Tout ce que vous devez savoir sur le framework NIST Cybersecurity

Le NIST Cybersecurity Framework: de quoi parle-t-on ?

Le NIST CyberSecurity Framework (CSF), est un cadre méthodologique de gestion de la cybersécurité.

Définition du NIST Cybersecurity framework

C’est aux Etats-Unis que le NIST Cybersecurity Framework trouve son origine. On parle aussi, en France, de “cadre NIST”. Le NIST est le National Institute of Standards and Technology du département du commerce américain. Son “Cybersecurity Framework” se définit comme un ensemble de normes, de lignes directrices et de bonnes pratiques destinées à gérer les risques informatiques.

Il s’agit donc d’un cadre méthodologique que les entreprises peuvent décider de suivre sans obligation légale. Il sert à anticiper les failles de sécurité, mais aussi à gérer et à réduire les risques informatiques identifiés.

On compare souvent le NIST CSF aux réglementations nationales et internationales et sa méthode se rapproche des préconisations détaillées dans la certification AFAQ ISO/IEC 27001, relative à la sécurité des systèmes d'information (SI).

À quoi ça sert le NIST CSF ?

Ce cadre méthodologique doit aider les organisations publiques et privées à détailler leurs objectifs en termes de cybersécurité et à y associer certaines démarches. Il s’agit notamment d’encadrer le processus d'identification des risques, de protection du SI, de détection et de gestion des failles de cybersécurité et de récupération. Le NIST Cybersecurity Framework doit aussi aider à prioriser les pistes d’amélioration, et à mesurer les avancées de l’organisation en matière de cybersécurité.

Dans le détail, le CSF du NIST renseigne toutes les démarches suivantes :

• Construire le pilier de votre stratégie de cybersécurité en analysant les risques cyber ;
• évaluer l’efficacité des pratiques de sécurité informatique existantes ;
• estimer la gravité potentielle des risques que prend l’organisation ;
• améliorer le processus de gestion des failles de cybersécurité ;
• sensibiliser les collaborateurs ;
• optimiser la communication sur la cybersécurité avec les parties prenantes.

À qui s’adresse cette méthode de gestion des risques cyber ?

Quand le National Institute of Standards and Technology a conçu ce cybersecurity framework, c’était au départ pour améliorer la gestion des cyberrisques aux Etats-Unis. Il s’adressait ainsi prioritairement à ce qu’on appelle les “infrastructures critiques”, vitales pour le fonctionnement de la société américaine et de son économie.

Les structures privées comme publiques l’utilisent dorénavant partout dans le monde pour monter en maturité dans leur gestion de la cybersécurité. Tous les secteurs sont concernés, ainsi que toutes les catégories d’acteurs économiques. Il s’agit en outre d’une méthode de cybersécurité particulièrement utilisée par les grands groupes bancaires et industriels.

‍

Comment fonctionne le NIST Cybersecurity Framework ?

Le cadre NIST s’organise autour de trois composants, comme l’illustre le schéma ci-dessous : noyau, niveaux de mise en œuvre et profils. Chaque composant doit encadrer l’évaluation de l’impact de la gestion des risques de cybersécurité sur la performance opérationnelle et financière de la structure.

1 / Le noyau (Core)

Le noyau encadre la stratégie de gestion des risques de l’organisation autour de 5 « fonctions » : identifier, protéger, détecter, répondre et récupérer. Ces fonctions se déclinent elles-mêmes en catégories, en sous-catégories et en “références informatives”, ou “ressources documentaires”.

2 / Les niveaux de mise en œuvre (Implementation Tiers)

Les niveaux de mise en œuvre permettent d’évaluer le processus de gestion des cyber-risques que l’entreprise a déjà mis en place. Ils accompagnent donc l’évaluation de la maturité de la structure dans ce domaine. Cette évaluation doit aboutir à un diagnostic organisé autour de 4 niveaux de maturité : risque partiel, informé, répétable ou adaptatif.

3 / Le “profil” (Profile)

Le profil désigne la manière dont la structure gère ses risques cyber, au regard de ses objectifs stratégiques. La comparaison entre le “profil actuel” et le “profil cible” doit permettre d’identifier les actions à mettre en place en priorité.

Quels intérêts y a-t-il à utiliser le NIST Framework ?

Le cadre NIST est une méthode détaillée et complète, qui fait référence dans le domaine de la cybersécurité. Comme beaucoup de théories encadrant la gestion des risques cyber, elle souffre cependant encore de quelques insuffisances, notamment lors de l’identification des risques.

Avantages de la méthode de gestion des risques cyber du NIST

Le NIST CSF a le mérite d’encadrer la gestion des risques de façon très détaillée. Sa bonne application a déjà aidé de nombreuses organisations à prendre conscience de leurs manquements en termes de gestion des risques cyber. C’est aussi un support efficace pour entrevoir les mesures de protection à mettre en œuvre.

Le NIST Cybersecurity Framework incarne par ailleurs une des grandes références mondiales en matière de gestion des risques informatiques. Il influence d’ailleurs les nouvelles réglementations qui encadrent les cyberrisques.

