Cela fait dix ans que le National Institute of Standards and Technology (NIST) a présenté son Cybersecurity Framework (CSF) 1.0. Créé à la suite d’un décret exécutif de 2013, le NIST a été chargé de concevoir un cadre de cybersécurité volontaire qui aiderait les organisations à gérer les cyber-risques, en fournissant des conseils basés sur des normes et des meilleures pratiques établies. Alors que cette version était à l’origine conçue pour les infrastructures critiques, la version 1.1 de 2018 a été conçue pour toute organisation cherchant à gérer les risques de cybersécurité.
Le CSF est un outil précieux pour les organisations qui cherchent à évaluer et à améliorer leur posture de sécurité. Le cadre aide les acteurs de la sécurité à comprendre et à évaluer leurs mesures de sécurité actuelles, à organiser et à hiérarchiser les actions pour gérer les risques et à améliorer la communication au sein et à l’extérieur des organisations en utilisant un langage commun. Il s’agit d’un ensemble complet de directives, de bonnes pratiques et de recommandations, divisées en cinq fonctions principales : identifier, protéger, détecter, répondre et récupérer. Chaque fonction comprend plusieurs catégories et sous-catégories, notamment :
- Identifier – Comprendre quels actifs doivent être sécurisés.
- Protéger – Mettre en œuvre des mesures pour garantir que les actifs sont correctement et adéquatement sécurisés.
- Détecter – Mettre en place des mécanismes de détection d’attaques ou de faiblesses.
- Répondre – Élaborer des plans détaillés pour informer les personnes affectées par les violations de données, les événements récents susceptibles de compromettre les données et tester régulièrement les plans de réponse, afin de minimiser l’impact des attaques.
- Récupérer – Établir des processus pour être à nouveau opérationnel après une attaque.
(Vous voulez en savoir plus sur les 5 étapes de CSF 1.1 ? Téléchargez notre Liste de contrôle NIST CSF ici!)
Modifications apportées à CSF 2.0, avec un accent sur l’amélioration continue
En février 2024, le NIST a publié LCR 2.0. L’objectif de cette nouvelle version est d’aider le CCSF à devenir plus adaptable et donc à être largement adopté par un plus large éventail d’organisations. Toute organisation souhaitant adopter le CSF pour la première fois doit utiliser cette nouvelle version et les organisations qui l’utilisent déjà peuvent continuer à le faire, mais en gardant en tête l’adoption de la version 2.0 à l’avenir.
La version 2.0 apporte quelques changements ; entre autres avancées, elle ajoute « Gouverner » comme première étape, car, selon ISC.2.org, « le volet gouvernance du CSF souligne que la cybersécurité est une source majeure de risque d’entreprise que les hauts dirigeants doivent prendre en compte au même titre que d’autres facteurs tels que les finances et la réputation. Les objectifs sont d’intégrer la cybersécurité à une gestion plus large des risques d’entreprise, aux rôles et responsabilités, à la politique et à la surveillance des organisations, ainsi que de mieux soutenir la communication des risques de cybersécurité aux dirigeants. »
Elle a également une portée élargie, elle est plus claire et plus conviviale et, surtout (du moins pour les besoins de cet article), elle se concentre fortement sur les menaces émergentes et se concentre sur une approche continue et proactive de la cybersécurité via la nouvelle catégorie d’amélioration ajoutée dans la fonction d’identification. Adopter une approche continue signifie que les organisations sont encouragées à évaluer, réévaluer, puis mettre à jour régulièrement leurs pratiques de cybersécurité. Cela signifie que les organisations peuvent réagir plus rapidement et avec une meilleure précision aux événements pour réduire l’impact.
LCR et CTEM – Mieux ensemble
Il existe aujourd’hui de nombreux cadres et outils pratiques conçus pour fonctionner dans le cadre des paramètres des lignes directrices de haut niveau du CSF. Par exemple, Gestion continue de l’exposition aux menaces (CTEM) est très complémentaire du CSF. Publié en 2022 par Gartner, le cadre CTEM constitue un changement majeur dans la manière dont les organisations gèrent l’exposition aux menaces. Alors que le CSF fournit un cadre de haut niveau pour identifier, évaluer et gérer les cyber-risques, risquesLe CTEM se concentre sur le suivi et l’évaluation continus de menaces à la posture de sécurité de l’organisation – les menaces mêmes qui constituent le risque lui-même.
