Un outil pour consolider votre cyber-résilience
Au sein du monde numérique d’aujourd’hui, presque tous nos renseignements personnels et professionnels existent sous forme électronique. La plupart des entreprises dépendent beaucoup des technologies informatiques pour effectuer leurs transactions – qu’il s’agisse de glisser une carte de crédit, de passer des commandes à des fournisseurs, de produire des factures pour honoraires professionnels, de payer des comptes ou d’utiliser le courrier électronique pour partager des informations. Lorsque ces données tombent entre de mauvaises mains, les conséquences peuvent être dévastatrices.
Toutefois, tout comme les technologies peuvent être utilisées contre nous, elles peuvent également être un puissant outil pour protéger nos données professionnelles et personnelles. Il existe d’abondantes ressources disponibles pour aider à réduire ces risques, notamment la mise en œuvre d’un cadre de cybersécurité robuste. Un tel cadre est essentiel pour prévenir et intervenir face aux menaces internes et externes auxquelles les organisations sont confrontées par les technologies informatiques, protégeant ainsi non seulement leurs entreprises mais aussi leurs clients et leurs employés.
Dans l’infolettre suivante, nous explorerons ce qu’est un cadre de cybersécurité, les outils disponibles pour le mettre en œuvre et comment les entreprises peuvent utiliser efficacement ces outils pour identifier les risques, protéger leurs actifs, détecter les événements anormaux, réagir à ces événements et se remettre sur pieds après un cyber-incident qui affecte les activités normales des opérations affaires.
Qu’est qu’un cadre de cybersécurité?
Voici une définition adaptée du glossaire du National Institute of Standards and Technology (NIST) :
Un cadre de cybersécurité est une approche intégrale fondée sur les risques visant à réduire les risques de cybersécurité grâce à un ensemble structuré de lignes directrices et de pratiques exemplaires.
L’objectif principal de tout cadre de cybersécurité est de gérer les risques de cybersécurité parallèlement à d’autres risques commerciaux, notamment ceux reliés aux finances, à la confidentialité, à la chaîne d’approvisionnement, à la réputation, aux technologies et à la sécurité physique.
Il existe plusieurs cadres de cybersécurité tels que ISO 27001, SOC2 et la certification CyberSécuritaire Canada. Dans les pages suivantes de la présente infolettre, nous nous concentrerons exclusivement sur le Cadre de cybersécurité conçu par le NIST.
Qu’est-ce que le Cadre de cybersécurité du NIST?
Le National Institute of Standards and Technology (NIST) est une agence fédérale américaine non réglementaire qui effectue la promotion de l’innovation en faisant progresser la science des mesures, les normes et les technologies. Elle a produit le cadre de cybersécurité du NIST, défini comme un guide volontaire qui aide les organisations – quelle que soit leur taille, leur secteur d’activité ou leur maturité – à mieux comprendre, évaluer, hiérarchiser et communiquer leurs efforts en matière de cybersécurité. Le cadre n’est pas une approche universelle ou uniforme de la gestion des risques en cybersécurité. Ce supplément et le CSF 2.0 dans son intégralité peuvent aider les organisations à prendre en compte et à enregistrer leurs propres tolérances aux risques, priorités, cybermenaces, vulnérabilités, exigences, etc.
Le site Web officiel du NIST CSF propose une multitude de matériels gratuits pour vous aider à appliquer le cadre de cybersécurité. Vous y trouverez des modèles, des feuilles de calcul, des exemples, des vidéos et bien d’autres informations pour vous aider à démarrer votre parcours vers une gestion intelligente des risques. Étonnamment, le NIST a également publié une version française du guide d’introduction NIST CSF 2.0 – Guide de démarrage rapide pour les petites et moyennes entreprises (PME). Il convient de noter que ce document n’est qu’une introduction. Pour utiliser efficacement la norme, une bonne maîtrise de l’anglais est nécessaire afin de tirer pleinement partie des ressources mises à disposition par le NIST.
Dans cette infolettre, nous nous focaliserons sur la compréhension et l’application de la version mise à jour du NIST CSF 2.0 précisément pour les petites et moyennes entreprises (PME). Les tableaux, les figures et autres illustrations sont extraits de la documentation et certaines phrases du textes sont extraites de la documentation du NIST CSF 2.0.
Pourquoi devrais-je l’utiliser?
Dans les nouvelles médiatisées, nous entendons fréquemment parler des entreprises qui ont été compromises, ce qui provoque des perturbations considérables dans leurs activités, parfois pendant des heures, des jours, voire même des mois, en raison d’attaques de rançongiciels, de vols d’identité ou de pannes des services informatiques. Ces cyber-incidents illustrent la manière dont les cybercriminels exploitent les technologies informatiques pour affecter négativement nos vies.
