Barracuda full logo

Sécurisez votre entreprise grâce à des frameworks, des fonctions et des niveaux

Thèmes:
19 nov. 2024
|
Christine Barry

Certains gouvernements, dont celui des États-Unis, ont publié des lignes directrices sur la cybersécurité. Ces lignes directrices sont adaptables aux organisations de tous les types et de toutes les tailles. Pour mettre au point votre propre stratégie en matière de sécurité, l'une des meilleures ressources à votre disposition est le cadre de cybersécurité élaboré par l’Institut national des normes et de la technologie (NIST) des États-Unis. Le NIST est une agence du ministère américain du Commerce, et sa mission consiste à « promouvoir l’innovation aux États-Unis et la compétitivité industrielle du pays ». Pour en savoir plus sur l’objectif et les activités du NIST, suivez ce lien.

Le NIST a réalisé des travaux importants, notamment en publiant des documents-cadres. Ces publications sont destinées à servir de guides aux organisations sur la sécurité informatique et la gestion des risques. Elles couvrent de nombreux éléments.Les sujets abordés comprennent la gestion des risques, la protection de la vie privée, l'intelligence artificielle (IA) et les logiciels sécurisés. Dans cet article, nous examinons le cadre de cybersécurité du NIST et nous vous expliquons comment il peut vous être utile pour mieux protéger votre entreprise.

Le cadre de cybersécurité du NIST et ses fonctions

La version 1.0 du cadre de cybersécurité du NIST a été publiée en 2014. En 2018, une mise à jour a abouti à la sortie de la version 1.1. Quatre ans plus tard, le NIST a été amené à élaborer la version 2.0 du cadre.

 

 

Chronologie du développement du cadre de cybersécurité 2.0. Crédit : Kristina Rigopoulos

Chronologie du développement du cadre de cybersécurité 2.0. Crédit : Kristina Rigopoulos

 

L’élaboration d’un tel document comporte plusieurs étapes, l’une d’elles consistant à inviter le public à formuler des commentaires. C’est l’évolution constante de la cybersécurité et du paysage des menaces qui a nécessité la publication des nouvelles versions du cadre, car les lignes directrices du document ont dû être adaptées aux changements constatés sur le terrain.

Le cadre de cybersécurité du NIST décrit les meilleures pratiques en matière de sécurité informatique. Il a été écrit pour aider les entreprises à mieux se protéger, en tirant le meilleur parti possible de leur temps et de leur argent. Selon le NIST, ce document aide les entreprises à « mieux comprendre et mieux gérer leur sécurité informatique, réduire leurs risques dans ce domaine et mieux protéger leurs réseaux et leurs données ».Le NIST publie des cadres pour expliquer la démarche d’ensemble à adopter en vue de gérer et de réduire un ensemble de risques. Chaque cadre traite d’un domaine particulier et, pour la cybersécurité, la démarche décrite est basée sur six fonctions ou piliers, dont les définitions sont énoncées au sein du cadre qui fait l’objet de la présente discussion. En ce qui concerne les termes « pilier » et « fonction », ils sont souvent utilisés de manière interchangeable, le choix se portant sur un terme ou l’autre selon la source. Comme le NIST utilise le terme « fonction », c’est aussi celui que nous avons choisi pour cet article.

