Actualités Sécurité : Les frameworks de cybersécurité NIST et ISO 27001
Norme internationale pour les systèmes de gestion de la sécurité de l’information (SGSI), ISO/IEC 27001 est une spécification rigoureuse et complète pour protéger et préserver vos informations selon les principes de confidentialité, d’intégrité et de disponibilité. Concrètement, la norme prévoit des contrôles basés sur le risque pour aider votre organisation à obtenir une conformité certifiée.
Elle peut également être étendue en l’intégrant à plusieurs autres normes et cadres, notamment lorsqu’il s’agit du NIST CSF (Cybersecurity Framework) et du NIST RMF (Risk Management Framework).
Mises à jour des normes ISO 27001 et ISO 27002 2022
ISO/IEC 27001:2022 - la version la plus récente de la norme ISO 27001 - a été publiée en octobre 2022. Les organisations certifiées ISO/IEC 27001:2013 disposent d'une période de transition de trois ans pour apporter les modifications nécessaires à leur SMSI.
Qu’est-ce que le NIST et le NIST CSF (Cybersecurity Framework) ?
Le NIST (National Institute of Standards and Technology) est un organisme non réglementaire qui promeut et maintient des normes de mesure pour améliorer la sécurité économique et les performances des entreprises. Pour sa part, le NIST CSF (Cybersecurity Framework) est un cadre volontaire principalement destiné à gérer et à atténuer les risques de cybersécurité pour les organisations d'infrastructures critiques, sur la base des normes, des lignes directrices et des pratiques existantes.
Le CSF est un document évolutif - il reconnaît qu'une amélioration continue est nécessaire pour s'adapter à l'évolution des besoins de l'industrie. Toutefois, le CCA s'est avéré suffisamment souple pour être également mis en œuvre par des organisations n'appartenant pas aux Etats-Unis ou à des infrastructures non critiques. C'est pourquoi la version 1.1 a été publiée en 2018.
NIST RMF (cadre de gestion des risques)
On ne vous apprend probablement rien en vous disant qu’une gestion efficace des risques est fondamentale pour la cybersécurité d'une organisation. A ce niveau, le RMF du NIST propose une approche structurée de la gestion des risques qui s'aligne sur les besoins, les objectifs et la tolérance au risque de l'organisation.
NIST SPs (Special Publications) 800-53 et 800-171
NIST SP 800-53 « Security and Privacy Controls for Federal Information Systems and Organizations » recommande des contrôles pour tous les systèmes d'information fédéraux américains (à l'exception de ceux qui relèvent de la sécurité nationale). Le NIST a créé le SP 800-171, une version simplifiée du NIST 800-53 avec 114 contrôles de sécurité recommandés, afin de faciliter sa mise en œuvre par les contractants.
Le document NIST SP 800-37 développe le cadre de gestion des risques (RMF) de nouvelle génération pour les systèmes d'information, les organisations et les individus. Il a été publié en réponse aux ordres de l'exécutif visant à renforcer la cybersécurité des réseaux et des actifs fédéraux. Il s'agit de la première publication du NIST à traiter de la gestion des risques en matière de sécurité et de protection de la vie privée. Le RMF s'appuie sur le catalogue de contrôles du NIST SP 800-53.
Comment les normes ISO 27001 et NIST CSF se complètent-elles ?
D’emblée, il faut savoir que les cadres du NIST ont été conçus comme des cadres flexibles et volontaires. Grâce à leur souplesse, il est relativement facile de les mettre en œuvre conjointement avec la norme ISO 27001, d'autant plus qu'ils ont plusieurs principes communs, notamment l'obligation d'obtenir le soutien de la direction générale, un processus d'amélioration continue et une approche fondée sur les risques.
Le processus d'évaluation des risques spécifié par la norme ISO 27001 adopte une approche très similaire à celle du CMR : identifier les risques pour les informations de l'organisation, mettre en œuvre des contrôles appropriés au risque et, enfin, surveiller leur performance. Cela dit, comme les cadres de sécurité CSF et RMF ont été conçus pour être volontaires, il est difficile de prouver la conformité. Qui plus est, il n’existe pas (encore) de certification NIST officielle. C’est particulièrement regrettable pour les organisations qui doivent s’y conformer (comme l’exige l’ordre exécutif 13800 du président Trump).
ISO 27001, quant à elle, a une présence internationale que de nombreuses organisations reconnaissent et à laquelle elles font confiance. En outre, les organisations peuvent obtenir une certification externe et accréditée pour la norme - un excellent moyen de démontrer une conformité partielle avec les cadres du NIST.
ISO 27001 VS NIST : quelles différences ?
Maintenant que vous savez où se rejoignent les deux normes, attardons-nous sur leurs points de rupture :
- Le NIST a été créé principalement pour aider les agences et organisations fédérales américaines à mieux gérer leurs risques ;
- Les cadres du NIST comportent différents catalogues de contrôle ;
- Le cadre du NIST CSF contient trois éléments clés : le noyau, les niveaux de mise en œuvre et les profils, chaque fonction ayant des catégories, qui sont les activités nécessaires pour remplir chaque fonction ;
- Le NIST dispose d’un mécanisme d’autocertification volontaire ;
- Le cadre NIST utilise cinq fonctions pour personnaliser les contrôles de cybersécurité.
Pour sa part :
- La norme ISO 27001 est une approche internationalement reconnue pour l'établissement et le maintien d'un SMSI ;
- L'annexe A de la norme ISO 27001 comporte 14 catégories de contrôle et 114 contrôles ;
- La norme ISO 27001 est moins technique et met davantage l'accent sur la gestion basée sur les risques. Elle fournit des recommandations de meilleures pratiques pour sécuriser toutes les informations ;
- La norme ISO 27001 s'appuie sur des organismes d'audit et de certification indépendants ;
- La norme ISO 27001 comporte dix clauses qui guident les organisations dans leur SMSI.
