Article

cadre de cybersécurité du NIST

Security
Temps de lecture : 17 minutes

Qu’est-ce que le cadre de cybersécurité du NIST ?

Le National Institute of Standards and Technology, généralement appelé NIST, est une agence gouvernementale américaine qui dépend du Département du Commerce. L’un de ses nombreux rôles est de donner des orientations sur la cybersecurité des systèmes d’information.

La pierre angulaire de ce travail est le cadre de cybersécurité du NIST, publié en 2014 suite à un ordre exécutif du président Barack Obama. Un nouvel ordre exécutif, publié en 2017 par le président Donald Trump, a rendu obligatoire la conformité au cadre de cybersécurité du NIST pour toutes les agences gouvernementales fédérales et toutes les entités de leur chaîne logistique.

« Promouvoir l’innovation et la compétitivité industrielle des États-Unis en faisant progresser la science, les normes et les technologies de la mesure, de façon à renforcer la sécurité économique et améliorer notre qualité de vie. »

À l’origine de sa création, en 2004, le cadre de cybersécurité du NIST visait à améliorer la sécurité d’infrastructures stratégiques américaines, définies comme des biens, systèmes et fonctions estimés vitaux. Elle définit seize secteurs d’infrastructure stratégiques :

  • Les produits chimiques
  • Les locaux commerciaux
  • Les communications
  • La fabrication stratégique
  • Les barrages
  • La base industrielle de défense
  • Les services d’urgence
  • L’énergie (services publics compris)
  • Les services financiers
  • Le secteur agroalimentaire
  • Les installations du secteur public
  • Les sociétés de soins médicaux et la santé publique
  • Les technologies de l’information
  • Les réacteurs, matières et déchets nucléaires
  • Les systèmes de transport
  • Les systèmes de traitement de l’eau et des eaux usées

Par la suite, le gouvernement américain a adopté le cadre de cybersécurité du NIST comme norme obligatoire pour réglementer la sécurité pour tous les systèmes d’information fédéraux en 2017.

Sans être obligatoires, les pratiques homologuées, les normes et les recommandations énoncées dans le cadre de cybersécurité du NIST sont également utilisées à grande échelle par des agences et des fournisseurs extérieurs à la fédération américaine pour identifier et détecter les cyberattaques et y répondre.

Par ailleurs, les consignes du cadre du NIST servent aussi à prévenir une attaque et à s’en rétablir. Les organisations qui ont recours à ce cadre assurent la sécurité optimale de leurs systèmes et apportent au public la garantie qu’elles veillent résolument à la sécurité.

Le cadre de cybersécurité du NIST est constitué de trois grandes parties : une partie sur ses composantes essentielles, une partie Mise en œuvre et une partie Profils. Chacune est sous-divisée en cinq axes de travail de la cybersécurité :

  1. Identifier
  2. Protéger
  3. Détecter
  4. Réagir
  5. Récupérer

Le cadre de cybersécurité du NIST détaille les activités propres à chacun de ces domaines pour atténuer le risque de cybersécurité. Les catégories et sous-catégories comprennent des descriptions des pratiques homologuées dans le domaine de la cybersécurité et des plans d’action en cas d’incident. Il donne aussi des indications pour récupérer d’une attaque par ransomware.

Adopter le cadre de cybersécurité du NIST

Le cadre du NIST est l’un des cadres de cybersécurité les plus employés aux États-Unis. Mais sa mise en œuvre est exigeante. L’adoption de ce cadre commence par une étude approfondie de ses cinq composantes fondamentales.

