Le NIST devrait bientôt mettre à jour le cadre de référence pour la gestion de la cybersécurité

Le National Institute of Standards and Technology (NIST) américain a l’intention de mettre à jour le cadre de référence pour la gestion de la cybersécurité ou « CSF », qui n’est pas lié à une technologie spécifique, afin de préciser la marche à suivre pour répondre à davantage d’exigences.

Plus précisément, le CSF version 2.0 fournira des exemples supplémentaires de son application pour la réponse aux incidents et la récupération, la gestion des identités, la gouvernance et la gestion des risques de la chaîne logistique. En outre, le NIST prévoit de lier des exemples de profils du CSF à des normes ou à des cas d’utilisation spécifiques, qui concernent par exemple un environnement Zero Trust.  Cependant, aucune modification n’est nécessaire pour tenir compte des principes de l’architecture ZTA (Zero-Trust Architecture). Le NIST encourage toutefois les commentaires et les révisions pour s’assurer que c’est bien le cas.

Notons que le NIST prévoit de créer des modèles basiques pour l’implémentation des profils qu’il a définis (le but étant de rendre le cadre plus accessible à un large éventail d’entreprises, en plus de fournir davantage de conseils sur la mesure et l’évaluation des risques).

Enfin, le NIST prévoit de clarifier la relation entre le CSF et d’autres cadres de référence pour la gestion de la cybersécurité et de la confidentialité du NIST, notamment le Cadre de référence pour la gestion des risques, le Cadre de référence pour la gestion de la confidentialité, l’Initiative nationale pour la formation à la cybersécurité, et enfin le cadre de référence pour le développement de logiciels sécurisés.

Le CSF a été publié en 2013 et n’a depuis fait l’objet que d’une mise à jour mineure. Il est clair que de nouvelles directives sont nécessaires pour prouver sa pertinence aujourd’hui. Le paysage de la cybersécurité a considérablement changé au cours des dix dernières années, notamment avec l’essor des ransomwares, du cloud computing, du télétravail et, plus récemment, des attaques contre les chaînes logistiques logicielles. Au cours de cette période, le NIST a créé plusieurs cadres de référence pour tenir compte de ces aspects spécifiques de la cybersécurité. Aujourd’hui, une initiative de mise à jour du CSF visant à intégrer nombre de ces concepts est en cours.

Les entreprises déterminent l’utilité et l’intérêt du CSF en fonction de leur niveau de maturité dans le domaine de la cybersécurité. À minima, le CSF fournit un lexique normalisé pour décrire les fonctions et les processus de cybersécurité. Il permet également aux entreprises qui n’ont pas de connaissances approfondies en cybersécurité de disposer d’une liste de processus et de fonctions relativement faciles à suivre. En l’absence d’un tel cadre, les entreprises peuvent perdre du temps si elles ne sont pas sûres que les différentes équipes de sécurité parlent des mêmes concepts et utilisent les mêmes termes. C’est pourquoi le NIST encourage activement les suggestions qui pourraient mener à un élargissement du cadre. Avec des processus numériques qui dépassent souvent la sphère d’une seule entreprise, celles-ci pourraient en effet s’avérer inestimables.

Tout aussi important, ce cadre fournit un espace au sein duquel les professionnels de la cybersécurité peuvent enfin interagir. Dans une époque caractérisée par la transformation digitale, l’un des principaux problèmes auxquels les entreprises sont confrontées aujourd’hui est d’instaurer une culture de collaboration. Lorsque les équipes de cybersécurité se connaissent les unes les autres avant le déploiement de ces processus, il est beaucoup plus facile pour elles de se faire confiance.

Quel que soit le but recherché, les équipes de cybersécurité ont besoin de lignes de communication formelles et informelles pour améliorer la collaboration. Les gangs de cybercriminels sont plus organisés que jamais, et la seule façon de les combattre efficacement est de partager les informations. Le CSF n’est peut-être pas fait pour répondre à cette exigence, mais il pourrait bien servir à atteindre un objectif beaucoup plus vaste.