top of page

Cadre de cybersécurité du NIST

Les fondements de la norme CAN/DGSI 104

Module de 5 minutes

NIST cybersecurity framework.png

Le cadre de cybersécurité du NIST : La base de la norme CAN/DGSI 104

​

Dans le monde interconnecté d'aujourd'hui, la cybersécurité est une priorité absolue pour les organisations de toutes tailles. Des petites start-ups aux multinationales, chaque entreprise doit protéger ses systèmes et ses données contre un large éventail de menaces. L'un des moyens les plus efficaces d'y parvenir est d'adopter des cadres de conformité réglementaire bien établis qui guident les organisations dans la construction de défenses de cybersécurité robustes. Parmi ces cadres, le cadre de cybersécurité (CSF) du National Institute of Standards and Technology (NIST) s'est imposé comme une norme de premier plan. Les réglementations CAN/DGSI 104 sont basées sur ce cadre et adaptées aux normes canadiennes pour les petites et moyennes entreprises (PME).

​

Ce module d'apprentissage se penche sur le cadre de cybersécurité du NIST, ses composantes et la façon dont il s'aligne sur les efforts de conformité réglementaire pour assurer une sécurité et une gestion des risques complètes. Bien que le NIST soit international, la norme CAN/DGSI 104 est canadienne et basée sur le cadre du NIST. En tant qu'entreprise canadienne, 123 Cyber utilise la norme CAN/DGSI 104 lors de la préparation des audits, mais il est également judicieux de comprendre le NIST, car il est l'ancêtre de la norme CAN/DGSI 104.

​

Qu'est-ce que le cadre de cybersécurité du NIST ?

Le cadre de cybersécurité du NIST a été introduit pour la première fois en 2014 en réponse au décret exécutif 13636, qui mettait l'accent sur l'amélioration de la sécurité des infrastructures critiques. Développé par le National Institute of Standards and Technology (NIST), ce cadre fournit des directives volontaires aux organisations pour gérer et réduire les risques de cybersécurité. Au fil des ans, il a été largement adopté dans divers secteurs, non seulement dans les infrastructures critiques, mais aussi dans la finance, la santé et d'autres secteurs.

​

La force du cadre réside dans sa flexibilité et son adaptabilité. Les organisations peuvent l'utiliser quelle que soit leur taille, leur secteur d'activité ou leur niveau de maturité en matière de cybersécurité. En s'alignant sur le cadre de cybersécurité du NIST, les entreprises peuvent établir un langage commun pour la cybersécurité et l'intégrer de manière transparente dans leur stratégie globale de gestion des risques.

​

Composantes principales du cadre de cybersécurité du NIST

Le CSF du NIST est construit autour de trois composantes clés :

  • Le noyau du cadre

  • Les niveaux de mise en Å“uvre

  • Les profils
     

  1. Noyau du cadre

Le noyau du cadre fournit un ensemble d'activités, de résultats et de références qui sont communs à tous les secteurs et sont conçus pour améliorer la cybersécurité. Il se compose de cinq fonctions principales :

  • Identifier : Développer une compréhension organisationnelle des risques de cybersécurité pour les systèmes, les actifs, les données et les capacités. Cela comprend la gestion des actifs, la gouvernance et l'évaluation des risques.

  • Protéger : Mettre en Å“uvre des mesures de protection pour assurer la prestation des services d'infrastructure critiques. Cela implique le contrôle d'accès, la formation de sensibilisation, la sécurité des données et la technologie de protection.

  • Détecter : Développer et mettre en Å“uvre des activités pour identifier rapidement les événements de cybersécurité. Cela comprend la surveillance continue et la détection des anomalies.

  • Répondre : Prendre des mesures concernant un événement de cybersécurité détecté pour minimiser son impact. Les activités ici comprennent la planification de la réponse aux incidents, l'atténuation et la communication.

  • Récupérer : Rétablir les capacités ou les services qui ont été altérés en raison d'un incident de cybersécurité. Cela implique la planification de la récupération et les améliorations basées sur les leçons apprises.

    2. Niveaux de mise en Å“uvre

Les niveaux de mise en œuvre aident les organisations à comprendre leur approche de la gestion des risques de cybersécurité. Il existe quatre niveaux :
 

  • Niveau 1 : Partiel : La gestion des risques est ponctuelle et non formalisée.

  • Niveau 2 : Informé des risques : Certains processus de gestion des risques sont en place, mais non normalisés.

  • Niveau 3 : Répétable : La gestion des risques est formellement établie et appliquée de manière cohérente.

  • Niveau 4 : Adaptatif : Les processus de gestion des risques s'améliorent continuellement et sont intégrés aux objectifs généraux de l'organisation.
     

Ces niveaux permettent aux organisations d'évaluer leur posture de cybersécurité actuelle et d'identifier les domaines à améliorer.
 

3. Profils

Les profils sont un alignement personnalisé du noyau du cadre avec les exigences organisationnelles, la tolérance au risque et les ressources. Un profil actuel décrit les pratiques de cybersécurité existantes de l'organisation, tandis qu'un profil cible définit les résultats souhaités. En comparant ces profils, les entreprises peuvent identifier les lacunes et hiérarchiser les actions.

​

Conformité réglementaire et cadre de cybersécurité du NIST

La conformité réglementaire joue un rôle essentiel dans la cybersécurité. De nombreux secteurs fonctionnent sous des réglementations strictes conçues pour protéger les informations sensibles, assurer la confidentialité et maintenir l'intégrité opérationnelle. Les exemples comprennent :
 

  • Petites et moyennes entreprises canadiennes : CAN/DGSI 104 est une norme de cybersécurité canadienne qui fournit des directives pour la mise en Å“uvre de contrôles de sécurité efficaces afin de protéger les systèmes numériques et les informations sensibles contre l'évolution des cybermenaces.