  1. La gouvernance : Cette fonction est apparue pour la première fois dans le cadre 2.0. Elle se rapporte à la gouvernance de la cybersécurité par les entreprises et à l’alignement de cette gouvernance sur les objectifs commerciaux d’une organisation. Elle fait appel à des éléments comme le contexte de chaque organisation, la gestion des risques liés aux chaînes d’approvisionnement en cybersécurité, les mécanismes de contrôle, etc. Les cinq piliers et objectifs des versions précédentes ont été conservés dans le cadre 2.0, mais la portée du nouveau document a été élargie par rapport aux versions précédentes. Les autres ajouts comprennent des lignes directrices sur l'intégration avec d'autres cadres, dont ceux concernant la protection de la vie privée et la gestion des risques.
  2. L’identification : Cette fonction permet de poser les bases d’une stratégie de sécurité complète, car elle repose sur le constat qu’il est impossible de protéger ce que l’on ne comprend pas suffisamment. Avant de pouvoir gérer le paysage de la cybersécurité et les risques auxquels une infrastructure est exposée, il est indispensable de comprendre ce que l’on doit gérer. La fonction d’identification est en rapport avec la gestion des ressources, l'analyse des marchés, la gouvernance, l'évaluation des risques et la stratégie de gestion de ces risques.
  3. La protection : Cette section du cadre aide les entreprises à comprendre comment déployer leurs défenses en vue de prévenir les incidents et de s’assurer que leurs activités essentielles pourront toujours être menées à bien. La fonction de protection englobe le contrôle des accès, les initiatives de sensibilisation et de formation, la sécurité des données, les procédures de protection des informations, la maintenance des systèmes et la technologie protectrice utilisée. Les mesures à prendre pour réduire les risques sont à baser sur ce que la fonction précédente aura permis d’établir.
  4. La détection : Cette fonction englobe tout ce qui permet aux entreprises de déceler et de caractériser les incidents en temps utile. Ces incidents peuvent être des fuites de données, des piratages, des pannes de système ou des apparitions de menaces internes en conséquence d’erreurs d’employés. La fonction de détection nécessite une surveillance continue de la sécurité et, pour pouvoir déceler les incidents qui se produisent, des processus doivent être mis en œuvre. De plus, la découverte des événements liés à la sécurité et des anomalies doit être rapide.
  5. La réponse : Il s’agit d’aider les entreprises à élaborer des plans d'action couvrant la réponse aux incidents, l'atténuation des effets produits et la continuité des opérations. Ici, l'accent est mis ici sur la maîtrise des situations d’attaque et la neutralisation des tentatives. Cette fonction englobe la planification des réponses, les communications, les analyses à mener et l’atténuation des effets des incidents. Les plans d'action concernés doivent être réévalués régulièrement. Ils devraient s'améliorer au fil du temps, au fur et à mesure que de nouvelles expériences et informations y sont intégrées.
  6. Le rétablissement : Cette fonction est à la fois réactive et proactive. Elle se rapporte généralement au rétablissement des opérations normales, à la garantie de la continuité des opérations ainsi qu’à l'application de correctifs, de mises à jour ou d’autres mesures de rectification en cas de problème. Son volet proactif se rapporte à l’analyse des incidents. Lorsque les circonstances le justifient, les enseignements tirés de ces incidents doivent être intégrés dans la stratégie de sécurité d’ensemble de l’organisation concernée. Il s’agit d’actions après-coup qui ne sont pas aussi urgentes que le rétablissement des systèmes, mais elles sont tout aussi importantes : les informations recueillies peuvent permettre aux entreprises de combler les lacunes dans leurs dispositifs de sécurité et de renforcer leurs capacités de résistance contre les attaques futures.

 

 

Illustration du NIST représentant les six fonctions du cadre de cybersécurité 2.0

Illustration du NIST représentant les six fonctions du cadre de cybersécurité 2.0

 

Les niveaux de mise en œuvre des fonctions du cadre

Chacune des fonctions du cadre comporte quatre niveaux de mise en œuvre, ces niveaux caractérisant les paliers qu'une organisation peut atteindre en appliquant les six fonctions. Ces niveaux permettent aux entreprises de mieux évaluer leurs pratiques en matière de cybersécurité et de se fixer des objectifs d'amélioration. La stipulation de ces niveaux a également répondu à l'un des principaux objectifs du NIST, qui est de permettre à des organisations et à des industries diverses de parler un langage commun lorsqu’il s’agit de normes et d’évaluation. Plus précisément, les niveaux associés à chacune des fonctions du cadre peuvent être utiles pour les communications des entreprises, que ce soit envers leurs parties prenantes ou tout autre interlocuteur : ces niveaux apportent une rigueur renforcée aux déclarations d’une entreprise sur le degré d’efficacité de sa posture de sécurité.

Voici un bref aperçu des quatre niveaux de chacune des six fonctions :

  • Niveau 1 : Des mesures de portée partielle sont prises au cas par cas. Les risques informatiques sont peu compris et leur gestion est rudimentaire. Des contrôles sont effectués et des procédés de gouvernance sont mis en œuvre, mais leur portée est limitée. L’entreprise a toutefois commencé à prendre conscience des risques liés à sa sécurité.
  • Niveau 2 : L’entreprise se livre à des pratiques et à des contrôles qui tiennent compte des risques existants, mais la démarche suivie est peu cohérente. Une entreprise à ce niveau a une meilleure conscience des risques qu’elle encourt et accorde une plus grande attention à sa sécurité. Le degré de collaboration entre les services varie au sein de l’entreprise, mais les pratiques de gestion des risques sont agréées par la direction.
  • Niveau 3 : Des processus reproductibles et explicites sont mis en œuvre, avec des contrôles standardisés réalisés et gérés. L'entreprise dispose de politiques formelles en matière de cybersécurité. Elles sont régulièrement réévaluées et mises à jour pour tenir compte de l'évolution des menaces. Les communications sur la cybersécurité et sur la gestion des risques manquent de cohérence.
  • Niveau 4 : Des pratiques de sécurité adaptables aux situations et hautement intégrées sont mises en œuvre dans toute l’entreprise. Ces pratiques sont continuellement améliorées grâce à un système de recueil et de prise en compte de renseignements. Une entreprise à ce niveau possède une culture de sensibilisation à la sécurité et encourage une démarche proactive et collaborative pour la gestion des risques.

