Qu’est-ce que le NIST Cybersecurity Framework (CSF) ?
Qu’est-ce que le NIST CSF ? Le NIST (National Institute of Standards and Technology) CSF (Cybersecurity Framework) est un ensemble de normes, de directives et de bonnes pratiques pour gérer les risques liés à la cybersécurité. Le NIST appartient au ministère de l’économie américain et a pour mission d’aider les organisations à réduire les risques liés à la cybersécurité.
Qu’est-ce que le National Institute of Standards and Technology (NIST) ?
Le National Institute of Standards and Technology (NIST) est l’autorité du gouvernement fédéral chargée des normes de technologie et de sécurité. Il a été fondé en 1901 sous le nom de Bureau of Standards, la Comission des poids, mesures et normes scientifiques. En 1988, elle devient le NIST pour refléter l’évolution de sa mission en tant qu’institution orientée vers le progrès technologique et scientifique.
Dans le fonctionnement actuel du gouvernement, le NIST doit, de par sa mission, couvrir certains besoins fondamentaux en matière de technologie. Cela inclut notamment les normes et exigences auxquelles les organisations fédérales et les entreprises doivent se soumettre, décrites dans la « Publication spéciale », disponible gratuitement sur le site Web du NIST.
Voici les aspects majeurs couverts par le NIST :
- La cybersécurité des agences fédérales : à mesure qu’elles utilisent de nouvelles technologies, les agences fédérales doivent impérativement protéger les informations sensibles. De plus, la Loi fédérale de 2014 sur la modernisation de la sécurité de l’information énonce les exigences techniques et de sécurité imposées aux organismes et aux fournisseurs fondées sur les risques encourus.
Ces spécifications sont élaborées, rédigées, actualisées, modifiées ou abrogées par le NIST dans ses « Publications spéciales », en particulier la série NIST 800 et la documentation des Federal Information Processing Standards (FIPS). Le décret 14028 et les directives qui ont suivi imposent le principe du zero trust à toutes les agences fédérales.
- La fourniture de services cloud pour les agences fédérales : outre les technologies utilisées au quotidien, de plus en plus d’agences et de sous-traitants utilisent des services dématérialisés ou en cloud pour le traitement des données. Pour accompagner ces évolutions, le NIST a défini des normes spécifiques pour réglementer l’utilisation du cloud computing au niveau fédéral.
- Le degré de maturité : la gestion du cloud et le déploiement de technologies dans le secteur de la Défense, par exemple, ont été divisés selon les degrés de maturité. Chaque organisation peut avoir atteint un niveau de maturité différent suivant ses exigences, les parties prenantes et les citoyens.
- Le chiffrement : le chiffrement est au centre de la plupart des normes de sécurité et, à travers les publications FIPS, le NIST fixe les exigences minimales requises en la matière.
- Gestion des identités et des accès : dans les séries NIST 800, le NIST établit des normes pour l’utilisation adéquate des technologies d’authentification (Authentication Assurance Levels) et la vérification de l’identité (Identity Assurance Levels), connues sous le nom de gestion des identités et des accès.
- Les risques : face à la complexité croissante des cyberattaques, le NIST s’efforce de faire évoluer les normes de conformité vers un modèle basé sur les risques, où la connaissance des vulnérabilités et des systèmes supplante les approches de la sécurité basées sur les contrôles. Cela se traduit par une gestion des risques intégrée.
De ce fait, les normes du NIST font référence à certaines réglementations nationales importantes, comme :
- FISMA : toutes les agences fédérales doivent respecter les normes de sécurité FISMA à travers l’application de règles et de protocoles de sécurité numérique. Ces normes découlent explicitement des recommandations du NIST publiées dans les publications spéciales SP 800-53, SP 800-18, FIPS 200 et FIPS 140 (entre autres).
- FedRAMP : tous les fournisseurs de services en cloud répondant à un appel d’offres d’une agence fédérale doivent satisfaire aux exigences minimales de FedRAMP, dont le niveau de maturité est défini par FIPS 199 et NIST SP 800-60. FedRAMP fonde ses contrôles de sécurité sur les normes NIST SP 800-53 et NIST SP 800-53B.
- CMMC : la certification du modèle de maturité de la cybersécurité (CMMC) est un programme basé sur la maturité pour le traitement des Informations sensibles non classées et contrôlées pour la Défense. Cette norme est cohérente avec les normes NIST SP 800-171 et NIST SP 800-172.
- HIPAA : l’HIPAA (Health Insurance Portability and Accountability Act) n’est pas une norme de sécurité fédérale à proprement parler. Elle réglemente les organismes de santé et leurs fournisseurs, mais elle est pilotée et encadrée par le ministère de la Santé et des Services sociaux (HHS).
La norme est évolutive afin de promouvoir la flexibilité et des recommandations concrètes dans la mise en œuvre des directives de l’HIPAA contenues dans le NIST SP 800-66. - La gestion des risques : les agences fédérales parlent volontiers des risques, mais on voit pas apparaître la notion d’évaluation des risques dans les réglementations, alors qu’elle devient de plus en plus importante. Le Risk Management Framework du NIST (RMF) encadre la gestion des risques de sécurité et la conformité, détaillée notamment dans SP 800-37 et SP 800-39.
Qu’est-ce que le NIST Cybersecurity Framework (CSF) ?
Hormis les activités fédérales et de Défense, les réglementations NIST ne sont pas obligatoires. D’ailleurs, avoir une collection de publications n’aide pas les organisations à mieux comprendre le fonctionnement de leur système de cybersécurité.
C’est pourquoi le Cybersecurity Framework (CSF) donne une vision globale de la cybersécurité, pour aider les organisations à mieux contrôler leur sécurité. Cela suppose de comprendre les risques éventuels, d’intégrer l’évaluation des risques comme une démarche globale de l’organisation, et de réduire les menaces qui pèsent sur leur infrastructure.
