Mises à jour de NIST CSF 2.0 Finalisé

L'Institut national des normes et de la technologie (NIST) des États-Unis a finalisé avec succès la première mise à jour majeure du cadre depuis sa création en 2014. Le cadre de l'agence est un ensemble de lignes directrices et de meilleures pratiques utilisées par les organisations et les agences gouvernementales du monde entier pour gérer les risques de cybersécurité.

Aujourd'hui, après plus de deux ans de discussions et de commentaires publics visant à rendre le cadre plus efficace dans un paysage en évolution, le NIST a publié le nouvelle édition 2.0 de leur cadre de cybersécurité.

Alors que de nouvelles cybermenaces émergent chaque jour, le NIST CSF 2.0 est une ressource essentielle pour tous les secteurs industriels tels que les petites écoles, les organisations à but non lucratif ou les grandes agences et entreprises, quel que soit le niveau d'expertise en cybersécurité.

Qu'est-ce qui a changé ?

En réponse à la vaste retour reçus pendant la concept proposéLe NIST a apporté plusieurs modifications clés pour améliorer l’expérience utilisateur avec le framework.

• Nouvelle portée : La dernière version du Cadre de cybersécurité 2.0 (CSF) du NIST a été révisée afin d'élargir son public cible. Auparavant, ce cadre était principalement destiné aux organisations d'infrastructures nationales critiques, telles que celles des secteurs des services publics, des télécommunications, des transports et de la banque. Désormais, le CSF vise à aider toutes les organisations à atténuer et minimiser efficacement les risques. Le NIST a amélioré les principales orientations du CSF et introduit une gamme d'outils pour aider les organisations de tous types à atteindre leurs objectifs de cybersécurité, en mettant l'accent sur la gouvernance et la gestion de la chaîne d'approvisionnement.
• Une fonction principale supplémentaire : Le cœur du cadre s'articulait auparavant autour de cinq fonctions clés : identifier, protéger, détecter, réagir et récupérer. Le CSF 2.0 inclut désormais la fonction « Gouverner », qui définit et communique la stratégie et la politique de gestion des risques de cybersécurité de l'organisation. Elle assure également le suivi et la hiérarchisation des résultats, conformément à la mission de l'organisation et aux attentes des parties prenantes.
• Guides de démarrage rapide : Le cadre révisé reconnaît que les organisations aborderont le CSF avec des exigences et des niveaux d'expérience différents en matière de mise en œuvre de la cybersécurité. Les utilisateurs débutants peuvent s'inspirer des réalisations des autres et choisir leur domaine d'intérêt parmi une nouvelle compilation d'études de cas et guides conviviaux Conçu pour des catégories d’utilisateurs spécifiques, notamment les petites entreprises, les gestionnaires de risques d’entreprise et les entités souhaitant renforcer leurs chaînes d’approvisionnement.
• Ressources et boîte à outils élargies : Le nouveau Outil de référence CSF 2.0 Simplifie le processus de mise en œuvre des organisations grâce à une interface conviviale permettant de parcourir, de rechercher et d'exporter les données et les détails des directives principales du CSF. Cet outil présente les informations dans des formats facilement compréhensibles par les humains et les machines. De plus, le CSF 2.0 inclut un catalogue consultable de références informatives, permettant aux organisations de voir comment leurs actions actuelles s'alignent sur le CSF. Ce catalogue permet de croiser les directives du CSF avec plus de 50 autres documents de cybersécurité, notamment ceux du NIST, tels que SP 800-53 Rév. 5, qui propose une gamme d’outils (appelés contrôles) permettant d’atteindre des objectifs spécifiques en matière de cybersécurité.

Les 6 composants du Framework Core

Le cœur du framework s'articule désormais autour de six fonctions clés : identifier, protéger, détecter, répondre et récupérer, ainsi que de la nouvelle fonction « gouverner » du CSF 2.0. Ensemble, ces fonctions offrent une vision globale du cycle de vie de la gestion des risques de cybersécurité.

