Le Framework de cybersécurité NIST a été initié en février 2013 par le NIST à la demande de la maison blanche afin d’améliorer la cybersécurité des organismes vitaux, le Framework fournit un langage commun pour la compréhension, la gestion et l’expression des risques cybersécurité que ce soit en interne ou en externe. C’est un outil pour identifier et prioriser les actions permettant de réduire les risques cybersécurité et fournit un alignement des politiques et des approches que ce soit métiers ou technologiques pour bien gérer ces risques.
Composants du Framework :
Framework Core
Le Framework Core fournit un ensemble d’activités pour atteindre des objectifs spécifiques en matière de cybersécurité et fait référence à un ensemble de guides de bonnes pratiques (ISO/IEC 27001 : 2013, NIST 800-53 Rev4…) pour atteindre ses objectifs.
Le Framework Core est décomposé en Fonctions, Catégories, Sous-catégories, référentiels.
Les Fonctions : Les cinq Fonctions du NIST permettent d’organiser les activités basiques de cybersécurité au plus haut niveau et sont les suivantes : identifier, protéger, détecter, répondre et rétablir. [Voir plus bas]
Les Catégories : Elles organisent les Fonctions en groupes d’objectifs cybersécurité étroitement liées à des activités particulières.
Les Sous-catégories : Elles divisent davantage les Catégories en des objectifs plus spécifiques liés à des activités techniques et/ou de gestion permettant de faciliter l’atteinte des objectifs définis au niveau de chaque Catégorie.
Les référentiels : Ils sont constitués de standards, de lignes directrices et de référentiels de bonnes pratiques qui permettent d’atteindre les objectifs associés à chaque Sous-catégorie.
Framework Implementation Tiers
Cette composante permet de s’assurer que la gestion des risques est déployée au sein de l’organisme et qu’elle est partagée avec les partenaires externes de l’organisme, avec une progression des niveaux allant du Partial (Tier 1), Risk Informed (Tier 2), Repeatable (Tier 3) vers le niveau le plus élevé Adaptive (Tier 4).
Le niveau le plus élevé (Tier 4) indique que le process de gestion de risque est implémenté au sein de l’organisme avec une amélioration continue et s’adapte afin de mieux répondre à un nouveau risque cyber sécurité, l’organisme partage sa vision de risque avec son écosystème pour améliorer la cyber défense avant qu’un événement de cybersécurité ne se produise.
Framework Profile
Le profil cybersécurité est le produit majeur du Framework. Il permet aux organisations d’établir une feuille de route pour réduire les risques de cybersécurité tout en s’alignant avec les objectifs de l’organisation et en prenant en considération les exigences légales et réglementaires ainsi que les meilleures pratiques de l’industrie. Il s’agit de l’alignement avec les préconisations du Framework en matière de Cybersécurité (activités, catégories et sous-catégories) à travers la définition du Profil Actuel (“as is” state), l’établissement d’un GAP Analysis, des priorités et des actions à entreprendre pour atteindre le Profil Cible (“to be” state), tenant compte notamment des exigences en matière de risques Cybersécurité identifiés.
Framework Profile
Le profil cybersécurité est le produit majeur du Framework. Il permet aux organisations d’établir une feuille de route pour réduire les risques de cybersécurité tout en s’alignant avec les objectifs de l’organisation et en prenant en considération les exigences légales et réglementaires ainsi que les meilleures pratiques de l’industrie. Il s’agit de l’alignement avec les préconisations du Framework en matière de Cybersécurité (activités, catégories et sous-catégories) à travers la définition du Profil Actuel (“as is” state), l’établissement d’un GAP Analysis, des priorités et des actions à entreprendre pour atteindre le Profil Cible (“to be” state), tenant compte notamment des exigences en matière de risques Cybersécurité identifiés.
Coordination de l’implémentation du Framework
La figure ci-dessous décrit un flux commun d’informations et de décisions au sein d’une organisation à plusieurs niveaux (niveau exécutif ; niveau métier/processus ; niveau implémentation/opérationnel) afin de mieux implémenter le Framework.