La base du CSF du NIST
Au cœur du CSF se trouve le « cœur », un ensemble de cinq priorités autour desquelles gravitent toutes les recommandations :
- Identifier : une organisation doit être capable d’identifier, de répertorier et de classer tous ses éléments de contenu et ses systèmes. Cela inclut les logiciels, le matériel, les réseaux, les données, les utilisateurs, les systèmes uniques et les services tiers.
En outre, une organisation doit identifier les rôles et responsabilités clés dans les règles, les protocoles et les prises de décision en matière de cybersécurité.
- Protéger : les organisations doivent mettre en œuvre des mesures de sécurité autour des contenus et des systèmes inventoriés (identifiés). Cela implique la gestion des identités et des accès (IAM), la protection des données pour en garantir l’intégrité et la confidentialité (comme le chiffrement), des contrôles d’accès aux dossiers et aux fichiers correspondant aux rôles et aux privilèges de chacun, la formation, la modernisation et le renouvellement des équipements, et la gouvernance.
- Détecter : la protection est essentielle, mais la détection est tout aussi importante. Les systèmes sécurisés doivent prévoir des mesures d’audit et de consignation automatisées, des technologies de surveillance continue (y compris des scans de tous les réseaux physiques et numériques) et la détection permanente des anomalies touchant à la sécurité.
- Réagir : une fois qu’une menace est détectée, le système et les personnes compétentes doivent agir rapidement. Cela suppose que des mesures d’atténuation soient prises dès que des anomalies sont découvertes, pour combler les vulnérabilités, évaluer les incidents et apporter des modifications au système en conséquence.
- Se remettre : toute organisation doit être capable de se remettre d’un incident rapidement et sans danger. La « récupération » consiste à restaurer tous les systèmes qui ont été mis hors ligne, à garantir la sécurité des systèmes affectés, à améliorer la situation après l’incident, et à communiquer les enjeux aux parties prenantes internes et externes de l’organisation.
Comment déployer le Cybersecurity Framework au sein de mon organisation
L’avantage du NIST CSF, c’est qu’il vous donne les moyens de maîtriser votre stratégie de sécurité. En ce sens, sa mise en œuvre n’est pas un exercice extrêmement technique. Il s’agit plutôt de faire le point sur votre situation actuelle et sur celle que vous souhaiteriez atteindre.
Dans cette optique, vous pouvez déjà entreprendre les actions suivantes :
- Comprendre les exigences du NIST :
inutile d’avoir une parfaite maîtrise des normes NIST, il y a des experts pour cela. À la place, contentez-vous d’avoir des notions sur la sécurité informatique en général, de l’IAM au chiffrement en passant par l’évaluation des risques. - Auditer les ressources de l’entreprise : prenez le temps de recenser vos systèmes et vos collaborateurs. Établissez et mettez à jour régulièrement des organigrammes de données et des listes de matériel utilisé, depuis les serveurs et les postes de travail jusqu’aux tablettes et aux routeurs.
- Instaurer des standards de communication et de gestion des fichiers sécurisés : utilisez des plateformes de gestion de contenu et de partage de fichiers sécurisés pour répondre à vos besoins en sécurité. Pas besoin de réinventer l’eau chaude. Il suffit de travailler avec un prestataire capable de répondre à votre conformité opérationnelle et conformité réglementaire.
- Passer à un profil de conformité basé sur les risques : oubliez les listes de contrôle. En instaurant des pratiques d’évaluation et de gestion des risques, vous allez naturellement satisfaire à de nombreuses exigences du CSF (identification des actifs, surveillance, etc.).
- Réaliser des audits réguliers : assurez les audits et la traçabilité continue pour surveiller les événements d’accès aux utilisateurs, aux systèmes et aux fichiers. Ces éléments sont fondamentaux pour la conformité des données, quel que soit votre secteur d’activité, pour protéger les systèmes informatiques, répondre aux anomalies et se remettre des attaques.
Le réseau de contenu privé Kiteworks et le NIST CSF
La base du CSF repose sur un système de sécurité minimal pour les informations stockées et les données en transit. Une approche de cybersécurité fondée sur la gestion des risques garantit l’intégrité et la confidentialité des informations sensibles, grâce à des mesures de protection administratives, techniques et physiques. De nombreux responsables de l’informatique, de la sécurité et de la conformité élaborent aujourd’hui leur feuille de route en matière de gestion des risques, et la partagent avec leurs conseils d’administration dans le cadre du NIST CSF.
Le Réseau de contenu privé Kiteworks permet aux organisations d’appliquer les principes du NIST CSF aux dossiers, fichiers et e-mails contenant des données. Vous pouvez notamment définir des politiques mondiales comme l’interdiction de transférer du contenu sensible vers et depuis certains domaines et pays (géolocalisation). Le système de règles de messagerie de Kiteworks prend en compte les niveaux de sensibilité Microsoft MIP tels que « public », « confidentiel » ou « secret ».
En s’appuyant sur les contrôles d’accès ci-dessus, Kiteworks permet aux entreprises de déployer des règles de protection des données dans la plateforme Kiteworks. La plateforme contribue largement à gérer les risques de cybersécurité, et en particulier à gérer les risques tiers (TPRM). La gouvernance Kiteworks en matière de gestion des risques s’étend aux exigences réglementaires telles que Health Insurance Portability and Accountability Act (HIPAA), le Règlement Général sur la Protection des Données (RGPD) et la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).
Pour en savoir plus sur le réseau de contenu privé Kiteworks et le NIST CSF, réservez dès maintenant votre démo personnalisée.
Ressources complémentaires