1. Gouverner: Établit et communique la stratégie et la politique de gestion des risques de cybersécurité de l'organisation. Surveille et hiérarchise les résultats conformément à la mission de l'organisation et aux attentes des parties prenantes. Il est essentiel à l'intégration de la cybersécurité dans la stratégie globale de gestion des risques d'entreprise (GRE). Il aborde la compréhension du contexte organisationnel, l'élaboration de la stratégie de cybersécurité, la gestion des risques de la chaîne d'approvisionnement, les rôles, les responsabilités, les autorités, les politiques et la supervision.
2. Identifier: Se concentre sur la compréhension des risques de cybersécurité actuels au sein de l'organisation. Identifie les actifs, les fournisseurs et les risques de cybersécurité associés afin de prioriser les efforts. Identifie également les opportunités d'amélioration des politiques, plans, processus, procédures et pratiques soutenant la gestion des risques de cybersécurité.
3. Protéger: Utilise des mesures de protection pour gérer efficacement les risques de cybersécurité. Sécurise les actifs afin de prévenir ou d'atténuer les incidents de cybersécurité. Couvre la gestion des identités, le contrôle d'accès, la sensibilisation, la sécurité des données et la sécurité des plateformes.
4. Détecter: L'objectif est de détecter et d'analyser rapidement les attaques et les compromissions potentielles en matière de cybersécurité. Il permet la détection et l'analyse rapides des anomalies et des indicateurs de compromission. Il permet également la réussite des interventions et des activités de reprise après incident.
5. Répondre: Implique la prise de mesures en réponse aux incidents de cybersécurité détectés. Comprend la gestion, l'analyse, l'atténuation, le reporting et la communication des incidents.
6. Récupérer: Se concentre sur la restauration des actifs et des opérations affectés par les incidents de cybersécurité. Contribue au rétablissement rapide des opérations normales afin de minimiser l'impact des incidents. Facilite une communication appropriée pendant les efforts de reprise.

Pourquoi le NIST est important

NISTLe NIST, l'Institut national des normes et de la technologie, joue un rôle essentiel dans l'élaboration des protocoles technologiques et de cybersécurité dans divers secteurs. Grâce à son cadre de cybersécurité (CSF), le NIST fournit un ensemble complet de lignes directrices permettant aux organisations de se protéger des cybermenaces. Largement reconnues et constamment mises à jour, les normes et lignes directrices du NIST s'adaptent aux risques émergents et aux avancées technologiques.

Le respect des protocoles du NIST est souvent obligatoire pour les entités des secteurs réglementés comme la finance et la santé. Les organisations peuvent renforcer leur défense contre les cybermenaces, réduire le risque de violation de données et garantir leur conformité aux réglementations en vigueur, tout cela en adhérant aux recommandations du NIST. L'influence du NIST sur le secteur des technologies et de la cybersécurité est indéniable, et ses efforts constants en faveur de la sécurité et de l'innovation sont essentiels pour protéger les entreprises et leurs consommateurs.

Obtenez la conformité NIST avec BigID

Pour les organisations souhaitant rester à jour avec la norme NIST CSF 2.0, BigID est là pour vous. Notre approche de la sécurité centrée sur les données combine découverte approfondie des données, classification des données de nouvelle générationet la gestion des risques. Sachez où se trouvent vos données, leur sensibilité et qui y accède afin de respecter les directives du cadre de cybersécurité du NIST.

Avec BigID, vous pouvez :

• Carte du NIST : Apprenez à vous aligner sur les cadres NIST pour la cybersécurité (CSF) et à améliorer votre gestion des risques liés aux données, votre posture de confidentialité et votre programme de sécurité dans un cadre unifié unique.
• Connaître ses données : La capacité d'identifier vos données est la première étape cruciale du cadre de cybersécurité et du cadre de confidentialité du NIST. Afin de réduire les risques, les organisations doivent identifier toutes leurs données, où qu'elles se trouvent. La découverte et la classification des données de BigID aident les organisations à identifier automatiquement leurs données sensibles, personnelles et réglementées dans l'ensemble du paysage des données.
• Classification des données : Le NIST recommande d'utiliser trois catégories : faible impact, impact modéré et impact élevé, pour classer toutes les données, partout, afin de respecter les normes de confidentialité et de protection des données. Classez par catégorie, type, sensibilité, politique, etc. grâce aux fonctionnalités avancées de classification des données de BigID.
• Réduire les risques : Gérer l'accès aux données commerciales sensibles et critiques : les organisations doivent intégrer un contrôle d'accès pour identifier qui a (et devrait avoir) accès aux données sensibles. BigID Application Access Intelligence aide les organisations à identifier et à résoudre les problèmes d'accès aux données à haut risque grâce à des informations basées sur le ML pour identifier et hiérarchiser les risques d'accès aux fichiers.
• Réponse aux incidents : En cas d'incident, chaque seconde compte. L'analyse des violations de données basée sur l'identité de BigID évalue efficacement l'étendue et l'ampleur d'une violation de données. Identifiez rapidement les utilisateurs et les données personnelles compromis et réagissez conformément aux recommandations du NIST.

Améliorez vos programmes de sécurité et assurez la conformité à la norme NIST CSF 2.0 — planifiez une démonstration 1:1 avec nos experts dès aujourd'hui.

Auteur

Alexis Porter

Responsable du marketing de contenu

Alexis est responsable du marketing de contenu pour BigID, fournisseur de DSPM leader sur le marché. Elle se spécialise dans l'aide aux startups technologiques pour qu'elles créent et affinent leur voix, afin de raconter des histoires plus convaincantes qui trouvent un écho auprès de divers publics. Elle est titulaire d'une licence en rédaction professionnelle et d'une maîtrise en communication marketing de l'Université de Denver. Alexis est basée à Orlando, en Floride.