Inconvénients du NIST cyber framework

Le cadre NIST s’organise autour de différentes catégories et sous-catégories d’informations que certaines structures peinent à mettre en œuvre, tant elles peuvent paraître compliquées. Sa bonne application n’est en outre jamais vraiment garantie. Elle dépend effectivement d’un processus d’auto-évaluation, qu’aucune instance externe ne vient valider. Le bon déroulement de cette méthode d’analyse des risques et d’anticipation des failles de cybersécurité dépend donc de la maturité de l’organisation en la matière.

Il est par ailleurs assez récurrent d’entendre que le NIST framework s’écarte trop des standards des autres méthodes de gestion des risques pour être facilement assimilé par les équipes. Son appréhension par les équipes concernées demanderait donc plus de temps et de ressources.

Le NIST Cybersecurity Framework rencontre par ailleurs les mêmes difficultés que d’autres méthodes, comme ISO27001, quand il s’agit de mesurer ou estimer les risques cyber. Dans le cadre du NIST, cette analyse relève d’une évaluation qualitative du risque, basée sur une probabilité d’occurrence toute subjective. Il en résulte parfois des classements de risques irréalistes.

La seule solution à ce type de problématique consiste à sortir de l’analyse subjectiviste des risques pour adopter des méthodes statistiques. C’est notamment l’objet de la FAIR Analysis, “Factor Analysis of Information Risk”. Cette norme est dorénavant la référence internationale en termes de quantification des risques cyber. Elle consiste à mesurer ceux-ci de façon mathématique, en termes financiers. Elle est d’ailleurs référencée par le NIST dans un document NISTIR 8286 paru en 2020 ainsi que dans une « success story » parue en 2019. On peut ainsi lire en section 3.3.1 Types d’analyse de risque : « Bien que les méthodes qualitatives soient courantes, le praticien peut tirer avantage d’envisager une méthodologie quantitative avec une approche plus scientifique pour estimer la probabilité et l’impact des conséquences lorsque les données sont disponibles pour ce type d’analyse. Cela peut aider à mieux hiérarchiser les risques ou à préparer des prévisions d’exposition aux risques plus précises. »

Comment bien utiliser le NIST CSF ?

Le NIST Framework est une méthode distillée en de nombreuses étapes. Leur bonne application détermine la réussite de l’autoévaluation des cyberrisques. Vous pouvez trouver la totalité du cyber framework détaillée sur le site du NIST.

Explications sur les 5 “fonctions” du “noyau”

La première étape de l’analyse NIST consiste à encadrer la gestion des risques cyber autour de 5 “fonctions” :

1 / Identifier les actifs critiques pour l’entreprise, de façon à hiérarchiser les actions. Cette identification doit porter sur les processus, systèmes, et ressources précieuses. La version 1.1 du NIST implique également de passer au crible la supply chain et les parties prenantes.

2/ Protéger la structure des cybermenaces. Cette démarche passe par des actions de sensibilisation et de formation, mais aussi par la mise en place de protections logicielles et techniques visant la sécurisation des données sensibles.

3 / Détecter les activités suspectes avant qu’elles n’aient d’implications fâcheuses. Cette fonction dépend des mécanismes de surveillance installés.

4 / Répondre aux événements de cybersécurité grâce à un guide conçu en amont de la survenance des risques. Cette stratégie doit permettre d’étouffer la menace avant son éclosion. Elle comprend des mesures de planification, de communication et d’atténuation.

5 / Récupérer après une cyberattaque : restaurer l’état d’origine du système informatique et mettre en place les mesures pour éviter que le risque ne se reproduise.

Les 4 niveaux de maturité du framework NIST

Les niveaux de mise en oeuvre prévus par le NIST permettent d’évaluer le niveau de gestion des risques de l'organisation, mais aussi d’appliquer la méthode à son rythme, selon ses possibilités et ses besoins :

• Niveau 1 : une gestion des risques “partielle”

Ce niveau qualifie les structures qui réagissent aux risques plus qu’elles ne les préviennent. Les processus de sensibilisation et de communication interne sur ce thème ne sont pas encore au point.

• Niveau 2 : informés sur les cyberrisques

La gestion des cyberrisques est plus cadrée. Les employés ont les outils nécessaires à la mise en œuvre de processus de cybersécurité, et commencent à être informés des risques. L'entreprise manque encore cependant de supports de communication sécurisée avec les acteurs externes.

• Niveau 3 : Une gestion du risque informatique “répétable”

La stratégie de gestion des risques cyber est formalisée et priorisée. Les collaborateurs sont bien sensibilisés aux risques, et ont les outils d’une collaboration sécurisée avec les sources externes.

• Niveau 4 : l’adaptativité

Le niveau 4 est le meilleur niveau de gestion des risques de cybersécurité. L’entreprise est capable de se prémunir des dangers et de les anticiper. Les salariés ont un haut niveau de compétences en cybersécurité.

‍