  1. Identify
    Identify and assess cybersecurity risks to systems, assets, data, and resources. Included in this function are:
  2. Protect
    Evaluate existing cybersecurity procedures and processes to ensure adequate protection for the organization’s assets. Included in this function are:
  3. Detect
    The Detect element defines, develops, and implements the appropriate cybersecurity activities to identify threats and vulnerabilities quickly. Included in this function are:
  4. Respond
    This element guides an organization’s assessment of its plan to respond to a cyberattack or identify a threat. Included in this function are:
  5. Recover
    The Recover element helps organizations evaluate their cybersecurity policies to ensure they have plans to recover and repair the damage done by a cyberattack. Included in this function are:
  • La gestion des biens de production (ID.AM)
  • L’environnement de travail (ID.BE)
  • La gouvernance (ID.GV)
  • L’évaluation des risques (ID.RA)
  • La stratégie d’évaluation des risques (ID.RM)
  • La gestion de la chaîne logistique (ID.SC)
  • La sensibilisation et la formation (PR.AT)
  • La sécurité des données (PR.DS)
  • La gestion , l’authentification et le contrôle de l’accès des identités (PR.AC)
  • Des processus et procédures de protection des informations : (PR.IP)
  • La maintenance (PR.MA)
  • Les technologies protectrices (PR.PT)
  • Les anomalies et les événements (DE.AE)
  • Le processus de détection (DE.DP)
  • La surveillance continue de la sécurité (DE.CM)
  • L’analyse (RS.AN)
  • Les communications (RS.CO)
  • Les améliorations (RS.IM)
  • L’atténuation (RS.MI)
  • La planification de la réponse (RS.RP)
  • Les communications (RC.CO)
  • Les améliorations (RC.IM)
  • La planification du rétablissement (RC.RP)

Exemples du cadre de cybersécurité du NIST

Outre le cadre de cybersécurité du NIST, le NIST a produit plus de 200 publications spécialisées traitant des domaines de gestion des risques propres à la cybersécurité ; par exemple les évaluations des risques, le contrôle de l’accès des identités, la gestion des technologies protectrices, et la réponse à un événement ou incident de cybersécurité. Voici quelques exemples des publications les plus souvent consultées par rapport au cadre de cybersécurité du NIST :

Publication spécialisée du NIST (SP) 800-30

Dans la SP 800-30 du NIST, intitulée Guide for Conducting Risk Assessments (guide pour mener des évaluations des risques), on trouve des conseils pour les évaluations et la gestion du cyberrisque. Elle contient des contrôles et des données de référence sur les contrôles basées sur les recommandations et les normes professionnelles. La SP 800-30 aide également les organisations à présenter le cyberrisque sous une forme compréhensible par les dirigeants.

Publication spécialisée (SP) 800-37 du NIST

La SP 800-37 du NIST intitulée Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy (cadre de gestion du risque pour les systèmes d’information et les organisations : une approche systématique de la sécurité et de la confidentialité), décrit le cadre de gestion du risque (RMF). Elle donne aussi des consignes pour appliquer le RMF aux systèmes d’information et aux organisations. La SP 800-37 comprend un processus détaillé en six étapes pour gérer la sécurité et le risque pour la confidentialité.

Publication spécialisée (SP) 800-53 du NIST

La SP 800-53, du NIST intitulée Security and Privacy Controls for Information Systems and Organizations (contrôles de sécurité et de confidentialité pour les systèmes informatiques et les organisations), précise les contrôles nécessaires pour mettre en œuvre le cadre de cybersécurité du NIST. Elle comporte plus de mille contrôles, appartenant à vingt familles de contrôle.

En appliquant les contrôles de sécurité détaillés dans la SP 800-53, les organisations se conforment aux exigences de sécurité stipulées par la loi américaine FISMA (Federal Information Security Modernization Act) sur la modernisation de la sécurité des informations. En outre, l’application des contrôles de la SP 800-53 suit les stipulations de la loi américaine FIPS 200 (Federal Information Processing Standard Publication 200) sur la publication des normes de traitement de l’information, qui sont obligatoires pour toutes les agences et entités fédérales de leur chaîne d’approvisionnement.

Publication spécialisée (SP) 800-122 du NIST

La SP 800-122 du NIST intitulée Guide to Protecting the Confidentiality of Personally Identifiable Information (Guide de la protection de la confidentialité des informations permettant l’identification personnelle [IPIP]), donne des recommandations pour le traitement des IPIP (informations permettant l’identification personnelle). Elle propose des conseils pratiques et des conseils pour identifier les IPIP.

La SP 800-122 du NIST offre aussi des conseils pour déterminer quel niveau de protection convient à chaque cas et recommande des protections. Par ailleurs, elle donne des orientations pour élaborer des plans d’intervention en cas de violations par rapport à des IPIP.