Même si les médias mettent souvent en évidence les violations des données de grande envergure qui sont nuisibles aux entreprises, la vérité est que la cybercriminalité peut troubler tout le monde et non seulement les grandes entreprises. La cybercriminalité est devenue une réalité inévitable de notre existence quotidienne. De nos jours, les voleurs n’ont plus besoin de braquer physiquement des banques en portant des masques et en brandissant des armes. Au lieu de recourir à de telles agressions, ils exploitent les technologies informatiques à partir d’emplacements éloignés, souvent loin de leurs cibles. Dans de nombreux cas, ils peuvent simplement utiliser un téléphone pour escroquer plusieurs personnes simultanément en transférant des sommes d’argent à partir des comptes personnels appartenant à d’autres personnes vers leurs propres comptes.
Afin de mettre les choses en perspective, vous trouverez ci-dessous quelques statistiques extraites d’une enquête de 2024 sur les Perceptions et attitudes des organisations canadiennes à l’égard de la cybersécurité, enquête menée par CIRA auprès des organisations canadiennes.
Plus d’un quart des professionnels de la cybersécurité déclarent que leur organisation a été victime d’une attaque réussie de rançongiciel au cours des 12 derniers mois, contre 17 % en 2021. Parmi eux, 79 % indiquent que l’organisation a dû payer les demandes de rançon.
Aucune entreprise n’est trop petite pour suivre et mettre en œuvre un cadre de cybersécurité. Ce faisant, votre entreprise sera mieux préparée en cas d’incident de cybersécurité.
Le cadre de cybersécurité du NIST 2.0 : survol du guide de démarrage rapide pour les petites et moyennes entreprises (PME)
Ce guide de démarrage rapide :
- Fournit des conseils aux petites et moyennes entreprises (PME) pour lancer leur stratégie de gestion des risques de cybersécurité à l’aide du cadre de cybersécurité NIST (CSF) 2.0.
- Aide les organisations à comprendre, évaluer, hiérarchiser et communiquer les efforts de cybersécurité.
- Organise les résultats de la cybersécurité en six fonctions de haut niveau : gouverner, identifier, protéger, détecter, répondre et récupérer.
Remarque : le NIST a publié le CSF 2.0 en février 2024. L’objectif de cette nouvelle version est d’aider CSF à devenir plus adaptable et donc à être grandement adopté par un plus large éventail d’organisations. Toute organisation souhaitant adopter CSF pour la première fois doit utiliser cette nouvelle version et les organisations qui l’utilisent déjà peuvent continuer à le faire, mais avec pour objectif d’adopter la version 2.0 dans l’avenir.
Les Fonctions
Le noyau du CSF comprend six fonctions : GOUVERNER, IDENTIFIER, PROTÉGER, DÉTECTER, RÉPONDRE et RÉCUPÉRER.
Chaque fonction comporte des résultats et des responsabilités en particulier, comme l’établissement d’une stratégie de cybersécurité et l’identification des risques. Elles doivent être traitées simultanément pour prévenir, détecter, répondre et récupérer dans l’éventualité des incidents de cybersécurité.
Le noyau du CSF s’applique à toutes les catégories d’environnements technologiques, y compris les technologies de l’information, les technologies opérationnelles et l’Internet des objets.
Les fonctions, catégories et sous-catégories sont destinées à être orientées vers l’avenir et adaptables aux évolutions technologiques futures.
Les fonctions sont interconnectées et elles gravitent autour de GOUVERNER au centre, informant ainsi la mise en œuvre des cinq autres fonctions.
GOUVERNER (GV)
GOUVERNER. La fonction Gouverner vous aide à établir et à surveiller la stratégie, les attentes et la politique de gestion des risques de cybersécurité de votre entreprise.
Les actions à exécuter englobent les éléments ci-après :
- Donner la priorité à la gestion des risques de cybersécurité par rapport aux autres risques d’entreprises.
- Définir l’ensemble du cadre de gouvernance de la cybersécurité, y compris les politiques et les rôles et responsabilités claires pour toutes les fonctions de cybersécurité (gouverner, identifier, protéger, détecter, répondre, récupérer).
- Communiquer des politiques, des pratiques de cybersécurité et partager toutes les communications de la direction qui soutiennent une culture de sensibilisation aux risques.
- Évaluer l’impact potentiel des actifs indispensables d’entreprises, des assurances de cybersécurité et des risques occasionnés par les fournisseurs.
