NIST Cybersecurity Framework

Aperçu

Le NIST Cybersecurity Framework (CSF) est un cadre volontaire développé par le National Institute of Standards and Technology des États-Unis pour aider les organisations à gérer et réduire les risques de cybersécurité. Publiée pour la première fois en 2014, elle est devenue la norme de facto pour la gestion des risques de cybersécurité dans le monde entier, utilisée par les opérateurs d’infrastructures critiques et les entreprises de tous secteurs.

Le cadre fournit un langage commun entre les équipes techniques et la direction exécutive, traduisant les activités de cybersécurité en résultats commerciaux.

Fonctions principales

Le cadre est organisé autour de 5 fonctions principales (souvent appelées les « 5 C ») :

|| Fonction | Description | ||———-|————-| || Identifier | Comprendre le contexte organisationnel, les actifs et les risques de cybersécurité | || Protéger | Mettre en œuvre des mesures de protection pour assurer la livraison des services critiques | || Détecter | Développer et mettre en œuvre des activités pour identifier les événements de cybersécurité | || Répondre | Prendre des mesures concernant un incident de cybersécurité détecté | || Récupérer | Restaurer les capacités affectées par un incident de cybersécurité |

Chaque fonction contient des Catégories et des Sous-catégories qui fournissent des directives plus granulaires. Par exemple :

  • Identifier -> Gestion des actifs : Inventaire des appareils physiques, logiciels, données
  • Protéger -> Contrôle d’accès : Authentification, autorisation, chiffrement des données au repos
  • Répondre -> Gestion des incidents : Plan d’intervention, communications, analyse
  • Récupérer -> Planification de la reprise : Plan de reprise, améliorations, communications

Niveaux (Implémentation du profil)

Le cadre définit 4 niveaux pour décrire l’évolution des pratiques de gestion des risques de cybersécurité d’une organisation :

  • Niveau 1 : Partiel — Pratiques réactives et ad-hoc ; pas de politique formelle
  • Niveau 2 : Informé par les risques — Connaissance de la direction ; implémentation incohérente
  • Niveau 3 : Répétable — Politique formelle ; appliquée de manière cohérente ; direction impliquée
  • Niveau 4 : Adaptatif — Proactif ; agile ; amélioration continue ; leçons apprises intégrées

Profils

Les organisations créent des Profils pour décrire leur état actuel et cible :

  • Profil actuel — ce que l’organisation fait aujourd’hui
  • Profil cible — là où l’organisation souhaite aller
  • Analyse des écarts — la différence entre les deux, pilotant les priorités de remédiation

NIST CSF 2.0 (2024)

En février 2024, le NIST a publié CSF 2.0, ajoutant une sixième fonction :

  • Govern (GV) — Contexte organisationnel, stratégie, supervision de la gestion des risques, rôles et responsabilités, politique, surveillance

Cette addition reconnaît que la cybersécurité doit être pilotée par la direction exécutive, et non uniquement par les équipes techniques.

Relation avec d’autres cadres

  • ISO 27001 — Le NIST CSF mape aux contrôles de l’Annexe A d’ISO 27001 ; de nombreuses organisations utilisent les deux
  • CIS Controls — Le NIST CSF fournit le « quoi », les CIS Controls fournissent le « comment »
  • SOC 2 — Les principes de confiance SOC 2 s’alignent avec les fonctions du NIST CSF
  • technologies/security-frameworks/iso-27001.md — Norme ISO pour les systèmes de management de la sécurité de l’information

Références

  • NIST CSF 2.0 officiel
  • NIST SP 800-53 — Contrôles de sécurité et de confidentialité
  • compliance — Aperçu des cadres de conformité
  • risk management — Concepts de gestion des risques