NIST Cybersecurity Framework 2.0 : 4 étapes pour démarrer

NIST Cybersecurity Framework 2.0 : 4 étapes pour démarrer

Horodatage: 1 mars 2024 3h11
NIST Cybersecurity Framework 2.0 : 4 étapes pour démarrer PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

L'Institut national américain des normes et de la technologie (NIST) a publié le dernière version de son très apprécié cadre de cybersécurité (CSF) cette semaine, laissant les entreprises réfléchir à la manière dont quelques modifications importantes apportées au document affectent leurs programmes de cybersécurité.

Entre la nouvelle fonction « gouverner » visant à intégrer une plus grande surveillance de la direction et du conseil d'administration en matière de cybersécurité, et l'expansion des meilleures pratiques au-delà de celles destinées aux secteurs critiques, les équipes de cybersécurité auront du pain sur la planche, déclare Richard Caralli, conseiller principal en cybersécurité chez Axio, une société de gestion des menaces informatiques et de technologies opérationnelles (OT).

« Dans de nombreux cas, cela signifiera que les organisations devront examiner attentivement les évaluations existantes, les lacunes identifiées et les activités de remédiation pour déterminer l'impact des changements apportés au cadre », dit-il, ajoutant que « de nouvelles lacunes dans les programmes apparaîtront, ce qui aurait pu auparavant se produire. n’ont pas été présents, notamment en ce qui concerne la gouvernance de la cybersécurité et la gestion des risques de la chaîne d’approvisionnement.

Le CSF original, mis à jour pour la dernière fois il y a 10 ans, visait à fournir des orientations en matière de cybersécurité aux industries essentielles à la sécurité nationale et économiqueL’ dernière version élargit considérablement cette vision pour créer un cadre pour toute organisation souhaitant améliorer sa maturité et sa posture en matière de cybersécurité. De plus, les partenaires et fournisseurs tiers constituent désormais un facteur important à prendre en compte dans le CSF 2.0.

Les organisations doivent examiner la cybersécurité plus systématiquement pour se conformer aux réglementations et mettre en œuvre les meilleures pratiques du document, a déclaré Katie Teitler-Santullo, stratège principale en cybersécurité chez Axonius, dans un communiqué.

« Rendre ces orientations exploitables devra être un effort autonome de la part des entreprises », a-t-elle déclaré. « Les conseils ne sont que des conseils, jusqu’à ce qu’ils deviennent une loi. Les organisations les plus performantes prendront sur elles d’évoluer vers une approche plus centrée sur l’entreprise face aux cyber-risques.

Voici quatre conseils pour opérationnaliser la dernière version du NIST Cybersecurity Framework.

1. Utilisez toutes les ressources du NIST

Le NIST CSF n'est pas simplement un document mais un ensemble de ressources que les entreprises peuvent utiliser pour appliquer le cadre à leur environnement et à leurs exigences spécifiques. Les profils organisationnels et communautaires, par exemple, fournissent la base permettant aux entreprises d’évaluer – ou de réévaluer – leurs exigences, leurs actifs et leurs contrôles en matière de cybersécurité. Pour faciliter le démarrage du processus, le NIST a également publié des guides QuickStart pour des segments industriels spécifiques, tels que les petites entreprises, et pour des fonctions spécifiques, telles que la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM). 

Les ressources du NIST peuvent aider les équipes à comprendre les changements, explique Nick Puetz, directeur général de Protiviti, une société de conseil informatique.

« Ces outils peuvent être très précieux et peuvent aider les entreprises de toutes tailles, mais ils sont particulièrement utiles pour les petites organisations », dit-il, ajoutant que les équipes doivent « s'assurer que votre équipe de direction – et même votre conseil d'administration – comprennent comment cela profitera à l'entreprise. programme [mais] pourrait créer des incohérences en matière de notation de maturité [ou] d’analyse comparative à court terme.

2. Discutez de l’impact de la fonction « gouverner » avec les dirigeants

Le NIST CSF 2.0 ajoute une toute nouvelle fonction principale : Gouverner. Cette nouvelle fonction témoigne du fait que l'approche organisationnelle globale de la cybersécurité doit correspondre à la stratégie de l'entreprise, mesurée par les opérations et gérée par les responsables de la sécurité, y compris le conseil d'administration.

Les équipes de sécurité doivent se tourner vers la découverte des actifs et la gestion des identités pour fournir une visibilité sur les composants critiques de l'activité d'une entreprise et sur la manière dont les travailleurs et les charges de travail interagissent avec ces actifs. Pour cette raison, la fonction Gouverner s’appuie fortement sur d’autres aspects du CSF, en particulier la fonction « Identifier ». Et plusieurs composants, tels que « l'environnement commercial » et la « stratégie de gestion des risques », seront déplacés de l'identité vers la gouvernance, explique Caralli d'Axio.

« Cette nouvelle fonction prend en charge l'évolution des exigences réglementaires, telles que les règles de la SEC [données en cas de violation], qui est entrée en vigueur en décembre 2023, est probablement un clin d’œil à la possibilité de mesures réglementaires supplémentaires à venir », dit-il. « Et cela met en évidence le rôle fiduciaire que joue le leadership dans le processus de gestion des risques de cybersécurité. »

3. Tenez compte de la sécurité de votre chaîne d'approvisionnement

Le risque lié à la chaîne d’approvisionnement gagne en importance dans le CSF 2.0. Les organisations peuvent généralement accepter le risque, l’éviter, tenter de l’atténuer, partager le risque ou transférer le problème à une autre organisation. Les fabricants modernes, par exemple, transfèrent généralement les cyber-risques à leurs acheteurs, ce qui signifie qu'une panne provoquée par une cyberattaque contre un fournisseur peut également affecter votre entreprise, explique Aloke Chakravarty, associé et coprésident des enquêtes, application gouvernementale, et groupe de pratique de protection des cols blancs du cabinet d'avocats Snell & Wilmer.

Les équipes de sécurité devraient créer un système pour évaluer la posture de cybersécurité des fournisseurs, identifier les faiblesses potentiellement exploitables et vérifier que le risque du fournisseur n'est pas transféré à ses acheteurs, explique Chakravarty. 

« La sécurité des fournisseurs étant désormais expressément mise en avant, de nombreux fournisseurs peuvent se présenter comme ayant des pratiques conformes, mais les entreprises feraient bien d'examiner et de tester ces déclarations », dit-il. "La recherche de rapports d'audit et de politiques supplémentaires concernant ces déclarations en matière de cybersécurité pourrait faire partie de ce marché en évolution."

4. Confirmez que vos fournisseurs prennent en charge CSF 2.0

Les services de conseil et les produits de gestion de la posture de cybersécurité, entre autres, devront probablement être réévalués et mis à jour pour prendre en charge le dernier CSF. Les outils traditionnels de gouvernance, de risque et de conformité (GRC), par exemple, devraient être réexaminés à la lumière de l'accent accru mis par le NIST sur la fonction de gouvernance, déclare Caralli d'Axio.

De plus, le CSF 2.0 exerce une pression supplémentaire sur les produits et services de gestion de la chaîne d'approvisionnement pour mieux identifier et contrôler leurs risques liés aux tiers, explique Caralli.

Il ajoute : « Il est probable que les outils et méthodes existants verront des opportunités dans les mises à jour du cadre pour améliorer leurs offres de produits et de services afin de mieux s'aligner sur l'ensemble de pratiques élargi. »

Horodatage:

Plus de Lecture sombre