Publication spécialisée (SP) 800-125 du NIST

La SP 800-125 du NIST intitulée Guide to Security for Full Virtualization Technologies (Guide de la sécurité pour les technologies de virtualisation intégrale) propose des recommandations pour répondre aux problèmes de sécurité propres aux technologies de virtualisation intégrale des serveurs et des PC. Elle définit la virtualisation dans l’optique d’une utilisation par les pouvoirs publics et détaille dans quelles conditions on peut sécuriser les systèmes virtuels de durcissement et de provisioning.

Publication spécialisée (SP) 800-171 du NIST

Dans la SP 800-171 du NIST intitulée Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (Protéger les informations contrôlées non classifiées dans les systèmes et organisations hors Fédération), la conformité est obligatoire pour toute organisation qui travaille avec le Département de la Défense américain (DoD). Elle couvre tous les systèmes d’information qui sont extérieurs à la Fédération américaine et les organisations qui travaillent pour le DoD et qui traitent, conservent ou transmettent des informations contrôlées non classifiées (« Controlled Unclassified Information », ou CUI). Aux termes de la SP 800-171, ces entités doivent se conformer aux normes de sécurité minimales établies par le DFARS (Defense Federal Acquisition Regulation Supplement, avenant à la réglementation sur les acquisitions de la Défense fédérale) pour pouvoir conserver leurs contrats avec le DoD.

NISTIR 8170

Une autre publication du NIST, la NISTIR 8170, intitulée Approaches for Federal Agencies to Use the Cyber Security Framework (Approches à l’intention des agences fédérales pour utiliser le cadre de cybersécurité), détaille huit approches pour utiliser le cadre de cybersécurité du NIST.

  1. Intégrer la gestion du risque de l’entreprise et de la cybersécurité en communiquant avec une terminologie comprise par tous.
  2. Gérer les obligations de cybersécurité à l’aide d’un modèle qui permet leur intégration et leur hiérarchisation.
  3. Intégrer et aligner la cybersécurité et les processus d’acquisition en transmettant les obligations et les priorités dans un langage courant et concis.
  4. Évaluer la cybersécurité dans l’entreprise à l’aide d’une échelle de mesure et de critères d’autoévaluation normalisés et simples.
  5. Gérer le programme de cybersécurité en déterminant quels sont les effets attendus qui nécessitent des contrôles courants et répartir le travail et la responsabilité pour obtenir ces effets.
  6. Conserver une compréhension globale du risque de cybersécurité à l’aide d’une structure d’organisation courante.
  7. Rendre compte des risques de cybersécurité à l’aide d’une structure universelle et compréhensible.
  8. Éclairer le processus d’adaptation par une réconciliation globale des obligations de cybersécurité.

Le cadre de cybersécurité du NIST - Questions fréquentes

Comment le cadre de cybersécurité du NIST accroît-il la sécurité ?

Le cadre de cybersécurité du NIST aide les organisations à protéger leurs systèmes et données vitaux grâce à des conseils les invitant à augmenter les actions de sensibilisation et de préparation. C’est un modèle adaptable qui contribue à améliorer la sécurité en incitant les organisations à :

  • Mieux communiquer les nouvelles obligations dans toute l’organisation ;
  • Établir un nouveau programme de cybersécurité et de nouvelles exigences ;
  • Déterminer à quel niveau les mesures de cybersécurité sont appliquées, grâce à la création d’un profil ;
  • Trouver quelles nouvelles normes et règles de cybersécurité peuvent être appliquées pour renforcer la cybersécurité.

Y a-t-il une certification attestant la conformité au cadre de cybersécurité du NIST ?

Il n’existe pas de certification pour l’ensemble du cadre de cybersécurité du NIST mais juste pour sa mise en œuvre. Cette certification atteste qu’une organisation est capable d’utiliser les pratiques homologuées et les normes du NIST pour mettre en œuvre la structure, la gouvernance et les règles nécessaires à une cybersécurité digne de ce nom.

Quelles sont les trois parties du cadre de cybersécurité du NIST ?