- Surveiller continuellement les risques et identifier des améliorations de la posture de cybersécurité
FONCTION | CATÉGORIES |
GOUVERNER (GV)
La stratégie, les attentes et la politique de l’organisation en matière de gestion des risques liés à la cybersécurité sont établies, communiquées et contrôlées. |
Contexte organisationnel
Les circonstances sont comprises (mission, attentes des parties prenantes, dépendances et exigences légales, réglementaires et contractuelles) entourant les décisions de gestion des risques de cybersécurité de l’organisation. |
Stratégie de gestion des risques
Les priorités, les contraintes, la tolérance au risque et les propensions au risque de même que les hypothèses de l’organisation sont établies, communiquées et utilisées pour consolider les décisions en matière de risques opérationnels. |
|
Rôles, responsabilités et autorités
Les rôles, responsabilités et autorités en matière de cybersécurité visant à favoriser la responsabilisation, l’évaluation des performances et l’amélioration continuelle sont établis et communiqués. |
|
Politique
La politique de cybersécurité organisationnelle est établie, communiquée et appliquée. |
|
Surveillance
Les résultats des activités et des performances de gestion des risques de cybersécurité à l’échelle de l’organisation sont utilisés pour informer, améliorer et ajuster la stratégie de gestion des risques. |
|
Gestion des risques reliés à la cybersécurité dans la chaîne d’approvisionnement
Les processus de gestion des risques relatifs à la cybersécurité dans la chaîne d’approvisionnement sont identifiés, établis, gérés, surveillés et améliorés par les parties concernées de l’organisation. |
IDENTIFIER (ID)
IDENTIFIER. La fonction Identifier vous aide à déterminer le risque actuel de cybersécurité relatif à votre entreprise.
La fonction Identifier se rapporte aux particularités suivantes :
- Identifier les processus indispensables d’entreprises et les actifs qui appuient ces processus.
- Tenir l’inventaire du matériel informatique, des logiciels, des applications, des solutions infonuagiques et des services utilisés par l’organisation.
- Documenter le flux d’informations : le transfert de données entre les systèmes internes et les entités externes.
- Identifier les cybermenaces, les vulnérabilités et délimiter les risques. Les risques identifiés doivent être documentés dans un registre des risques qui contient également les actions d’intervention face aux risques. Les risques doivent être surveillés en permanence.
- Identifier les améliorations en fonction des leçons apprises.
FONCTION | CATÉGORIES |
IDENTIFIER (ID)
Les risques actuels de cybersécurité de l’organisation sont compris. |
Gestion des actifs
Les actifs (par exemple, les données, le matériel informatique, les logiciels, les systèmes, les installations, les services, les personnes) qui permettent à l’organisation d’atteindre ses objectifs d’affaires sont identifiés et gérés en fonction de leur importance relative par rapport aux objectifs organisationnels et à la stratégie de risque de l’organisation. |
Évaluation des risques
Le risque de cybersécurité pour l’organisation, les actifs et les individus sont compris par l’organisation. |
|
Améliorations
Les améliorations des processus, procédures et activités de gestion des risques de cybersécurité organisationnels sont identifiées dans toutes les fonctions du CSF. |
PROTÉGER (PR)
PROTÉGER. La fonction Protéger prend en charge votre capacité à utiliser des mesures de protection pour prévenir ou réduire les risques de cybersécurité.
La fonction Protéger prend en charge la capacité à sécuriser les actifs. Les principales activités prises en compte dans cette fonction sont les suivantes :
- Utiliser des mesures de protection pour prévenir ou réduire les risques de cybersécurité.
- Gérer les accès logiques et physiques.
- Former les utilisateurs pour s’assurer qu’ils connaissent les pratiques de sécurité relatives à leurs activités quotidiennes, communiquer et expliquer les politiques de sécurité, communiquer au personnel la détection et la reconnaissance des cyberattaques courantes et les tâches essentielles de cyber-hygiène.
- Protéger et surveiller les appareils, contrôler et gérer les configurations et s’assurer que les appareils désuets sont rangés ou recyclés en toute sécurité.
- Protéger par cryptage les données confidentielles au repos et en transit.
- Mettre en œuvre des contrôles d’intégrité des données pour vérifier et surveiller les modifications des données.
