Le National Institute of Standards and Technology (NIST) a créé son premier Cybersecurity Framework (CSF) en 2014 pour aider les opérateurs d’infrastructures critiques (barrages, centrales électriques, etc.) à renforcer leurs cyberdéfenses par l’application d’un ensemble de normes volontaires. 

Mais en dix ans, le paysage de la cybersécurité a beaucoup évolué. En mars 2024, le NIST a donc publié son Cybersecurity Framework 2.0, un nouvel ensemble de recommandations sur les mesures et contrôles de cybersécurité à mettre en place dans les entreprises de tous horizons.

Cette version 2.0 a en effet été étoffée pour couvrir les risques de cybersécurité qui planent sur tous les types d’entreprises et de supply chains. Le nouveau framework entend ainsi répondre à la mutation incessante des menaces, qui ciblent aujourd’hui les structures de toutes tailles, dans toutes les branches d’activité.

Il s’agit d’une évolution majeure, qui fait écho à l’omniprésence des cybermenaces et au danger qu’elles font peser sur tous les pans de l’économie. De fait, toutes les organisations ont intérêt à se conformer aux nouvelles exigences du NIST CSF 2.0, car elles valident l’idée fondamentale selon laquelle tout le monde doit prendre la cybersécurité très au sérieux.

La conformité au NIST CSF 2.0 est obligatoire dans certains secteurs, mais facultative dans d’autres. Or, cette base du volontariat conduit certaines entreprises à faire l’impasse sur les mesures recommandées. Pourtant, devant l’intensification actuelle des menaces, une telle approche pourrait leur coûter cher. 

Pourquoi adopter le NIST CSF 2.0 ?

Le NIST CSF 2.0 propose une approche flexible, basée sur les risques, qui s’inscrit dans le prolongement des processus de gestion déjà en place dans les entreprises. 

Son implémentation permet aux entreprises d’identifier les axes d’amélioration dans leur stratégie de cybersécurité. Objectif : les aider à évaluer leurs pratiques actuelles, à établir des objectifs, à créer un plan d’amélioration et à mesurer les progrès réalisés par rapport aux objectifs fixés.

Ce nouveau framework du NIST simplifie également la mise en œuvre de pratiques de sécurité parfaitement cadrées sur les besoins, les vulnérabilités et les ressources spécifiques à chaque entreprise. En harmonisant différentes normes, directives et réglementations, il offre un point de référence centralisé pour la définition et l’implémentation de mesures de cybersécurité.

Conformité NIST : les avantages

L’implémentation du NIST CSF 2.0 offre plusieurs avantages :

  • Meilleure gestion du risque : le framework aide les organisations à mieux comprendre, gérer et réduire les risques de cybersécurité.

  • Conformité réglementaire : la mise en œuvre du NIST CSF 2.0 permet de se conformer à différentes normes sectorielles et autres réglementations de cybersécurité.

  • Avantage concurrentiel : une posture de cybersécurité robuste, alignée sur le NIST CSF 2.0, renforce la confiance des clients et la compétitivité des entreprises.

  • Économies : l’amélioration des pratiques de cybersécurité aide à prévenir et à neutraliser les cyberincidents, et donc à réduire les coûts.

Nouveautés du NIST CSF 2.0

Le NIST Cybersecurity Framework 2.0 apporte plusieurs modifications importantes pour aider les entreprises, les acteurs publics et autres organisations à mieux gérer les risques cyber. Il inclut notamment une nouvelle taxonomie des grands enjeux de cybersécurité, qui a été retravaillée pour pouvoir être appliquée de façon plus universelle. Cela se traduit par une approche plus flexible, dont les entreprises de toutes tailles et de tous secteurs, quelle que soit la maturité de leurs défenses, peuvent se saisir pour mieux cerner, évaluer, prioriser et communiquer leurs actions en matière de cybersécurité.

Le framework central du NIST CSF 2.0 a été élargi pour répondre aux menaces et aux technologies émergentes. Il intègre des niveaux d’implémentation plus granulaires, qui offrent davantage de nuances dans l’accompagnement des entreprises vers une cybersécurité plus mature. Il comprend aussi des profils améliorés, qui permettent de personnaliser l’application du framework en fonction des besoins et des objectifs spécifiques des organisations. Le CSF 2.0 tient également compte des nombreux retours d’expérience des différentes parties prenantes pour assurer sa pertinence et son efficacité face à l’évolution des menaces.

Le NIST CSF 2.0 comporte désormais des outils, des guides et d’autres ressources complémentaires pour faciliter son adoption et son application dans divers environnements opérationnels. Ces supports d’information reflètent une volonté globale d’améliorer l’accessibilité du framework à différents publics, et de faciliter son utilisation en mettant l’accent sur l’inclusivité et l’adaptabilité des pratiques de cybersécurité.

