Tout ce que vous devez savoir sur le framework NIST Cybersecurity

Le NIST Cybersecurity Framework: de quoi parle-t-on ?

Le NIST CyberSecurity Framework (CSF), est un cadre méthodologique de gestion de la cybersécurité.

Définition du NIST Cybersecurity framework

C’est aux Etats-Unis que le NIST Cybersecurity Framework trouve son origine. On parle aussi, en France, de “cadre NIST”. Le NIST est le National Institute of Standards and Technology du département du commerce américain. Son “Cybersecurity Framework” se définit comme un ensemble de normes, de lignes directrices et de bonnes pratiques destinées à gérer les risques informatiques.

Il s’agit donc d’un cadre méthodologique que les entreprises peuvent décider de suivre sans obligation légale. Il sert à anticiper les failles de sécurité, mais aussi à gérer et à réduire les risques informatiques identifiés.

On compare souvent le NIST CSF aux réglementations nationales et internationales et sa méthode se rapproche des préconisations détaillées dans la certification AFAQ ISO/IEC 27001, relative à la sécurité des systèmes d'information (SI).

‍

À quoi ça sert le NIST CSF ?

Ce cadre méthodologique doit aider les organisations publiques et privées à détailler leurs objectifs en termes de cybersécurité et à y associer certaines démarches. Il s’agit notamment d’encadrer le processus d'identification des risques, de protection du SI, de détection et de gestion des failles de cybersécurité et de récupération. Le NIST Cybersecurity Framework doit aussi aider à prioriser les pistes d’amélioration, et à mesurer les avancées de l’organisation en matière de cybersécurité.

Dans le détail, le CSF du NIST renseigne toutes les démarches suivantes :

• Construire le pilier de votre stratégie de cybersécurité en analysant les risques cyber ;
• évaluer l’efficacité des pratiques de sécurité informatique existantes ;
• estimer la gravité potentielle des risques que prend l’organisation ;
• améliorer le processus de gestion des failles de cybersécurité ;
• sensibiliser les collaborateurs ;
• optimiser la communication sur la cybersécurité avec les parties prenantes.

‍

À qui s’adresse cette méthode de gestion des risques cyber ?

Quand le National Institute of Standards and Technology a conçu ce framework cybersécurité, c’était au départ pour améliorer la gestion des risques cyber aux Etats-Unis. Il s’adressait ainsi prioritairement à ce qu’on appelle les “infrastructures critiques”, vitales pour le fonctionnement de la société américaine et de son économie.

Les structures privées comme publiques l’utilisent dorénavant partout dans le monde pour monter en maturité dans leur gestion de la cybersécurité. Tous les secteurs sont concernés, ainsi que toutes les catégories d’acteurs économiques. Il s’agit en outre d’une méthode de cybersécurité particulièrement utilisée par les grands groupes bancaires et industriels.

‍