Certification accréditée selon la norme ISO 27001
Un audit externe et une certification ISO 27001 renforcent la confiance des clients et des parties prenantes et sont nécessaires pour remporter certains contrats. Qui plus est, l'accréditation ISO 27001 montre que votre organisation suit les meilleures pratiques en matière de sécurité de l'information et fournit une évaluation impartiale de la sécurité de vos données confidentielles.
Elle peut également être étendue en l’intégrant à plusieurs autres normes et cadres, notamment lorsqu’il s’agit du NIST CSF (Cybersecurity Framework) et du NIST RMF (Risk Management Framework). |
Mises à jour des normes ISO 27001 et ISO 27002 2022
ISO/IEC 27001:2022 - la version la plus récente de la norme ISO 27001 - a été publiée en octobre 2022. Les organisations certifiées ISO/IEC 27001:2013 disposent d'une période de transition de trois ans pour apporter les modifications nécessaires à leur SMSI. |
Qu’est-ce que le NIST et le NIST CSF (Cybersecurity Framework) ?
Le NIST (National Institute of Standards and Technology) est un organisme non réglementaire qui promeut et maintient des normes de mesure pour améliorer la sécurité économique et les performances des entreprises. Pour sa part, le NIST CSF (Cybersecurity Framework) est un cadre volontaire principalement destiné à gérer et à atténuer les risques de cybersécurité pour les organisations d'infrastructures critiques, sur la base des normes, des lignes directrices et des pratiques existantes. Le CSF est un document évolutif - il reconnaît qu'une amélioration continue est nécessaire pour s'adapter à l'évolution des besoins de l'industrie. Toutefois, le CCA s'est avéré suffisamment souple pour être également mis en œuvre par des organisations n'appartenant pas aux Etats-Unis ou à des infrastructures non critiques. C'est pourquoi la version 1.1 a été publiée en 2018. |
NIST RMF (cadre de gestion des risques)
On ne vous apprend probablement rien en vous disant qu’une gestion efficace des risques est fondamentale pour la cybersécurité d'une organisation. A ce niveau, le RMF du NIST propose une approche structurée de la gestion des risques qui s'aligne sur les besoins, les objectifs et la tolérance au risque de l'organisation. |
NIST SPs (Special Publications) 800-53 et 800-171
NIST SP 800-53 « Security and Privacy Controls for Federal Information Systems and Organizations » recommande des contrôles pour tous les systèmes d'information fédéraux américains (à l'exception de ceux qui relèvent de la sécurité nationale). Le NIST a créé le SP 800-171, une version simplifiée du NIST 800-53 avec 114 contrôles de sécurité recommandés, afin de faciliter sa mise en œuvre par les contractants. Le document NIST SP 800-37 développe le cadre de gestion des risques (RMF) de nouvelle génération pour les systèmes d'information, les organisations et les individus. Il a été publié en réponse aux ordres de l'exécutif visant à renforcer la cybersécurité des réseaux et des actifs fédéraux. Il s'agit de la première publication du NIST à traiter de la gestion des risques en matière de sécurité et de protection de la vie privée. Le RMF s'appuie sur le catalogue de contrôles du NIST SP 800-53. |
Comment les normes ISO 27001 et NIST CSF se complètent-elles ?
D’emblée, il faut savoir que les cadres du NIST ont été conçus comme des cadres flexibles et volontaires. Grâce à leur souplesse, il est relativement facile de les mettre en œuvre conjointement avec la norme ISO 27001, d'autant plus qu'ils ont plusieurs principes communs, notamment l'obligation d'obtenir le soutien de la direction générale, un processus d'amélioration continue et une approche fondée sur les risques. Le processus d'évaluation des risques spécifié par la norme ISO 27001 adopte une approche très similaire à celle du CMR : identifier les risques pour les informations de l'organisation, mettre en œuvre des contrôles appropriés au risque et, enfin, surveiller leur performance. Cela dit, comme les cadres de sécurité CSF et RMF ont été conçus pour être volontaires, il est difficile de prouver la conformité. Qui plus est, il n’existe pas (encore) de certification NIST officielle. C’est particulièrement regrettable pour les organisations qui doivent s’y conformer (comme l’exige l’ordre exécutif 13800 du président Trump). ISO 27001, quant à elle, a une présence internationale que de nombreuses organisations reconnaissent et à laquelle elles font confiance. En outre, les organisations peuvent obtenir une certification externe et accréditée pour la norme - un excellent moyen de démontrer une conformité partielle avec les cadres du NIST. |
ISO 27001 VS NIST : quelles différences ?
Maintenant que vous savez où se rejoignent les deux normes, attardons-nous sur leurs points de rupture :
Pour sa part :
|
Certification accréditée selon la norme ISO 27001
Un audit externe et une certification ISO 27001 renforcent la confiance des clients et des parties prenantes et sont nécessaires pour remporter certains contrats. Qui plus est, l'accréditation ISO 27001 montre que votre organisation suit les meilleures pratiques en matière de sécurité de l'information et fournit une évaluation impartiale de la sécurité de vos données confidentielles. |
A découvrir également
<-- Article précédent Comment utiliser l'intelligence artificielle gratuitement ? Voici 3 astuces !
Article suivant -->
Comment faire un transfert de cassettes Hi8 avec le boîtier Dazzle