L'Institut national des normes et de la technologie (NIST) des États-Unis se prépare à la plus grande réforme de son Cadre de cybersécurité (CSF) depuis cinq ans. Ce cadre, publié pour la première fois en 2014 et mis à jour vers la version 1.1 en 2018, est un ensemble de lignes directrices et de bonnes pratiques utilisées par les organisations et les agences gouvernementales du monde entier pour gérer les risques de cybersécurité.
Après une longue consultation, le NIST a publié un document conceptuel (pdf) pour le CSF 2.0, qui est désormais ouvert à un examen plus approfondi. Ces commentaires serviront à élaborer la version finale du cadre révisé, qui devrait être disponible d'ici l'été 2023. Face à l'augmentation des risques de cybersécurité, ce cadre mis à jour fournira de meilleures orientations aux organisations pour les aider à s'adapter à un environnement de cybersécurité en constante évolution.
Modifications proposées
- Élargir la portée du cadre : L'un des changements notables de la dernière version du Cadre de cybersécurité du NIST (CSF) réside dans l'élargissement de son public cible. Auparavant, le cadre s'adressait principalement aux organisations d'infrastructures nationales critiques, telles que celles des secteurs des services publics, des télécommunications, des transports et de la banque. Cependant, depuis la publication du CSF 1.1, le Congrès américain a demandé au NIST de prendre en compte les besoins des petites entreprises et des établissements d'enseignement supérieur. Cette initiative vise à élargir l'applicabilité du cadre à toutes les organisations, le rendant ainsi plus accessible et plus facile à utiliser.
- Examiner les risques supplémentaires : Le nouveau cadre donnera la priorité à la gestion des risques liés à la chaîne d'approvisionnement, englobant les risques liés aux tiers tels que le cloud computing, les logiciels, les équipements réseau et les chaînes d'approvisionnement non technologiques. Si l'importance de cette question est généralement reconnue, les avis sont mitigés, ce qui incite à une réflexion plus approfondie sur la manière de l'aborder. Compte tenu des exigences réglementaires déjà en vigueur dans leur secteur, les professionnels de la finance plaident pour un renforcement des responsabilités des tiers au sein du cadre.
- Orientations d’évaluation : Bien qu'ayant adopté ce cadre depuis plus de dix ans, de nombreuses organisations se demandent encore comment déterminer si leur posture en matière de cybersécurité s'améliore. Face à ce constat, le CSF 2.0 fournira des orientations supplémentaires pour évaluer les niveaux de maturité en matière de sécurité et l'efficacité des efforts de réduction des risques.
- Neutralité du fournisseur : La proposition du NIST de maintenir la neutralité technologique et vis-à-vis des fournisseurs du cadre est toujours en discussion, certains plaidant pour des orientations spécifiques sur les sujets, les technologies et les applications. Les organisations recherchent davantage de conseils lorsqu'elles utilisent le cloud et d'autres technologies opérationnelles, ce qui représente un défi pour rester neutre sur le plan technologique sans exclure aucun système en particulier.
Pourquoi le NIST est important
Le NIST, ou National Institute of Standards and Technology, est une organisation essentielle qui joue un rôle crucial dans l'élaboration des pratiques technologiques et de cybersécurité dans divers secteurs. Son cadre de cybersécurité, ou CSF, fournit un ensemble complet de directives que les organisations peuvent utiliser pour se protéger contre les cybermenaces. Les normes et directives du NIST sont largement acceptées dans tous les secteurs et sont constamment mises à jour pour tenir compte des menaces émergentes et des avancées technologiques.
Le respect des directives du NIST est souvent une exigence pour les organisations des secteurs réglementés, tels que la finance et la santé. En suivant les recommandations du NIST, les organisations peuvent mieux se protéger contre les cyberattaques, réduire les risques de violation de données et garantir leur conformité aux réglementations en vigueur. L'impact du NIST sur le paysage technologique et de la cybersécurité est considérable, et ses efforts continus pour promouvoir la sécurité et l'innovation sont essentiels à la protection des entreprises comme des consommateurs.
Obtenez la conformité NIST avec BigID
Pour les entrepreneurs du DoD qui cherchent à atteindre Conformité NIST et adhérer à la CMMC — BigID les couvre. Les exigences de certification peuvent être complexes, mais les organisations peuvent commencer par évaluer leurs programmes de sécurité, notamment sur des points tels que les contrôles d'accès, la gestion des risques et les plans de réponse aux incidents.
BigID offre aux organisations visibilité et contrôle complets des données pour répondre aux exigences de conformité impliquant CMMC, NIST, et au-delà. L'approche de sécurité centrée sur les données de BigID combine découverte approfondie des données, classification des données nouvelle génération et gestion des risques. Sachez où se trouvent ces données, leur sensibilité et qui y accède pour comprendre la surexposition et Rencontre avec Zero Trust.
Ces informations permettent aux équipes de sécurité de mettre en œuvre de manière proactive des mesures concrètes sur leurs données, telles que suppression, cryptage, anonymisation, et plus encore. Appliquez des politiques strictes concernant les données sensibles et déclenchez remédiation automatisée pour atténuer l’exposition et l’utilisation indésirables – tout au long du cycle de vie des données.
Améliorez vos programmes de sécurité et assurez la conformité à la norme NIST 2.0 — planifiez une démonstration individuelle aujourd'hui.
Auteur