Le cadre de cybersécurité du NIST comporte trois parties : les composantes de base, la mise en œuvre et le profil. Leur objectif est de présenter sous un angle stratégique les risques de cybersécurité d’une organisation.

Les composantes de base détaillent les activités nécessaires pour parvenir à divers niveaux de sécurité. Elles sont divisées en quatre catégories.

  1. Les fonctions
    Au nombre de cinq, les fonctions englobent la plupart des axes de la cybersécurité. Et notamment : Identifier, Détecter, Protéger, Réagir et Récupérer.
  2. Les catégories
    Sous chaque fonction, les catégories précisent les tâches à effectuer (par exemple implémenter les mises à jour logicielles, installer des antivirus et des antimalwares et disposer de règles de contrôle d’accès pour assurer la fonction Protéger.
  3. Les sous-catégories
    Elles précisent les tâches correspondant aux catégories (par exemple, activer les mises à jour automatiques sur les systèmes, pour la catégorie Implémenter les mises à jour logicielles).
  4. Les sources d’information
    Ces documents d’appui expliquent comment réaliser les tâches énoncées dans les diverses fonctions, catégories et sous-catégories.

La partie Mise en œuvre du cadre de cybersécurité du NISTcontient quatre niveaux, qui indiquent le degré atteint par l’organisation pour mettre les contrôles du NIST en œuvre et le niveau d’adhésion aux consignes de ses pratiques de gestion du risque de cybersécurité. Plus le niveau est élevé et plus l’organisation est conforme.

  • Niveau Un - Mise en œuvre partielle
    Au niveau Un, les organisations n’ont pas de coordination ou de processus de cybersécurité. Les organisations qui sont au niveau Un n’ont pas fait de la cybersécurité une priorité, généralement parce qu’elles manquent de temps, de personnel ou de moyens financiers.
  • Niveau Deux - Conscience du risque
    Les organisations ayant atteint le Niveau Deux du cadre de cybersécurité du NIST ont conscience de certains risques et envisagent d’y répondre pour se conformer à leurs obligations. Malgré cela, elles n’ont pas conscience de tous les problèmes posés par la sécurité ou elles ne les traitent pas assez vite.
  • Niveau Trois - Des processus répétables sont en place
    Les organisations du niveau Trois ont des processus de cybersécurité bien définis et régulièrement répétables. Elles disposent du personnel d’encadrement pour faire appliquer des pratiques homologuées de gestion de risque et de cybersécurité. Les organisations qui ont atteint le niveau Trois sont bien préparées à parer aux risques et aux menaces de cybersécurité, et à identifier les failles dans leur environnement pour y remédier.
  • Niveau Quatre - Disposent de mesures adaptables
    Au niveau supérieur du cadre de cybersécurité du NIST, les organisations du Niveau Quatre prennent les devants pour mettre en œuvre des mesures de cybersécurité et les faire évoluer. Elles ont recours à des pratiques de cybersécurité adaptables pour évaluer constamment les comportements ou événements à risque afin de se protéger des menaces ou de s’y adapter avant qu’elles ne se transforment en problème.

Les profils de cybersécurité du NIST détaillent les mesures de cybersécurité prises par une organisation et l’aident à définir ses besoins pour élaborer des feuilles de route stratégiques de sécurité. Leur but est de leur permettre d’identifier les failles et d’accéder au niveau de mise en œuvre supérieur. En outre, les profils font correspondre les fonctions, les catégories et les sous-catégories aux besoins, à la tolérance au risque et aux ressources d’une organisation.

Qu’est-ce que les publications spécialisées du NIST ?

Les publications spéciales du NIST donnent des précisions détaillées dans divers domaines, souvent pour clarifier un sujet. Le NIST a des centaines de publications spécialisées qui contiennent des conseils, des recommandations et des documents de référence. Elles appartiennent à trois catégories :

  • SP 500 — Les technologies de l’information (documents correspondants)
  • SP 800 — La sécurité des ordinateurs
  • SP 1800 — Les guides pratiques de cybersécurité

Est-il obligatoire de se conformer au cadre de cybersécurité du NIST ?