FONCTION | CATÉGORIES |
PROTÉGER (PR)
Des mesures de protection sont utilisées pour gérer les risques de cybersécurité de l’organisation. |
Gestion des identités, authentification et contrôle d’accès
L’accès aux ressources physiques et logiques est limité aux utilisateurs, services et matériels informatiques autorisés et gérés en fonction du risque évalué d’accès non autorisé. |
Sensibilisation et formation
Les employés de l’organisation bénéficient d’une sensibilisation et d’une formation en cybersécurité afin de pouvoir effectuer leurs tâches reliées à la cybersécurité.
|
|
Sécurité des données
Les données sont gérées conformément à la stratégie de risque de l’organisation afin de protéger la confidentialité, l’intégrité et la disponibilité des renseignements.
|
|
Sécurité de la plateforme
Le matériel informatique, les logiciels (par exemple, les micrologiciels, les systèmes d’exploitation, les applications) et les services des plateformes physiques et virtuelles sont gérés conformément à la stratégie de risque de l’organisation afin de protéger leur confidentialité, leur intégrité et leur disponibilité.
|
|
Résilience de l’infrastructure technologique
Les architectures de sécurité sont gérées conformément à la stratégie de risque de l’organisation afin de protéger la confidentialité, l’intégrité et la disponibilité des actifs ainsi que la résilience organisationnelle. |
DÉTECTER (DE)
DÉTECTER. La fonction Détecter fournit des résultats qui vous aident à trouver et à analyser d’éventuelles attaques et autres violations de cybersécurité
Les activités subséquentes sont incluses dans cette fonction :
- Surveiller en permanence les réseaux, les systèmes et les installations pour détecter des événements potentiellement indésirables.
- Comprendre les indicateurs d’un incident de cybersécurité.
- Collecter des fichiers journaux de bord provenant de différentes sources pour détecter les activités non autorisées.
- Déterminer l’impact des événements indésirables et communiquer avec le personnel autorisé pour garantir le déploiement des mesures appropriées d’intervention face aux cyber-incidents.
FONCTION | CATÉGORIES |
DÉTECTER (DE)
Les attaques et autres violations potentielles de cybersécurité sont détectées et analysées. |
Analyse des événements indésirables
Les anomalies, les indicateurs de violation et d’autres événements potentiellement indésirables sont analysés pour caractériser et définir les événements, et détecter les incidents de cybersécurité. |
Surveillance continuelle
Les actifs sont continuellement surveillés pour détecter les anomalies, les indicateurs de violations, et d’autres événements potentiellement indésirables. |
RÉPONDRE (RS)
RÉPONDRE. La fonction Répondre vous permet de prendre des mesures d’intervention face à un incident détecté affectant la cybersécurité.
Les actions incluses dans cette fonction sont les suivantes :
- Exécuter un plan d’intervention face aux cyber-incidents une fois l’incident déclaré.
- Catégoriser et hiérarchiser les cyber-incidents et, le cas échéant, les intensifier.
- Collecter les données sur les cyber-incidents et préserver leur intégrité et leur source.
- Communiquer l’occurrence des cyber-incidents confirmés aux parties prenantes.
- Contenir, maîtriser et éradiquer les cyber-incidents.
FONCTION | CATÉGORIES |
RÉPONDRE (RS)
Des actions sont exécutées concernant un incident détecté de cybersécurité. |
Gestion des incidents
Les réponses d’intervention face aux incidents détectés de cybersécurité sont gérées.
|
Analyse des incidents
Des enquêtes sont menées pour garantir une réponse efficace et soutenir les activités d’investigation et de récupération.
|
|
Rapports et communication sur les réponses d’intervention face aux incidents
Les activités de réponse d’intervention face aux incidents sont coordonnées avec les parties prenantes internes et externes comme l’exigent les lois, les réglementations ou les politiques.
|
|
Atténuation des incidents
Des activités sont menées pour empêcher la prolifération d’un cyber-incident et atténuer ses conséquences. |
RÉCUPÉRER (RC)
RÉCUPÉRER. La fonction RÉCUPÉRER implique des activités visant à restaurer les actifs et les opérations qui ont été frappés par un incident de cybersécurité.
Les principales activités de cette fonction sont les suivantes :
- Comprendre les responsabilités en matière de récupération.
- Mettre en œuvre un plan de récupération afin de restaurer les opérations d’entreprise dès que possible.
- Évaluer ce qui s’est mal passé, ce qui s’est bien passé et ce qui peut être amélioré, ce qui permettra d’optimiser les processus et de réduire les risques de cybersécurité pour l’organisation.
- Communiquer clairement et régulièrement avec les parties prenantes et documenter la fin du cyber-incident et la reprise des activités normales.
