La seconde version du cadre de cybersécurité « NIST » désormais disponible en français.

admin 23 mars 2022 339 Vues

Publié pour la première fois en 2014 par l’Institut National des Normes et de la Technologie (NIST) et sous la demande de la Maison Blanche, afin de définir « une approche priorisée, flexible, reproductible, basée sur les performances et rentable, y compris des mesures et des contrôles de sécurité de l’information qui peuvent être volontairement adoptés par les propriétaires et les opérateurs d’infrastructures critiques pour les aider à identifier, apprécier et gérer les cyber risques », le cadre de cybersécurité NIST est aujourd’hui largement utilisé comme cadre de référence par des organisations au delà des frontières Américaines. La seconde itération du cadre est désormais disponible en Français.

Le cadre reste efficace et soutient l’innovation technique car qu’il est technologiquement neutre, tout en faisant également référence à une variété de normes, lignes directrices et pratiques existantes qui évoluent avec la technologie. S’appuyant sur ces normes, lignes directrices et pratiques, le cadre fournit une taxonomie et un mécanisme communs permettant aux organisations de :

  • Décrire leur posture actuelle en matière de cybersécurité ;
  • Décrire leur état cible pour la cybersécurité ;
  • Identifier et prioriser les opportunités d’amélioration dans le contexte d’un processus continu et reproductible ;
  • Apprécier les progrès vers l’état cible ;
  • Communiquer entre les parties prenantes internes et externes sur les risques de cybersécurité.
BREF APERÇU DU CADRE NIST

Le cadre est une approche basée sur les risques pour la gestion des risques de cybersécurité et se compose de trois parties : le noyau du cadre , les niveaux de mise en œuvre du cadre et les profils du cadre. Chaque composant du cadre renforce le lien entre les moteurs métier/de mission et les activités de cybersécurité. Ces composants sont les suivants :

1) Noyau du cadre : Définition des résultats de cybersécurité souhaités organisés dans une hiérarchie et alignés sur des directives et des contrôles plus détaillés.

Les Fonctions organisent les activités de cybersécurité de base à leur plus haut niveau. Ces
fonctions sont Identifier, Protéger, Détecter, Répondre et Rétablir.
Les Catégories sont les subdivisions d’une fonction en groupes de résultats de cybersécurité
étroitement liés aux besoins programmatiques et à des activités particulières.
Les Sous-catégories divisent d’avantage une catégorie en résultats spécifiques d’activités
techniques et/ou de gestion.
Les Références informatives sont des sections spécifiques de normes, de lignes directrices
et de pratiques courantes parmi les secteurs d’infrastructures critiques qui illustrent une
méthode pour atteindre les résultats associés à chaque sous-catégorie.

2) Les niveaux de mise en œuvre du cadre : Alignement des exigences et des objectifs d’une organisation, de son appétit pour le risque et de ses ressources en utilisant les résultats souhaités du noyau du cadre. Ils sont déclinés en quatre niveaux suivant :

    • Niveau 1 : Partiel
    • Niveau 2 : Risque informé
    • Niveau 3 : Répétable
    • Niveau 4 : Adaptatif

3) Profiles du cadre : Le profil peut être caractérisé comme l’alignement des normes, lignes directrices et pratiques sur le noyau du cadre dans un scénario de mise en œuvre particulier. Les profils peuvent être utilisés pour identifier les opportunités d’amélioration de la posture de cybersécurité en comparant un profil « Actuel » (l’état « tel quel ») avec un profil « Cible » (l’état « à être »)

Coordination de la mise en œuvre du cadre

La cadre décrit un flux commun d’informations et de décisions au sein de d’une organisation subdivisé en trois niveaux suivants :

  • Niveau Exécutif : communiquer les priorités de la mission, les ressources disponibles et la tolérance globale au risque au niveau métier/processus;
  • Niveau Métier/Processus : Collaborer avec le niveau de mise en œuvre/opérations pour communiquer les besoins métier et créer un profil, sur la bases des extrants du niveau exécutif;
  • Niveau Mise en œuvre/Opérations : communiquer le progrès de mise en œuvre du profil au niveau métier/processus.
Flux d’informations notionnelles et de décisions au sein d’une organisation
CONCLUSION

Le cadre n’est pas une approche universelle de la gestion des risques de cybersécurité pour les infrastructures critiques, mais propose une approche cohérente et compatible avec de nombreux standards internationaux largement implémentés au sein des organisations. Sa mise en œuvre dans le cadre de l’élaboration et la mise en œuvre de programme de cybersécurité ne se supprime pas totalement les risques, mais contribuer grandement à les maitriser et prendre les meilleures décisions de traitement.

Télécharger la norme

Etiquettes

A propos de admin

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Développé et mis en ligne par Remetou Design
© Copyright 2026, Tous droits réservés