Le cadre de cybersécurité NIST, mis à jour en continu, est publié par le National Institute of Standards and Technology. Il est particulièrement utile pour aider les entreprises à améliorer leur posture de sécurité.
Dans cet article, nous allons découvrir les aspects clés de ce cadre, les raisons de l’utiliser et comment commencer à l’appliquer dans votre entreprise.
Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit
Avantages du cadre NIST pour les entreprises
Le cadre NIST présente des conseils, principes, processus et pratiques tirés d’un ordre exécutif conçu pour renforcer la cybersécurité de diverses entreprises. Voici ses avantages :
- Conseils : vous allez découvrir en détail les principes et priorités en matière de sécurité.
- Étendue : le cadre va au-delà de la prévention. Il donne aux entreprises les outils et les fonctionnalités dont elles ont besoin pour se protéger de manière proactive.
- Accessibilité : vous obtiendrez des conseils applicables à toutes les entreprises, que vous ayez ou non déjà un cadre en place.
- Flexibilité : toutes les entreprises, quelles que soient leur taille ou leur ancienneté, sont prises en compte dans ce cadre.
- Rentabilité : la mise en œuvre de ce cadre est conçue pour prendre les mesures les plus rentables en priorité.
Les fonctions principales du cadre NIST
Le cadre NIST se compose de cinq fonctions établissant les bases qui permettront aux entreprises de gérer leurs risques et de protéger leur organisation de manière appropriée.
Il répertorie également les types d’outils et de processus compris dans chaque composante, ce qui vous permettra d’identifier les lacunes potentielles de votre organisation.
IDENTIFIER
Il s’agit ici de comprendre les besoins de votre entreprise en matière de cybersécurité, d’identifier les différents aspects de votre environnement et de votre organisation (ressources, partenaires, appareils, logiciels), et d’identifier les parties, logiciels et services impliqués dans la gestion des risques pour votre entreprise.
Vous pourrez à partir de là commencer à identifier les menaces qui posent le plus de risques pour votre organisation, en fonction de votre environnement et des vulnérabilités potentielles associées.
Les outils recommandés pour cette composante incluent la gestion et la visibilité sur les ressources, les renseignements sur les menaces et les alertes.
Les processus et politiques de cette composante incluent un cadre de tolérance au risque documenté, la gestion des risques posés par des tiers/la supply chain, et des lignes de communication claires concernant les différents responsables de chaque aspect de la cybersécurité.
Protéger
Cette composante fait partie des fonctions classiques de défense et de protection de la cybersécurité. Les entreprises identifient les ressources à protéger en priorité via la gestion des identités, l’application de règles d’authentification, et des droits et accès limités.
Parmi les autres mesures à prendre, citons les formations de sensibilisation à la sécurité, la segmentation réseau et la mise en place d’une politique de protection des données pour éviter les fuites, les mauvaises configurations ou les expositions accidentelles.
Détecter
C’est ici que le cadre entre en jeu, car il englobe ces étapes clés et offre des conseils allant au-delà de la simple prévention. Dans cette composante, mettez la priorité sur les outils et processus détectant les intrusions indésirables ou les comportements inhabituels.
Le meilleur moyen de procéder consiste à utiliser des outils de surveillance et de détection en continu sur différents éléments de votre organisation, tels que les terminaux, la messagerie et le réseau. Les outils les plus utiles doivent pouvoir repérer les menaces connues tout en détectant les intrusions sur le réseau de personnes non autorisées ou les comportements suspects d’un acteur interne.
Répondre
C’est dans ces domaines que vous devez privilégier les communications, les corrections, les analyses et informations post-mortem dans le cadre d’un plan de réponse global en cas de compromission ou d’attaque effective.
La planification vous aidera à rester proactif et à identifier les mesures qui vous aideront à réagir plus rapidement et qui réduiront les dommages d’une attaque sur votre réseau.
Il peut s’agir de faire appel à une équipe externe de réponse et de récupération qui conduira les analyses nécessaires pour que vous compreniez comment votre système a pu être compromis, et ainsi réduire les risques que cela se reproduise.
Rétablir
Cet aspect peut être considéré comme une extension de la phase de réponse, car vous vous appuyez sur les données, informations et analyses de cette phase pour établir vos stratégies et processus de récupération.
La récupération implique des communications internes et externes (gérer les relations publiques, les communications client et les communications avec les autres parties prenantes), la remise en fonctionnement complète des éléments affectés par l’attaque et l’identification des aspects à améliorer en cas de dommages sérieux au niveau de votre réseau.
Composantes du cadre NIST
Le cadre NIST compte trois composantes pour que le plus d’entreprises possible puissent l’adopter.
Noyau
Le noyau du cadre NIST englobe les fonctions détaillées ci-dessus, ainsi que plusieurs catégories, sous-catégories et références. Ces fonctions doivent être exécutées simultanément et en permanence. Il ne s’agit pas tant d’une liste de contrôle que d’un guide pour atteindre les résultats et les objectifs souhaités en matière de cybersécurité.
Niveaux de mise en œuvre
Les niveaux de mise en œuvre fournissent un contexte sur la manière dont une organisation considère les risques en matière de cybersécurité et les processus à adopter pour y répondre. Cela ne reflète pas le niveau de maturité de l’entreprise, mais plutôt ses besoins métier et organisationnels en matière de gestion des risques de cybersécurité, et les ressources qu’elle peut raisonnablement attribuer.