FONCTION | CATÉGORIES |
RÉCUPÉRER (RC)
Les actifs et les opérations affectés par un incident de cybersécurité sont restaurés. |
Exécution du plan de récupération après un cyberincident
Les activités de restauration sont réalisées pour garantir la disponibilité opérationnelle des systèmes et des services touchés par les incidents de cybersécurité. |
Communication sur la récupération après un cyberincident
Les activités de restauration sont coordonnées avec les parties internes et externes. |
Exemples de mise en œuvre du CSF
Le NIST offre un contenu détaillé de chaque catégorie au sein de chaque fonction. Veuillez-vous référer aux exemples pour chaque sous-catégorie fournis dans le document NIST ci-dessous :
https://www.nist.gov/document/csf-20-implementation-examples-xlsx
Comment le Cadre de cybersécurité du NIST s’adapte-t-il aux entreprises de différentes tailles?
Le Cadre de cybersécurité conçu par le NIST s’adapte aux organisations de différentes tailles grâce à divers mécanismes tels que :
- La flexibilité dans la gestion personnalisée des risques, des technologies et des missions.
- La fourniture d’un langage commun pour une communication efficace.
- La proposition des ressources en ligne telles que des guides de démarrage rapide et des profils communautaires.
- L’utilisation du noyau, des profils et des niveaux du Cadre de cybersécurité du NIST pour comprendre, évaluer et hiérarchiser les risques de cybersécurité.
- L’emphase sur l’amélioration continuelle et les processus itératifs.
- L’introduction des niveaux pour caractériser la rigueur des pratiques de cybersécurité.
- La fourniture d’une évolutivité et d’une adaptabilité dans les paramètres du Cadre de cybersécurité.
- La permission accordée aux organisations d’adapter les fonctions principales, les catégories et les sous-catégories.
- L’offre des services-conseils pour l’amélioration opérationnelle et l’emphase sur la sensibilisation et la formation.
- Le traitement des risques de cybersécurité reliés aux fournisseurs et aux tierces parties.
Profils Communautaires
Un profil communautaire est une ligne de base des résultats du Cadre de cybersécurité du NIST conçue et publiée pour répondre aux intérêts et objectifs communs de plusieurs organisations. Un profil communautaire est généralement développé pour un secteur en particulier, un sous-secteur, une technologie, une catégorie de cybermenace, ou un autre cas d’utilisation.
De tels profils communautaires aident les organisations à prioriser les actions, à aligner les efforts en matière de cybersécurité sur les meilleures pratiques sectorielles et à communiquer des informations aux parties prenantes.
Les profils communautaires fournissent une vue d’ensemble de la manière dont les organisations mettent en œuvre le Cadre de cybersécurité du NIST, en proposant des applications concrètes et des meilleures pratiques. Les organisations peuvent utiliser ces profils pour apprendre les unes des autres et améliorer leurs stratégies de cybersécurité en se fondant sur des modèles et des expériences de réussite.
Des exemples de profils communautaires sont disponibles sur le site Web du NIST CSF.
Conclusion
En conclusion, le NIST Cybersecurity Framework (CSF) 2.0 propose une approche globale de la gestion et de l’atténuation des risques liés à la cybersécurité. En proposant un contenu structuré pour chaque catégorie au sein de chaque fonction, le NIST s’assure que les organisations disposent de l’information écessaires pour améliorer leur position en matière de cybersécurité.
Ce cadre structuré permet non seulement d’identifier les menaces potentielles et de s’en protéger, mais aussi de réagir efficacement aux incidents et de s’en remettre. L’adoption du NIST CSF 2.0 peut considérablement renforcer la résilience d’une organisation face aux cybermenaces, favorisant ainsi un environnement numérique plus sûr et plus robuste.
Ressources et références
Perceptions et attitudes des organisations canadiennes à l’égard de la cybersécurité : enquête menée par CIRA sur les organisations canadiennes en 2024. Documentation disponible uniquement en anglais. https://www.cira.ca/uploads/2024/09/CIRA-2024-Cybersecurity-Report.pdf
NIST Cybersecurity Framework: https://www.nist.gov/cyberframework
Navigating NIST’s CSF 2.0 Quick Start Guides: https://www.nist.gov/quick-start-guides
NIST Cybersecurity Framework 2.0: US Small Business Quick-Start Guide https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1300.pdf
NIST Cybersecurity Framework Profiles https://www.nist.gov/cyberframework/profiles
NIST Cybersecurity Framework: Examples of Community Profiles Community profiles https://www.nccoe.nist.gov/examples-community-profiles
NIST CSF 2.0 Resources: https://www.nist.gov/cyberframework/resources-0
NIST CSF 2.0 Implementation Examples: https://www.nist.gov/document/csf-20-implementation-examples-xlsx
Version française du NIST CSF 2.0 :
Guide de démarrage rapide pour les petites entreprises https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1300.fre.pdf
Contributions
Nous remercions le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI).
Auteurs: Yolanda Garcia MEng. et Al.
Éditeur: Alan Bernardi