Lorsqu’il s’agit de protéger le paysage de la cybersécurité du Royaume-Uni, le cadre CBEST joue un rôle crucial. Le Cadre de Supervision et d’Évaluation Bancaire de l’Infrastructure Critique Nationale, abrégé en CBEST, est un cadre de test basé sur le renseignement qui aide les institutions financières à comprendre l’impact potentiel des cyberattaques. Cet article explore le cadre, son origine, qui y adhère et pourquoi, et enfin, quels sont les avantages commerciaux de son respect.

Découvrez le Cadre CBEST du Royaume-Uni

Qu’est-ce que le Cadre CBEST ?

Le cadre CBEST est un ensemble structuré de lignes directrices et de tests en matière de cybersécurité, conçu pour identifier les vulnérabilités des systèmes de cybersécurité. Initié par la Banque d’Angleterre (BoE), le CBEST est le premier du genre à tirer parti du renseignement sur les menaces et des tests de pénétration pour comprendre les menaces cyber auxquelles sont confrontées les institutions financières d’importance systémique au Royaume-Uni. L’objectif du cadre CBEST est d’améliorer la posture en matière de cybersécurité de ces institutions, en leur permettant de gérer et de réduire efficacement les menaces potentielles.

Les évaluations CBEST ne sont pas obligatoires, mais fortement recommandées pour les entités qui constituent une partie cruciale du secteur des services financiers du Royaume-Uni. Le cadre offre une approche standardisée pour identifier, évaluer et gérer les risques cyber, ce qui contribue à la résilience opérationnelle globale des institutions.

L’Origine du Cadre CBEST

Le cadre CBEST a été lancé en 2014 par la Banque d’Angleterre, en partenariat avec le gouvernement britannique et le CISP (Cyber-security Information Sharing Partnership) de l’industrie financière. L’urgence de développer un tel cadre était motivée par la montée continue des cyberattaques sophistiquées ciblant les institutions financières. L’objectif était d’établir un ensemble de procédures et de pratiques qui aideraient ces institutions à comprendre leurs vulnérabilités, à se préparer aux menaces cyber potentielles et à réagir efficacement à tout incident.

Le cadre CBEST était unique et novateur dans son approche basée sur le renseignement. Il s’agissait du premier programme de tests de cybersécurité à reproduire les comportements réels des acteurs de la menace, en se basant sur le renseignement sur les menaces actuelles. Cela a marqué un passage des évaluations traditionnelles basées sur la conformité et a contribué à un secteur financier britannique plus robuste et résilient.

Qui Doit Adhérer au Cadre CBEST ?

Même si les tests CBEST ont été développés en pensant aux institutions financières, ils ne se limitent pas exclusivement au secteur bancaire. Toute organisation qui constitue une partie essentielle de l’infrastructure des services financiers du Royaume-Uni peut être candidate aux tests CBEST. Cela inclut les banques, les assureurs, les grandes sociétés d’investissement, les infrastructures des marchés financiers et même les principaux fournisseurs de ces entreprises.

Cependant, malgré les avantages évidents d’une évaluation CBEST, il est important de noter que ces évaluations ne sont pas obligatoires. Elles sont plutôt fortement recommandées par les organismes de réglementation tels que la Banque d’Angleterre et l’Autorité de Conduite Financière (FCA). L’idée ici est d’encourager ces institutions à adopter une approche basée sur le renseignement en matière de cybersécurité afin de protéger l’écosystème financier du Royaume-Uni contre les menaces cyber potentielles.

Avantages de l’Adoption du Cadre CBEST

Le cadre CBEST offre de nombreux avantages aux organisations et au secteur financier dans son ensemble. Tout d’abord, il met l’accent sur une approche proactive de la cybersécurité, permettant aux organisations d’identifier les vulnérabilités potentielles avant qu’elles ne puissent être exploitées. Cela contribue grandement à la création d’une infrastructure de cybersécurité solide.

Deuxièmement, les évaluations CBEST fournissent des informations précieuses sur la préparation d’une organisation à faire face à des menaces cyber du monde réel. Cela aide les institutions à se préparer et à gérer efficacement d’éventuels incidents cyber. Troisièmement, les résultats d’une évaluation CBEST peuvent informer les décisions d’investissement stratégiques et aider la direction générale à comprendre où les ressources doivent être allouées pour améliorer la cybersécurité. Enfin, en s’alignant sur CBEST, les institutions montrent leur engagement envers la cybersécurité, ce qui peut renforcer la confiance des clients, des investisseurs et des régulateurs.

Adoption du Cadre CBEST

L’adoption du cadre CBEST nécessite une compréhension claire des menaces cyber potentielles auxquelles une organisation pourrait être confrontée et des vulnérabilités de ses défenses cyber actuelles. Les organisations doivent d’abord entreprendre une évaluation de la menace CBEST. Cela aide à identifier les acteurs de menace les plus pertinents, leurs motivations, les méthodes qu’ils pourraient utiliser et leur impact potentiel sur les fonctions critiques de l’organisation.

Suite à l’évaluation de la menace, un test de pénétration CBEST doit être effectué. Cela consiste à simuler une attaque ciblée contre les fonctions commerciales les plus importantes de l’organisation, en utilisant les informations recueillies lors de l’étape précédente. Le résultat de ce test offre une image claire de la manière dont une cyberattaque réelle pourrait affecter l’organisation et identifie les domaines où les contrôles de cybersécurité doivent être améliorés.

