Publié le 07/06/2024
NIST2 – mise à jour majeure du référentiel de la cybersecurité
Le National Institute of Standards and Technology (NIST) a récemment publié la version 2.0 de son référentiel de cybersécurité, marquant une évolution significative dans la gestion des risques et des défenses informatiques.
Ce référentiel, plus couramment appelé le Cybersecurity Framework (CSF), est LE document historique en matière de cyber aux Etats-Unis qui vise à réduire les risques de cybersécurité. Alors que la première version ciblait avant tout les entreprises travaillant sur des infrastructures critiques (hopitaux, centrales énergétiques…), tandis que la nouvelle mouture CSF 2.0 vise désormais à aider toutes les organisations.
Le CSF 2.0 est “une suite de ressources qui peuvent être personnalisées et utilisées individuellement ou en combinaison au fil du temps, à mesure que les besoins d’une organisation en matière de cybersécurité évoluent et que ses capacités évoluent”.
Le NIST a mis à jour les principales orientations du CSF et créé une suite de ressources pour aider toutes les organisations à atteindre leurs objectifs en matière de cybersécurité, en mettant davantage l’accent sur la gouvernance ainsi que sur les chaînes d’approvisionnement.
1. Réorganisation autour de six fonctions clés
La version 2.0 du Cybersecurity Framework du NIST réorganise son noyau autour de six fonctions principales : Identifier, Protéger, Détecter, Répondre, Rétablir et Gouverner. Cette restructuration vise à fournir une approche plus complète de la cybersécurité, en mettant l’accent sur la gouvernance organisationnelle et la gestion des risques.
Chacune de ces fonctions remplit un rôle spécifique dans le renforcement de la posture de sécurité des organisations :
- Identifier: Cette fonction consiste à comprendre les actifs, les données, les opérations et les parties prenantes d’une organisation, ainsi qu’à évaluer les risques potentiels.
- Protéger: Elle inclut les activités visant à mettre en place des mesures de sécurité pour protéger les actifs critiques et réduire la probabilité d’incident de sécurité.
- Détecter: Cette fonction se concentre sur la surveillance proactive des activités suspectes et des incidents de sécurité potentiels, afin de détecter les menaces le plus rapidement possible.
- Répondre: Elle englobe les mesures prises pour répondre aux incidents de sécurité dès qu’ils sont détectés, minimisant ainsi les dommages potentiels et rétablissant la normale opérationnelle.
- Rétablir: Cette fonction consiste à restaurer les services et les opérations après un incident de sécurité, en minimisant l’impact sur les activités de l’organisation et en rétablissant la confiance des parties prenantes.
- Gouverner: La nouvelle fonction “Gouverner” met l’accent sur la gouvernance organisationnelle en matière de cybersécurité, y compris la gestion des risques, la communication interne et la responsabilisation des parties prenantes.
Cette réorganisation offre aux organisations une structure plus claire et plus logique pour élaborer leurs stratégies de cybersécurité, en leur permettant de mieux comprendre et de prioriser leurs actions en fonction des objectifs de chaque fonction.
2. La nouvelle fonction “Gouverner”
L’ajout de la fonction “Gouverner” dans la version 2.0 du Cybersecurity Framework du NIST souligne l’importance croissante de la gouvernance organisationnelle en matière de cybersécurité.
Cette fonction met l’accent sur la gestion des risques, la communication interne et la responsabilisation des parties prenantes dans la prise de décisions liées à la cybersécurité. En intégrant la cybersécurité dans les processus décisionnels de l’organisation, la fonction “Gouverner” favorise une culture de la sécurité et assure une supervision adéquate des initiatives de cybersécurité.
3. Élargissement de la portée et de l’utilité
La version 2.0 élargit la portée et l’utilité du Cybersecurity Framework en incluant une gamme plus large d’organisations et d’industries.
Cette expansion permet aux petites et moyennes entreprises ainsi qu’aux secteurs autres que les technologies de l’information de bénéficier des avantages du cadre. En élargissant son public cible, le NIST rend le framework accessible à un plus grand nombre d’organisations, contribuant ainsi à renforcer la posture de cybersécurité dans l’ensemble du paysage technologique.
4. Clarté et facilité d’utilisation améliorées
La version 2.0 du Cybersecurity Framework du NIST se caractérise par une amélioration notable de sa clarté et de sa facilité d’utilisation.
Les guides de démarrage rapide et les exemples de réussite inclus dans cette version permettent aux organisations d’adopter et de mettre en œuvre le framework de manière plus efficace. De plus, la structure simplifiée et les directives plus précises facilitent la compréhension et la mise en pratique des principes de cybersécurité, même pour les utilisateurs moins expérimentés.
5. Adaptabilité aux évolutions du paysage cybernétique
Enfin, la version 2.0 du Cybersecurity Framework du NIST démontre une adaptabilité améliorée aux évolutions du paysage cybernétique.
Avec l’émergence de nouvelles menaces et technologies, le framework est conçu pour être flexible et évolutif, permettant aux organisations de s’adapter rapidement aux changements du secteur de la cybersécurité. Cette capacité d’adaptation garantit que le framework reste pertinent et efficace dans un environnement en constante évolution.
La publication de la version 2.0 du Cybersecurity Framework par le NIST représente une avancée significative dans le domaine de la cybersécurité. Cette mise à jour majeure témoigne de l’engagement continu du NIST à fournir des outils et des lignes directrices robustes pour renforcer la posture de sécurité des organisations face aux menaces numériques croissantes.
Pour en savoir plus à propos du référentiel de cybersécurité CSF.2, confusément appelé NIST2, vous rendez-vous sur le site du National Institute of Standards and Technology (NIST)
Pour consulter les références informatives du CSF.2, rendez-vous sur la page dédiée en cliquant ici
Pour en savoir plus à propos de la directive européenne de cybersécurité NIS.2, rendez-vous sur notre article : “Comprendre la directive nis2 et son impact en France“