Cette maturité de l’organisation vis-à-vis de sa cybersécurité est divisée en 4 niveaux : partiel, risque informé, répétable et adaptatif. Le niveau défini permet d’identifier le niveau de maturité de l’entreprise en termes de cybersécurité et nous pouvons ainsi qualifier et évaluer les mesures de cybersécurité à mettre en place.
  • Le profil, qui précise la façon dont l’entreprise gère sa cybersécurité en fonction de ses besoins et objectifs. Deux profils sont définis et se complètent : le profil actuel et le profil cible. Les écarts permettront de déterminer les principaux leviers d’action pour prioriser les actions à mener.

La démarche portée par le NIST 1.1 se base donc en grande partie sur une connaissance détaillée et lucide des activités de l’entreprise et de son niveau de maturité en termes de sécurité.

Le NIST CSF face aux réglementations en vigueur

La structure du NIST CSF est particulièrement liée aux différentes normes et bonnes pratiques de cybersécurité existantes. En effet, ce framework met en parallèle les objectifs de cybersécurité détaillés dans les 5 fonctions, avec les standards, lignes directrices et bonnes pratiques de la gestion du risque cyber (Cobit 5, ISO 27001, etc).

NIST Cybersecurity Framework

 

Le NIST CSF a-t-il des limites ?

Le NIST CSF représente un outil à destination des acteurs économiques visant à faciliter la gestion des cyber-risques. Toutefois, plusieurs problématiques de mise en œuvre découlent de son caractère volontaire : en premier lieu, cette démarche est basée sur une auto-évaluation réalisée par l’organisation concernée. En l’absence d’une autorité de contrôle, aucune garantie de la bonne application du framework au sein de l’entreprise ne peut être apportée.

De plus, la mise en œuvre de ce framework est conditionnée par la maturité de la structure considérée. Une entreprise peu mature sur les sujets de cybersécurité aura, par exemple, beaucoup plus de mal à obtenir l’adhésion de ses collaborateurs qu’une structure possédant une culture sécurité largement ancrée.

Enfin, du fait de sa structure qui est sensiblement différente de celle des autres standards de sécurité (par ex : ISO 27002), la montée en compétence des différents acteurs sur le NIST 1.1 peut nécessiter d’avantage de temps et de ressources.

Et après ?

Plusieurs utilisations du framework par les organisations peuvent être dégagées :

  • Passer en revue les pratiques des organisations en matière de cybersécurité
  • Établir ou améliorer son propre programme de cybersécurité
  • Effectuer une auto-évaluation des risques en matière de cybersécurité
  • Sensibilisation des différents collaborateurs
  • Amélioration de la communication entre organisations grâce à un échange d’exigences cybersécurité entre les partenaires commerciaux, les fournisseurs et les régulateurs

A ce titre, Beijaflore a développé le programme Smart Compliance afin d’accompagner les organisations dans la compréhension de leur besoin et l’élaboration de leurs objectifs, l’évaluation du niveau de maturité de leur cybersécurité et la création du cadre adapté à leur organisation.