En résumé, le CSF 2.0 s’appuie sur les bases solides de son prédécesseur pour en élargir le champ d’action. Il s’inscrit dans une démarche à la fois flexible et structurée de la gestion des risques de cybersécurité, capable de s’adapter aux exigences des différentes entreprises. En rendant son framework plus universel et plus accessible grâce à des ressources pratiques, le NIST souhaite donner aux organisations toutes les clés pour mieux lutter contre des menaces de plus en plus dynamiques.

Comparaison avec la directive NIS 2 de l’Union européenne

La directive NIS 2 (Network and Information Security 2) de l’Union européenne vise à renforcer la résilience des États membres en matière de cybersécurité. Bien qu’il s’agisse d’une directive réglementaire, la NIS 2 partage de nombreux points communs avec le NIST CSF 2.0, notamment la promotion des bonnes pratiques et une approche de la cybersécurité basée sur les risques.

Toutefois, là où le NIST CSF 2.0 fonctionne sur la base du volontariat, la directive NIS 2 impose quant à elle des exigences et des mesures de cybersécurité spécifiques aux entreprises implantées dans l’UE. Ainsi, les organisations qui opèrent en Europe et aux États-Unis peuvent être tenues de respecter à la fois le NIST CSF 2.0 et la directive NIS 2.

Composantes du NIST Cybersecurity Framework

Le NIST Cybersecurity Framework 2.0 repose sur trois piliers : le framework central, les niveaux d’implémentation et les profils. Chacun joue un rôle essentiel pour aider les entreprises à développer une posture de cybersécurité robuste, adaptée à leurs défis et exigences spécifiques.

Framework central

Le framework central forme la clé de voûte du NIST CSF. Il rassemble des activités, des objectifs et des références informatives en lien avec la cybersécurité. Pensé pour s’appliquer à tous les secteurs d’activité, le framework central fournit un langage et une méthodologie standardisés pour gérer et réduire les risques de cybersécurité. Il s’articule autour de cinq domaines fonctionnels : 

  • Identification : permet de dresser un bilan initial des risques de cybersécurité qui planent sur les systèmes, les utilisateurs, les ressources, les données et les capacités de l’entreprise.

  • Protection : mise en place de protections garantes de la continuité des services critiques de l’entreprise et de sa protection face aux menaces de cybersécurité.

  • Détection : mise en œuvre d’activités appropriées pour identifier les événements de cybersécurité.

  • Réponse : déclenchement d’actions de remédiation en cas de détection d’un incident de cybersécurité.

  • Reprise : implémentation des mesures prévues dans les plans de résilience pour rétablir les capacités opérationnelles ou les services impactés par un incident de cybersécurité.

Ces domaines couvrent l’éventail complet des besoins des entreprises : compréhension de l’environnement digital, protection de l’infrastructure, détection des anomalies, réponse aux incidents et reprise des activités. Le framework central établit ainsi une trame détaillée autour de laquelle les entreprises peuvent définir une stratégie de cybersécurité complète et adaptable.

Niveaux d’implémentation

Les niveaux d’implémentation aident les entreprises à évaluer leurs pratiques de cybersécurité actuelles et à les faire évoluer vers des objectifs définis. Ces niveaux – qui vont de 1 (partiel) à 4 (adaptatif) – reflètent une progression dans les pratiques de gestion des risques, d’une approche rudimentaire et réactive vers une démarche avancée et résolument proactive. 

Le niveau 1 indique que les pratiques de cybersécurité de l’entreprise n’ont pas été formalisées et qu’elles ne sont que partiellement intégrées à sa gestion des risques. À l’inverse, le niveau 4 est le signe de pratiques très évoluées, adossées à des processus temps réel d’amélioration continue pour mieux répondre aux cyber-risques. Ces niveaux d’implémentation aident à fiabiliser les décisions sur tous les tableaux : attribution des ressources, priorisation des actions de cybersécurité et amélioration des pratiques de gestion des risques.

Profils

Intégrés au NIST CSF, les profils sont des outils de personnalisation qui permettent aux organisations d’aligner leurs pratiques de cybersécurité sur leurs exigences, leur tolérance au risque et leurs objectifs spécifiques. 

Pour commencer, l’entreprise établit son profil "actuel", qui représente sa posture de cybersécurité de départ, puis définit un profil "cible", c’est-à-dire l’objectif qu’elle souhaite atteindre. La comparaison des deux permet d’identifier les écarts à combler et d’établir un plan d’action priorisé. Grâce à ces profils, les entreprises peuvent appliquer les recommandations générales du framework central, puis les adapter à leurs spécificités dans une démarche stratégique d’amélioration de la cyber-résilience.