Pour illustrer les différences entre ces niveaux, expliquons quelles sont les technologies de sécurisation des messageries qui pourraient correspondre à chaque niveau :

  • Niveau 1 : dispositif élémentaire de filtrage contre les courriers indésirables ; les utilisateurs sont protégés contre les messages dont le caractère indésirable est évident.
  • Niveau 2 : outils anti-hameçonnage qui détectent les menaces plus sophistiquées dans les e-mails.
  • Niveau 3 : passerelle de messagerie sécurisée qui protège totalement les e-mails.
  • Niveau 4 : dispositifs de pointe recourant à l’intelligence artificielle (IA) ; la protection s’étend aux menaces sophistiquées et émergentes.

Cet exemple simple montre l’amélioration des dispositifs et des services de sécurité d’un niveau à l’autre. Les organisations au niveau 4 sont celles qui abordent la cybersécurité de la manière la plus dynamique et la plus adaptable de toutes. Ce sont également celles dans lesquelles les équipes de direction sont les plus impliquées.

CSF Tier 4 et Barracuda Managed XDR

Souhaiteriez-vous progresser jusqu’au niveau 4 dans chacune des six fonctions du cadre de cybersécurité 2.0 ? Si c’est le cas, le service de XDR géré de Barracuda pourrait vous être utile. Cette solution est économique et évolutive. Il s'agit d'un service de détection et de réponse étendues, pour lequel nous offrons de multiples options de couverture et de visibilité. Les prestations fournies comprennent l’usage de notre centre d'opérations de sécurité (SOC), qui est composé d’experts en sécurité et qui fonctionne 24 heures sur 24 et 7 jours sur 7. Le tableau ci-dessous montre l’alignement entre le service de XDR géré de Barracuda et le niveau 4 (adaptatif) du cadre de cybersécurité 2.0 du NIST.

Fonction du cadre de cybersécurité 2.0 du NIST

Capacités de niveau 4 (niveau adaptatif) du système de XDR géré de Barracuda

Gouvernance

- Offre une visibilité centralisée sur plusieurs surfaces d'attaque via le tableau de bord XDR

– Permet d’élaborer des rapports personnalisables pour démontrer la valeur du service fourni et la conformité avec la réglementation.

– Fonctionne conjointement avec plus de 40 sources de données pour assurer une détection des menaces et une gouvernance globales.

Identifier

– Gère les attaques par un dispositif télémétrique centralisé et corrélé qui s’étend à la totalité des éléments couverts, dont les points de terminaison, serveurs, réseaux, services de cloud et comptes de messagerie.

– Recueille des données sur les ressources couvertes, afin d’obtenir une perspective et un contexte d’ensemble.

– Assure une surveillance continue et effectue régulièrement des analyses, afin de maintenir l'intégrité des réseaux et leur conformité avec la réglementation.

Protéger

– Met en œuvre une stratégie de défense multicouche en profondeur sur un grand nombre de couches de sécurité.

– S'intègre à une diversité de dispositifs de sécurité pour assurer une protection centralisée des principales surfaces d'attaque.

– Dispose de fonctionnalités de protection sophistiquées, par exemple pour le contrôle des accès et la sécurisation des terminaux.

Détection

– Assure une surveillance en temps réel des menaces, effectuée par les équipes spécialisées d’un centre d’opérations de sécurité fonctionnant 24 h sur 24 et 7 j sur 7.

– Dispose d’un moteur d'analyses alimenté par l'IA pour détecter les menaces sophistiquées.

– Établit la correspondance entre les détections accomplies par ses systèmes brevetés et la base de connaissances MITRE ATT&CK.

– Assure une surveillance visant à déceler les menaces sophistiquées, comme le piratage de comptes et les logiciels rançonneurs.

Agir

– Atténue automatiquement les effets des menaces et applique des instructions prescriptives pour rectifier les problèmes.

– Offre un accès direct à l'équipe du centre d’opérations de sécurité de Barracuda, avec des réponses immédiates.

– Dispose de capacités d’orchestration, d'automatisation et de réponse (SOAR) pour la sécurité.

– Réagit rapidement aux incidents, avec des temps de résolution de quelques heures plutôt que plusieurs semaines.

Récupérer

– Permet de mettre en œuvre des plans de sauvegarde et de récupération robustes.

– Facilite l'amélioration continue des processus sur la base des enseignements tirés d’événements.

– Fournit des conseils sur le respect des obligations de conformité et d’assurance pour les systèmes informatiques.

– Permet de rétablir rapidement les services après un incident.

Sources : cadre de cybersécurité 2.0 du NIST et service de XDR géré de Barracuda

Si vous souhaitez en savoir plus sur le service de XDR géré de Barracuda, vous pouvez visiter le site web de Barracuda pour y télécharger notre nouveau livre numérique ou y demander une démonstration. Vous pouvez également visionner ces webinaires, qui sont gratuits et à la demande :

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.