BLOG

Décomposition des nouveaux éléments de la prochaine version du NIST CSF 2.0

Miniature de Chad Davis
Chad Davis
Publié le 10 août 2023

Dans un paysage numérique de plus en plus interconnecté, l’importance de mesures de cybersécurité robustes ne peut être surestimée. Conscient de cela, le cadre de cybersécurité du NIST (CSF) a vu le jour en 2014, servant d’outil essentiel pour réduire les risques de cybersécurité dans divers secteurs. De nombreuses organisations ont fait savoir au NIST que le CSF 1.1 constituait un outil puissant pour lutter contre les risques de cybersécurité. Néanmoins, un consensus unanime résonne sur le fait que l’évolution du Cadre est impérative pour relever les défis imminents en matière de cybersécurité et faciliter une adoption organisationnelle transparente. En étroite collaboration avec la communauté, le NIST élabore avec diligence le CSF 2.0, une vision qui intègre l'efficacité futuriste à l'essence même des objectifs et buts originaux du cadre.

Ce qu'est et n'est pas exactement le cadre de cybersécurité NIST 2.0

À la base, le cadre de cybersécurité NIST 2.0 constitue un outil précieux pour les organisations qui cherchent non seulement à comprendre leur paysage de cybersécurité, mais également à évaluer, hiérarchiser et articuler efficacement leurs efforts de cybersécurité. Contrairement à un manuel rigide de directives, le Cadre s’abstient de dicter des méthodologies spécifiques pour atteindre ces résultats. Il s’agit plutôt d’un lien stratégique reliant les organisations à un ensemble de ressources qui fournissent des conseils supplémentaires sur les pratiques et les contrôles recommandés.

En approfondissant les composants du projet Cybersecurity Framework 2.0, ce blog dévoile certains des changements proposés à la version 1.1, mettant en lumière son approche multiforme pour renforcer les défenses numériques.

Qu'est-ce qui change (concrètement) ?

Voici cinq des changements les plus notables entre la version 1.1 et la version 2.0 du NIST CSF :

  1. Évolution du cadre de cybersécurité Titre et portée – Le célèbre cadre de cybersécurité a subi des améliorations significatives, reflétant sa grande utilité. Le changement de titre de « Cadre pour l’amélioration de la cybersécurité des infrastructures critiques » à « Cadre de cybersécurité » simplifie la reconnaissance. Le champ d’application s’étend désormais à toutes les organisations, s’écartant de son orientation initiale axée sur les infrastructures critiques. Cette évolution reconnaît la pertinence mondiale du Cadre, en déplaçant l’accent des infrastructures critiques américaines vers les organisations du monde entier. Ces modifications soulignent l’adaptabilité du Cadre et sa capacité à répondre à divers besoins de cybersécurité, réaffirmant sa stature d’outil dynamique pour des organisations de tailles et de contextes variés.

  2. Interconnexion du CSF avec de nouvelles ressources – L’évolution du CSF s’étend au-delà de ses limites, établissant des liens avec d’autres cadres et ressources essentiels. L'examen approfondi du NIST a conduit à des révisions du NIST CSF, introduisant des références à des outils contemporains tels que le NIST Privacy Framework, le NICE Workforce Framework for Cybersecurity, le Secure Software Development Framework, et bien d'autres.

  3. Renforcement du soutien à la mise en œuvre du CSF – L’évolution du CSF comprend un soutien accru à une mise en œuvre efficace, comme l’introduction d’exemples de mise en œuvre, offrant des processus illustratifs orientés vers l’action pour atteindre les sous-catégories du CSF. Ces augmentations stratégiques propulsent le CSF au-delà d’une construction théorique, fournissant des outils pratiques qui amplifient son impact dans le monde réel. Grâce à des conseils de mise en œuvre améliorés, le CSF renforce encore son rôle d’atout indispensable pour naviguer sur le terrain complexe de la cybersécurité.

  4. Renforcer la gouvernance de la cybersécurité : Focus sur le cadre amélioré – L’évolution du CSF souligne le rôle essentiel de la gouvernance de la cybersécurité. En introduisant la nouvelle fonction « Gouverner », le CSF adopte une approche holistique. Il couvre un éventail de facettes, notamment le contexte organisationnel, la stratégie de gestion des risques, les risques liés à la chaîne d’approvisionnement en cybersécurité, les rôles et responsabilités, les politiques, les processus et la surveillance.

    En guidant les organisations vers une intégration complète de la cybersécurité, le cadre fournit désormais des informations sur l'alignement avec le cadre de confidentialité du NIST et l'interconnexion avec la gestion des risques d'entreprise, comme détaillé dans le NIST IR 8286. Il convient de noter que l’accent mis sur les personnes, les processus et la technologie a été amplifié tout au long de la mise en œuvre du Cadre.

    Cette attention accrue portée à la gouvernance renforce l’importance du CSF dans le domaine de la cybersécurité, affirmant son statut d’outil polyvalent et complet pour les organisations qui s’efforcent de renforcer leurs défenses numériques.

  5. Renforcer la résilience de la chaîne d’approvisionnement en matière de cybersécurité – L’évolution du CSF met en lumière l’importance primordiale de la gestion des risques de la chaîne d’approvisionnement en matière de cybersécurité. Avec l’introduction d’une catégorie dédiée sous « Gouverner », le Cadre adopte une position résolue.

    Cette mise à jour découle d’un engagement à s’aligner sur les dernières directives du NIST et les meilleures pratiques actuelles. Le CSF s’intéresse notamment au domaine de la gestion des risques de la chaîne d’approvisionnement en cybersécurité et au développement de logiciels sécurisés, reflétant une approche proactive de la protection des écosystèmes numériques.

    Cette orientation prospective renforce l’adaptabilité du Cadre à l’évolution du paysage des menaces, ce qui en fait un instrument inestimable pour les organisations qui aspirent à renforcer leur posture de cybersécurité et leur résilience au sein d’une dynamique complexe de chaîne d’approvisionnement.

Ce dernier projet de CSF marque une étape importante, car le NIST ne publiera pas d'autre version pour commentaires. Votre contribution façonnera directement la version finale du CSF 2.0, dont la sortie est prévue début 2024. Faites-nous part de vos commentaires à l’ adresse cyberframework@nist.gov jusqu’au vendredi 4 novembre 2023.