Pour résumer, les trois composantes du NIST Cybersecurity Framework 2.0 fonctionnent en synergie pour fournir une approche flexible et évolutive de la cybersécurité. Le framework central offre un ensemble complet d’activités et d’objectifs à atteindre. Les niveaux d’implémentation aident les entreprises à évaluer leurs pratiques de cybersécurité et à dresser un plan d’évolution vers des méthodes plus matures. Enfin, les profils permettent de personnaliser l’application du framework pour répondre aux besoins spécifiques de l’entreprise et ainsi atteindre les objectifs d’implémentation du NIST CSF 2.0.

Créer un programme de gestion des cyber-risques aligné sur le NIST Cybersecurity Framework

Voici les étapes à suivre pour développer un programme de gestion des risques de cybersécurité parfaitement en phase avec les préconisations du NIST Cybersecurity Framework :

  1. Définition des priorités : alignez vos objectifs de cybersécurité sur les impératifs métiers et la stratégie de gestion des risques de l’entreprise.

  2. Évaluation des risques : identifiez et priorisez les risques de cybersécurité qui menacent les assets, les données et les opérations de l’entreprise.

  3. Création du profil « actuel » : dresser un bilan initial des pratiques de cybersécurité de l’entreprise au regard du framework central NIST.

  4. Création du profil « cible » : définissez vos objectifs de cybersécurité en termes de pratiques et de résultats à atteindre, selon la tolérance au risque et les priorités de l’entreprise.

  5. Mise en œuvre des plans d’action : élaborez et exécutez des plans visant à combler les écarts entre les profils actuel et cible, en suivant la trame du NIST Cybersecurity Framework.

  6. Amélioration continue : auditez régulièrement vos pratiques de cybersécurité, vos évaluations des risques et vos profils, puis adaptez-les à l’évolution des menaces et des besoins métiers.

NIST et Rubrik : un partenariat au service des bonnes pratiques de cybersécurité

Rubrik aide les entreprises à actionner les nouvelles recommandations de cybersécurité du NIST, notamment dans les domaines de la protection des données et de la cyber-résilience. Nos experts ont été sollicités pour évaluer et commenter les premières ébauches du framework 2.0, et notre feedback a été pris en compte dans la version finale.  

Nous pouvons vous aider à déterminer le périmètre d’une attaque et son impact en détaillant clairement les données touchées et leur emplacement. Nos rapports avancés aident les responsables IT et sécurité à fournir aux dirigeants tous les éléments indispensables pour informer les clients, le grand public, les pouvoirs administratifs et judiciaires, ainsi que les autorités de régulation. 

Le service Sensitive Data Discovery and Monitoring de Rubrik analyse les snapshots de sauvegarde et localise les données sensibles dans les fichiers et les applications. Quant à notre outil d’analyse des accès utilisateurs, il permet aux entreprises de savoir qui a accès aux données sensibles. Elles peuvent ainsi responsabiliser les data owners quant à l’adoption de bonnes pratiques de gestion des données. 

Rubrik assure des sauvegardes immuables, qui ne peuvent être modifiées ni par des ransomwares, ni par d’autres personnes non autorisées. Rubrik Cloud Vault propose des contrôles d’accès ainsi qu’un air-gap logique qui protège les données au repos. De son côté, Rubrik Secure Data Layer, partie intégrante de l’architecture Rubrik Zero Trust Data Security, prend en charge le contrôle avec chiffrement des données au repos, création de checksum et validation sur tout le cycle de vie des données. Secure Data Layer assure également la disponibilité continue des données via une conception autoréparatrice avec tolérance aux pannes.

Rubrik offre des solutions de protection des données d’entreprise qui répondent aux exigences de sauvegarde et de récupération même les plus intenses. Avec Orchestrated Application Recovery, Rubrik Security Cloud permet aux utilisateurs de créer et de tester des plans de reprise en amont. Les équipes IT peuvent ainsi regrouper plusieurs machines virtuelles liées entre elles au sein d’un même objet de récupération, de sorte que les opérations puissent être rétablies par ordre de priorité. L’équipe chargée de la restauration pourra ainsi connaître à l’avance les efforts et le temps nécessaires pour rétablir les fonctions métiers vitales.    

L’implémentation du NIST Cybersecurity Framework 2.0 aide les entreprises à renforcer leur posture de cybersécurité, à améliorer leurs pratiques de gestion des risques, et à mieux protéger leurs données et ressources critiques face à des menaces en perpétuelle mutation.