L’agence gouvernementale américaine Institut national des normes et de la technologie (NIST) a publié une mise à jour majeure de son cadre de cybersécurité (CSF), largement adoptée, marquant la transition de la version 1.1 à la version 2.0.
Qu’est-ce que le cadre de cybersécurité du NIST?
Le CSF du NIST a été publié pour la première fois en 2014 après qu’un ordre exécutif ait demandé à l’agence de développer un cadre de cyberrisque en réponse à la croissance des applications numériques. Ce cadre volontaire propose une approche structurée et des lignes directrices permettant aux organisations d’évaluer et de renforcer leurs défenses en matière de cybersécurité, indépendamment de la taille de l’entreprise, du secteur ou de l’expertise technique. Il permet également d’aligner les activités de cybersécurité sur les exigences de l’entreprise, la tolérance au risque et les ressources en divisant les activités et les résultats en cinq fonctions :
- Identifier : se concentre sur la compréhension et la gestion des risques de cybersécurité pour les systèmes, les actifs, les données et les capacités.
- Protéger : implique la mise en œuvre de mesures de protection pour assurer la fourniture de services essentiels tout en minimisant l’impact des incidents liés à la cybersécurité.
- Détecter : vise à identifier rapidement les événements de cybersécurité dès qu’ils se produisent, ce qui permet de réagir en temps utile.
- Répondre : implique de prendre les mesures appropriées pour contenir, atténuer et récupérer les incidents de cybersécurité.
- Récupérer : se concentre sur la restauration des capacités ou des services affectés par des incidents de cybersécurité.
Quelles sont les nouveautés du CCA 2.0?
Depuis la publication de la version 1.1 en 2018, le paysage des risques de cybersécurité a rapidement évolué.
Pour tenir compte de cette évolution rapide, la version 2.0 du NIST souligne l’importance d’intégrer la cybersécurité dans la culture organisationnelle et les processus de prise de décision afin de relever les nouveaux défis, notamment :
- Perturbations et risques de la chaîne d’approvisionnement.
- Croissance de la 5G et des appareils de l’Internet des objets (IdO).
- Manque de personnel qualifié en matière de cybersécurité.
La version 2.0 fournit des orientations plus complètes et une plus grande souplesse aux organisations. Parmi les principaux changements, citons :
- Ajout d’une fonction « Gouverner » pour la stratégie et les politiques de cybersécurité. Il convient de souligner l’importance de la gouvernance des cyberrisques.
- Élargissement des orientations sur la gestion du risque lié à la chaîne d’approvisionnement.
- Plus d’orientations sur la mesure des résultats en matière de cybersécurité.
- Nouveaux modèles pour la création de profils organisationnels.
- Meilleure intégration dans la gestion des risques de l’organisation au sens large.
- Alignement avec les nouvelles publications du NIST sur la protection de la vie privée, l’IdO et la sécurité du nuage.
Que peuvent faire les organisations?
Toute organisation qui utilise actuellement le CSF du NIST peut examiner en profondeur les changements de la version 2.0 et la mise à jour du noyau du cadre. Les entreprises peuvent alors identifier les lacunes ou les améliorations nécessaires dans la mise en œuvre du cadre de référence stratégique existant et adapter les politiques, les programmes et les pratiques en matière de cybersécurité en conséquence.
Pour les nouveaux adoptants, la version 2.0 représente l’ensemble de normes le plus récent sur lequel fonder un programme de gestion des cyberrisques. Le CSF v2.0 du NIST est une ressource précieuse pour les organisations qui cherchent à renforcer leur résilience en matière de cybersécurité et à s’adapter aux nouvelles menaces.
Pour en savoir plus, consultez les articles de nos experts en confiance numérique : « Renforcer stratégiquement la résilience aux brèches » par Stephen Scott et « Se défendre contre le côté obscur de l’IA » par Terry Minford.
Visitez le Coin des experts de BSI pour obtenir plus d’informations de la part des experts de l’industrie. Abonnez-vous à nos infolettres LinkedIn, « Experts Corner-2-Go », pour obtenir un aperçu du plus récent contenu relatif au leadership éclairé : confiance numérique, ESS, chaîne d’approvisionnement.