• La conformité en matière de cybersécurité consiste à respecter les normes et les exigences légales établies par les entités, les lois ou les organismes de réglementation. Les entreprises qui traitent des actifs numériques doivent mettre en œuvre des contrôles et des pratiques de sécurité pour minimiser les risques liés aux données sensibles.
  • Il existe de nombreux cadres et normes de conformité pour aider les organisations à mettre en place des pratiques de cybersécurité robustes, notamment le NIST Cybersecurity Framework, le RGPD, la loi HIPAA et la norme PCI DSS.
  • Le NIST Cybersecurity Framework est un ensemble de lignes directrices pour atténuer les risques de cybersécurité d’une organisation, publié par le National Institute of Standards and Technology, dont les principaux composants sont « Core », « Profile » et « Tiers ».

La croissance exponentielle de la cybercriminalité pousse les gouvernements, les entreprises et les organisations à se concentrer sur la conformité et les réglementations en la matière. Le NIST Cybersecurity Framework est l’un des cadres largement reconnus, dont les principaux composants sont « Core », « Profile » et « Tiers ».

Conformité en cybersécurité

La conformité en matière de cybersécurité consiste à respecter les normes et les exigences légales établies par les entités, les lois ou les organismes de réglementation. Les entreprises qui traitent des actifs numériques doivent mettre en œuvre des contrôles et des pratiques de sécurité pour minimiser les risques liés aux données sensibles.

L’augmentation exponentielle de la cybercriminalité entraîne souvent des violations massives de données ou des perturbations d’activité. Cela est devenu l’un des principaux moteurs de cette attention renouvelée portée à la conformité et aux réglementations en la matière.

De nombreux cadres et normes de conformité existent pour aider les organisations à établir des pratiques de cybersécurité robustes. Ces cadres offrent une approche structurée pour mettre en œuvre des contrôles de sécurité et répondre à des exigences de conformité spécifiques.

Parmi les cadres largement reconnus figurent le NIST Cybersecurity Framework, le Règlement général sur la protection des données (RGPD), la loi Health Insurance Portability and Accountability Act (HIPAA) et la norme Payment Card Industry Data Security Standard (PCI DSS).

À lire également: Comment l’IA générative peut-elle être utilisée en cybersécurité ?

Le cadre de cybersécurité du NIST

Le NIST Cybersecurity Framework est un ensemble de lignes directrices pour atténuer les risques de cybersécurité d’une organisation, publié par le National Institute of Standards and Technology (NIST) sur la base de normes, de recommandations et de pratiques existantes.

À lire également: Comment renforcer la cybersécurité après la violation de la base de données du tribunal de l’État australien ?

Le cadre, qui « fournit une taxonomie de haut niveau des résultats en matière de cybersécurité et des méthodes d’évaluation et de gestion de ces résultats », a été traduit dans plusieurs langues et est largement utilisé par les gouvernements, les entreprises et les organisations, en plus de fournir des conseils sur la protection de la vie privée et des libertés civiles dans le contexte de la cybersécurité.

La version 1.0 du cadre a été publiée en 2014 et était initialement destinée aux opérateurs d’infrastructures critiques. En 2017, une version préliminaire 1.1 du cadre a été publiée pour commentaires publics, puis officiellement rendue publique le 16 avril 2018. Le cadre est divisé en trois parties: « Core », « Profile » et « Tiers ».

1. Core du cadre

Le « Framework Core » contient un ensemble d’activités, de résultats et de références sur les aspects et les approches de la cybersécurité. Le NIST Cybersecurity Framework organise son matériau « core » en 5 « fonctions »: identifier, protéger, détecter, répondre et récupérer.

Ces fonctions sont subdivisées en un total de 23 « catégories ». Pour chaque catégorie, il définit plusieurs sous-catégories de résultats de cybersécurité et de contrôles de sécurité, avec 108 sous-catégories au total.

2. Profil du cadre

Un « profil du cadre » est une liste de résultats que l’organisation a choisis parmi les catégories et sous-catégories, en fonction de ses besoins et de ses évaluations des risques.

Une organisation commence généralement par utiliser le cadre pour élaborer un « profil actuel » qui décrit ses activités de cybersécurité et les résultats qu’elle atteint. Elle peut ensuite élaborer un « profil cible », ou adopter un profil de référence adapté à son secteur (par exemple, le secteur des infrastructures) ou à son type d’organisation, qui définit les étapes pour passer de son profil actuel à son profil cible.

3. Tiers de mise en œuvre du cadre

Les organisations utilisent la « couche de mise en œuvre du cadre » pour clarifier à elles-mêmes et à leurs partenaires comment elles perçoivent les risques de cybersécurité et la complexité de leur approche pour les gérer. Les Tiers reflètent un degré croissant d’expertise dans les pratiques de gestion des risques cybernétiques.

Le Tier 1 (Partiel) comprend les entreprises ayant des procédures de sécurité à la demande ou inexistantes.

La majorité des cadres dirigeants dans le Tier 2 (Informé des risques) sont désormais conscients des principales menaces auxquelles ils sont confrontés, notamment les logiciels malveillants, les attaques parrainées par des États et autres acteurs malveillants.

Le Tier 3 (Répétable) s’adresse aux entreprises disposant de pratiques de gestion des risques et de cybersécurité exemplaires ayant reçu l’approbation de la direction.

Le Tier 4 (Adaptatif) est le niveau le plus élevé et nécessite le plus de temps et d’argent à déployer, mais il est essentiel dans les secteurs fortement réglementés comme la banque, la santé et les infrastructures critiques.