Le Processus d’Évaluation CBEST

Le processus d’évaluation CBEST se divise en trois phases principales : la phase de définition des objectifs, la phase de test et la phase de rapport. Avant le début de l’évaluation, l’organisation participante, l’autorité de régulation compétente et le prestataire de services agréé CBEST décident collectivement de la portée du test. Cela inclut l’identification des fonctions critiques de l’entreprise qui seraient susceptibles d’être ciblées lors d’une cyberattaque et des acteurs de menace potentiels qui pourraient mener une telle attaque.

Pendant la phase de test, les équipes rouges – des hackers éthiques jouant le rôle des acteurs de menace potentiels – tentent de violer les défenses cyber de l’organisation en utilisant les mêmes techniques, tactiques et procédures identifiées dans le rapport de renseignement sur les menaces. Cela donne à l’organisation une image précise de sa capacité à faire face à une cyberattaque réelle. L’équipe rouge enregistre toutes ses découvertes tout au long du test, qui seront incluses dans le rapport final.

Comprendre le Rôle de CBEST dans la Conformité Réglementaire

Bien que le cadre et les évaluations CBEST ne soient pas obligatoires, ils sont fortement recommandés par la Banque d’Angleterre et l’Autorité de Conduite Financière. Cela dit, les résultats d’une évaluation CBEST peuvent avoir des implications réglementaires. Si une organisation est trouvée avec des vulnérabilités significatives lors du test, l’organisme de régulation peut imposer des exigences en matière de cybersécurité plus strictes. Par conséquent, l’adhésion au cadre CBEST peut montrer aux régulateurs que l’organisation prend la cybersécurité au sérieux et a pris des mesures proactives pour identifier et corriger ses vulnérabilités.

De plus, le cadre CBEST est conçu pour s’intégrer parfaitement à d’autres normes et réglementations mondiales en matière de cybersécurité, telles que le Règlement Général sur la Protection des Données (RGPD) et la norme de sécurité de l’information ISO 27001. Cette adaptabilité est avantageuse pour les organisations qui ont déjà atteint la conformité avec ces réglementations, car elle leur permet de tirer parti de leurs processus et protocoles de cybersécurité existants pour adhérer au cadre CBEST sans nécessiter une refonte complète de leurs systèmes.

Mise en Œuvre du Cadre CBEST

La mise en œuvre du cadre CBEST peut être une entreprise importante, mais elle en vaut la peine. La première étape du processus consiste à engager un prestataire de services accrédité CBEST pour effectuer l’évaluation de renseignement sur les menaces et le test de simulation d’attaque. Il est important de noter que ces prestataires de services sont rigoureusement examinés par la Banque d’Angleterre et doivent démontrer un haut niveau de compétence en matière de tests de cybersécurité.

Une fois les évaluations terminées, l’organisation doit ensuite agir en fonction des résultats. Cela peut impliquer la mise en place de nouvelles mesures de cybersécurité, l’amélioration de celles existantes ou la fourniture d’une formation supplémentaire au personnel. L’organisation recevra de l’aide et des conseils du prestataire de services tout au long de ce processus.

Actions et Améliorations Post-évaluation

Une fois les évaluations terminées, la prochaine étape cruciale consiste pour l’organisation à prendre des mesures appropriées en fonction des résultats. Ces actions peuvent varier de la mise en place de nouvelles mesures de cybersécurité, à l’amélioration de celles déjà en place, voire à la fourniture d’une formation supplémentaire à leur personnel. Le prestataire de services reste impliqué tout au long de cette étape vitale, en fournissant les orientations et le soutien nécessaires à l’organisation.

Kiteworks Aide les Organisations du Royaume-Uni à Protéger le Contenu Sensible Conformément au Cadre CBEST du Royaume-Uni

Pour les organisations du secteur financier du Royaume-Uni, le cadre CBEST constitue un outil inestimable pour évaluer et renforcer leur cybersécurité. Il fournit de profondes informations sur les menaces cybernétiques auxquelles ces organisations sont confrontées et évalue leur préparation à faire face à ces menaces. Bien que la conformité aux évaluations CBEST ne soit pas obligatoire, le simple fait d’adhérer au cadre CBEST témoigne de l’engagement fort d’une organisation envers la cybersécurité. Cela peut, à son tour, renforcer la confiance des clients, des investisseurs et des régulateurs. En engageant un prestataire de services accrédité CBEST et en travaillant de manière proactive sur les conclusions de l’évaluation, les organisations peuvent considérablement renforcer leurs défenses en cybersécurité et contribuer à améliorer la résilience globale du secteur financier du Royaume-Uni.

Le Kiteworks Réseau de Contenu Privé, une plateforme sécurisée de partage de fichiers et de transfert de fichiers validée FIPS 140-2 de niveau 1, consolide le courrier électronique, le partage de fichiers, les formulaires web, le SFTP et le transfert sécurisé de fichiers, de sorte que les organisations contrôlent, protègent et tracent chaque fichier à son entrée et à sa sortie de l’organisation.

Avec Kiteworks: contrôlez l’accès au contenu sensible; protégez-le lorsqu’il est partagé à l’externe grâce au chiffrement de bout en bout automatisé, à l’authentification multi-facteurs, et aux intégrations de l’infrastructure de sécurité ; visualisez, suivez et rapportez toutes les activités liées aux fichiers, notamment qui envoie quoi à qui, quand et comment.

Enfin, démontrez la conformité aux réglementations et normes telles que le RGPD, HIPAA, CMMC, Cyber Essentials Plus, IRAP, et bien d’autres encore.

Pour en savoir plus sur Kiteworks, planifiez une démonstration personnalisée dès aujourd’hui.

 

Retour au glossaire sur les risques et la conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Partagez
Tweetez
Partagez
Explore Kiteworks