Les niveaux se décomposent comme suit :
- Processus de gestion des risques
- Programme de gestion intégrée des risques
- Participation externe
Niveau 1 : Partiel
Dans ce niveau, la cybersécurité est gérée au cas par cas. Et en règle générale, la plupart des risques pour l’entreprise sont ignorés. Il s’agit d’un positionnement plutôt réactif qui ne fait intervenir la cybersécurité qu’en cas de besoin urgent.
Niveau 2 : Risque informé
À ce niveau, la sensibilisation aux risques de cybersécurité est plus élevée, de même que les ressources qui leur sont dédiées en fonction des besoins de l’entreprise. En revanche, rien n’est formalisé, peu de processus sont mis en place et ces considérations restent largement internes. En d’autres termes, la gestion des risques posés par des tiers ou des fournisseurs n’est toujours pas prise en charge.
Niveau 3 : Répétable
Les entreprises de ce niveau ont adopté des politiques et des pratiques plus formalisées, qui sont actualisées en continu en fonction des nouvelles informations et priorités dans le domaine de la gestion des risques.
L’équipe de direction prend part à ces discussions et des parties externes (comme des fournisseurs et des partenaires) interviennent dans la stratégie globale de cybersécurité. Cela garantit qu’il existe des contrôles et des politiques en place pour gérer les risques tiers.
Niveau 4 : Adaptatif
Les entreprises de ce niveau s’informent constamment sur les nouvelles menaces, les nouvelles vulnérabilités et les nouveaux exploits. Elles y réagissent en conséquence, en investissant dans de nouveaux outils, de nouvelles solutions et de nouveaux produits capables de les protéger contre les risques inédits.
En règle générale, la tolérance au risque est faible et la gestion des risques de cybersécurité fait partie intégrante de l’organisation dans son ensemble : un aspect stratégique de la prise de décision à l’échelle de l’entreprise.
Profils
Le profil combine essentiellement le noyau et les niveaux. Il harmonise la fonction du noyau avec les besoins de l’entreprise et ses objectifs en matière de cybersécurité, en fonction de son niveau de mise en œuvre.
En associant ces deux éléments, vous devriez pouvoir créer une feuille de route qui vous permettra d’atteindre vos objectifs en matière de cybersécurité. Ce calendrier d’exécution prendra en compte les capacités de votre entreprise et le niveau de tolérance au risque qu’elle devrait adopter.
Comment mettre en œuvre le cadre NIST
Avec autant de composantes différentes à prendre en compte, la mise en œuvre de ce cadre peut sembler décourageante et intimidante. Mais il est essentiel de comprendre que celui-ci a été conçu pour être flexible et simple à implémenter.
Le NIST fournit un guide détaillé permettant de mettre en œuvre toute sorte de cadres de cybersécurité.
Prioriser et délimiter
Identifiez les objectifs que votre entreprise doit atteindre et les priorités qui nécessitent des ressources et des investissements. Cela vous aidera à mieux cerner le but que vous pouvez viser en matière de cybersécurité.
Orienter
Dans cette étape, vous identifierez les processus, ressources, exigences et approches nécessaires pour actualiser la portée de votre programme de cybersécurité. Vous pourrez correctement évaluer les menaces et vulnérabilités auxquelles votre organisation est susceptible d’être exposée.
Créer un profil actuel
L’établissement d’un profil avec les catégories et sous-catégories des fonctions du cadre NIST vous donnera des informations de référence qui vous permettront de mesurer vos progrès et votre réussite.
Mener une évaluation des risques
Pour savoir quel niveau vous correspond et quels objectifs et résultats vous pouvez viser en restant réaliste, vous devez connaître la tolérance au risque de votre entreprise, ses besoins en matière de gestion des risques et ses ressources disponibles.
Créer un profil cible
Pour définir vos objectifs, vous devez avoir un profil à l’esprit, avec les catégories et sous-catégories associées. Cela vous permettra de mieux orienter votre programme.
Déterminer, analyser et prioriser les écarts
Comparez votre profil actuel et votre profil cible pour identifier les écarts, ainsi que les mesures à prendre pour atteindre votre cible. Cela vous aidera également à trouver les bonnes ressources, de même que les solutions et fournisseurs appropriés.
Mettre en œuvre le plan d’action
À ce stade, vous aurez déjà une idée précise des étapes à suivre, des personnes à qui vous adresser et de la manière dont vous allez effectuer la mise en œuvre. Il ne reste plus qu’à vous lancer.
Les principes du NIST peuvent être utilisés dans plusieurs cadres
Le cadre NIST peut être utilisé par tout type d’entreprise, et ses principes peuvent être appliqués même si vous optez pour un cadre différent ou que vous mettez en œuvre un autre programme de cybersécurité.
Les principes de base comme l’évaluation des risques et la définition d’objectifs peuvent vous aider à rationaliser et à prioriser les mesures à prendre.
Cela vous sera également utile lorsque vous ferez appel à des grands fournisseurs de solutions de cybersécurité qui pourront mieux vous venir en aide si vous avez au préalable défini vos objectifs et déterminé vos capacités organisationnelles.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