  • Santé : HIPAA (Health Insurance Portability and Accountability Act)

  • Finance : GLBA (Gramm-Leach-Bliley Act) et PCI DSS (Payment Card Industry Data Security Standard)

  • Gouvernement : FISMA (Federal Information Security Management Act)

  • Protection générale des données : RGPD (Règlement général sur la protection des données)
     

Le CSF du NIST comme pont vers la conformité

Le cadre de cybersécurité du NIST n'est pas une exigence réglementaire, mais il sert de pont efficace pour atteindre la conformité. Sa structure flexible permet aux organisations de mapper les fonctions, les catégories et les sous-catégories du cadre à des exigences réglementaires spécifiques.
 

Par exemple :

  • HIPAA : La fonction Protéger s'aligne étroitement sur les exigences de HIPAA en matière de protection de la confidentialité, de l'intégrité et de la disponibilité des informations de santé protégées électroniques (ePHI).

  • PCI DSS : La fonction Détecter soutient l'accent mis par PCI DSS sur la surveillance et les tests réguliers pour maintenir des systèmes sécurisés.

  • RGPD : Les fonctions Identifier et Protéger s'alignent sur l'accent mis par le RGPD sur la protection des données et la confidentialité dès la conception.
     

Rationalisation des efforts de conformité

L'utilisation du CSF du NIST peut rationaliser les efforts de conformité en fournissant un cadre unifié qui s'adapte à plusieurs exigences réglementaires. Les organisations peuvent :

  • Effectuer des analyses des écarts : Comparer leur profil actuel avec le profil cible et les exigences réglementaires pour identifier les lacunes.

  • Hiérarchiser les actions : Utiliser la prise de décision basée sur les risques pour concentrer les ressources sur les domaines de conformité les plus critiques.

  • Démontrer la diligence raisonnable : Documenter l'adhésion au CSF du NIST montre aux régulateurs et aux parties prenantes un engagement envers la cybersécurité.
     

Le cadre de cybersécurité NIST / CAN/DGSI 104

Le cadre de cybersécurité du NIST offre plusieurs avantages :

  • Posture de sécurité améliorée : L'approche globale du cadre garantit que les organisations abordent tous les aspects de la cybersécurité.

  • Approche basée sur les risques : Les entreprises peuvent hiérarchiser les activités de cybersécurité en fonction de leur paysage de risques unique.

  • Interopérabilité : Le cadre s'aligne sur d'autres normes, telles que ISO/IEC 27001, ce qui facilite la conformité mondiale pour les organisations multinationales.

  • Rentabilité : En concentrant les ressources sur les domaines hautement prioritaires, les organisations peuvent optimiser leurs investissements en cybersécurité.

  • Confiance des parties prenantes : Démontrer l'alignement avec le CSF du NIST renforce la confiance entre les clients, les partenaires et les régulateurs.

 

Mise en œuvre du cadre de cybersécurité NIST / CAN/DGSI 104

La mise en œuvre du CSF du NIST nécessite une planification et une exécution minutieuses. Voici les étapes clés :

  • Établir l'engagement de la direction : Obtenir l'adhésion de la haute direction pour assurer des ressources et un soutien adéquats.

  • Définir la portée : Identifier les systèmes, les actifs et les processus qui seront couverts par le cadre.

  • Effectuer une évaluation des risques : Évaluer les risques et les vulnérabilités de cybersécurité existants.

  • Élaborer un profil actuel : Documenter les pratiques de cybersécurité actuelles de l'organisation.

  • Définir un profil cible : Définir les résultats souhaités en fonction des objectifs commerciaux et des exigences réglementaires.

  • Créer un plan d'action : Identifier et hiérarchiser les initiatives visant à combler l'écart entre les profils actuel et cible.

  • Surveiller et améliorer : Évaluer continuellement les performances et affiner le cadre selon les besoins.
     

Conclusion

Le cadre de cybersécurité du NIST a été un outil indispensable pour la construction des normes CAN/DGSI 104 pour les organisations cherchant à renforcer leurs défenses de cybersécurité, tout en respectant les exigences de conformité réglementaire. Sa structure flexible et complète permet aux entreprises de naviguer avec confiance dans le paysage complexe des menaces et des réglementations en matière de cybersécurité.
 

En adoptant le CSF du NIST, si vous êtes en dehors du Canada, et les normes CAN/DGSI 104 si vous êtes au Canada, les organisations non seulement améliorent leur posture de sécurité, mais démontrent également un engagement proactif à protéger les données sensibles et à maintenir l'intégrité opérationnelle. Que vous soyez une petite entreprise ou une grande entreprise, le cadre de cybersécurité du NIST peut être votre feuille de route pour atteindre une cybersécurité et une conformité réglementaire robustes.
 

---

​

Cette série de formation est basée sur la NORME NATIONALE DU CANADA CAN/DGSI 104, les contrôles de cybersécurité de base pour les petites et moyennes organisations (généralement moins de 500 employés), les contrôles du Centre canadien pour la cybersécurité et le National Institute of Standards and Technology (NIST).

​

Ce tutoriel est un guide des meilleures pratiques, mais nous vous encourageons à consulter la politique de mots de passe de votre entreprise pour vous assurer que vous suivez les procédures de votre organisation.

​

---

​

Si vous souhaitez vous conformer à la norme CAN/DGSI 104 ou si vous souhaitez rejoindre notre programme d'affiliation :

 

​

bottom of page