Les fonctions principales de CSF s’alignent bien avec l’approche CTEM, qui consiste à identifier et à hiérarchiser les menaces, à évaluer la vulnérabilité de l’organisation à ces menaces et à surveiller en permanence les signes de compromission. L’adoption de CTEM permet aux responsables de la cybersécurité de faire évoluer considérablement la conformité NIST CSF de leur organisation.
Avant le CTEM, les évaluations périodiques de vulnérabilité et les tests de pénétration visant à détecter et à corriger les vulnérabilités étaient considérés comme la référence absolue en matière de gestion de l’exposition aux menaces. Le problème était, bien sûr, que ces méthodes n’offraient qu’un aperçu instantané de la posture de sécurité, qui était souvent obsolète avant même d’avoir été analysée.
Le CTEM est venu changer tout cela. Le programme décrit comment obtenir des informations continues sur la surface d’attaque organisationnelle, en identifiant et en atténuant de manière proactive les vulnérabilités et les expositions avant Les attaquants les exploitent. Pour y parvenir, les programmes CTEM intègrent des technologies avancées telles que l’évaluation de l’exposition, la validation de sécurité, la validation automatisée de sécurité, la gestion de la surface d’attaque et la priorisation des risques. Cela correspond parfaitement à la norme NIST CSF 1.1 et offre des avantages tangibles dans les cinq fonctions principales du CSF :
- Identifier – Le CTEM exige que les organisations identifient et inventorient rigoureusement les actifs, les systèmes et les données. Cela révèle souvent des actifs inconnus ou oubliés qui présentent des risques de sécurité. Cette visibilité accrue est essentielle pour établir une base solide pour la gestion de la cybersécurité, comme indiqué dans la fonction d’identification du CSF du NIST.
- Protéger – Les programmes CTEM identifient de manière proactive les vulnérabilités et les erreurs de configuration avant qu’elles ne puissent être exploitées. CTEM hiérarchise les risques en fonction de leur impact potentiel réel et de leur probabilité d’exploitation. Cela aide les organisations à traiter en premier les vulnérabilités les plus critiques. De plus, la modélisation du chemin d’attaque dictée par CTEM aide les organisations à réduire le risque de compromission. Tout cela a un impact considérable sur la fonction Protect du programme CSF.
- Détecter – CTEM nécessite une surveillance continue de la surface d’attaque externe, ce qui a un impact sur la fonction de détection de CSF en fournissant des alertes précoces sur les menaces potentielles. En identifiant les changements dans la surface d’attaque, tels que de nouvelles vulnérabilités ou des services exposés, CTEM aide les organisations à détecter et à répondre rapidement aux attaques potentielles avant ils causent des dégâts.
- Répondre – Lorsqu’un incident de sécurité se produit, les dispositions de priorisation des risques du CTEM aident les organisations à hiérarchiser les interventions, en veillant à ce que les incidents les plus critiques soient traités en premier. De plus, la modélisation du chemin d’attaque imposée par le CTEM aide les organisations à comprendre comment les attaquants ont pu accéder à leurs systèmes. Cela a un impact sur la fonction CSF Respond en permettant aux organisations de prendre des mesures ciblées pour contenir et éradiquer la menace.
- Récupérer – La surveillance continue et la priorisation des risques de CTEM jouent un rôle crucial dans la fonction de récupération du CSF. CTEM permet aux organisations d’identifier et de traiter rapidement les vulnérabilités, ce qui minimise l’impact des incidents de sécurité et accélère la récupération. De plus, la modélisation du chemin d’attaque aide les organisations à identifier et à traiter les faiblesses de leurs processus de récupération.
L’essentiel
Le cadre de cybersécurité du NIST (CSF) et le programme de gestion continue des menaces (CTEM) sont de véritables frères d’armes, travaillant ensemble pour défendre les organisations contre les cybermenaces. Le CSF fournit une feuille de route complète pour la gestion des risques de cybersécurité, tandis que le CTEM propose une approche dynamique et basée sur les données pour la détection et l’atténuation des menaces.
L’alignement CSF-CTEM est particulièrement évident dans la façon dont l’accent mis par CTEM sur la surveillance continue et l’évaluation des menaces s’harmonise parfaitement avec les fonctions principales de CSF. Adopter le CTEMles organisations améliorent considérablement leur conformité avec CSF – tout en obtenant des informations précieuses sur leur surface d’attaque et en atténuant de manière proactive les vulnérabilités.