Pour les agences fédérales et entités qui appartiennent à la chaîne logistique d’une agence fédérale, la conformité est une obligation. Pour toutes les autres entités, elle est recommandée mais facultative.

Quel rapport y a-t-il entre la SP 800-53 du NIST et la loi FISMA ?

Les organisations qui suivent les points stipulés par la SP 800-53 du NIST intitulée Security and Privacy Controls for Federal Information Systems (Contrôles de la sécurité et de la confidentialité pour les systèmes d’information fédéraux) disposent d’une liste de neuf points à cocher, qui leur permet de vérifier dans quelle mesure elles respectent les exigences de la loi FISMA (Federal Information Security Modernization Act), à savoir :

  1. Catégoriser les données et systèmes d’information à protéger.
  2. Élaborer une base pour définir les contrôles de sécurité applicables par rapport aux contrôles minimaux nécessaires pour protéger ces informations.
  3. Évaluer les contrôles de sécurité pour déterminer dans quelle mesure vous devez affiner vos contrôles de base et vous assurer qu’ils sont correctement mis en place, qu’ils fonctionnent comme prévu et qu’ils sont à la hauteur des exigences de sécurité de l’organisation.
  4. Documenter les détails relatifs à la conception, le développement et les détails de mise en œuvre pour les contrôles de base dans un plan de sécurité.
  5. Mettre en œuvre des contrôles de sécurité.
  6. Surveiller l’efficacité des contrôles mis en œuvre.
  7. Déterminer le risque en fonction de d’une évaluation des contrôles de sécurité.
  8. Autoriser le système d’information à procéder au traitement après avoir déterminé si les risques identifiés sont acceptables.
  9. Procéder à une surveillance continue des contrôles de sécurité dans le système et l’environnement d’information afin de gérer leur efficacité, les modifications à y apporter et leur conformité.

Quelle est la différence entre la norme ISO 27001 et le cadre de cybersécurité du NIST ?

Il y a trois différences entre le NIST et la norme ISO 27001 :

  1. La certification
  2. Cost
  3. Use cases
  • Le cadre de cybersécurité du NIST est un cadre autocertifié qui n’a pas besoin de certification extérieure.
  • L’ISO 27001 offre une certification reconnue partout dans le monde d’après sur un audit indépendant.
  • Le cadre de cybersécurité du NIST est gratuit.
  • Les organisations doivent acquitter un droit pour accéder à la documentation de l’ISO 27001.
  • Le cadre de cybersécurité du NIST est surtout indiqué pour les organisations qui mettent sur pied une stratégie de cybersécurité pour parer à certaines failles ou répondre à des violations de données.
  • L’ISO 27001 convient surtout aux organisations disposant d’un programme mature de cybersécurité qui cherchent à obtenir la certification de l’ISO pour renforcer la crédibilité de leur dispositif de sécurité.

Le cadre de cybersécurité du NIST : un multiplicateur de la sécurité

En plus des conseils inégalés qu’il apporte sur la sécurité, le cadre de cybersécurité du NIST aide les organisations à se conformer à de nombreux autres cadres de sécurité et de confidentialité ; par exemple la norme ISO 27100 et la loi américaine HIPAA.

Le cadre de cybersécurité du NIST sert aussi de base à d’autres réglementations américaines ; par exemple la norme PCI DSS (Payment Card Industry Data Security Standard) relative à la sécurité des données de l’industrie des cartes de paiement, la loi Sarbanes-Oxley (SOX), le paragraphe 500 de la NYDFS 23 NYCRR (New York State Department of Financial Services Cybersecurity Regulation) qui règlemente la cybersécurité du Département des services financiers de l’État de New York, et la loi sur la NAIC (National Association of Insurance Commissioners).

De nombreuses organisations retirent des avantages du cadre de cybersécurité du NIST. Non seulement il leur offre un vaste ensemble de consignes qui les font accéder à un niveau de sécurité supérieur mais il ne manque jamais de se réactualiser. Depuis son introduction en 2014, le cadre de cybersécurité du NIST n’a cessé d’être révisé afin de refléter les changements des technologies et du paysage des menaces.