Qu'est-ce que le cadre de cybersécurité du NIST ?

De 2010 à 2020, la quantité totale de données créées, capturées, copiées et consommées dans le monde a augmenté de plus de 62 zettaoctets, selon Statista. Au cours de la prochaine demi-décennie, ce chiffre devrait tripler. Ce chiffre est particulièrement important car, à mesure que le volume des données augmente dans le monde, leur valeur augmente également. Il suffit de penser à toutes les informations précieuses qui vivent désormais dans des environnements virtualisés : Dossiers médicaux, états financiers, informations confidentielles sur les employés, documents gouvernementaux classifiés, photos des animaux domestiques, etc.

Une autre façon de formuler cela serait : Plus nous avons de données, plus nous avons de choses à perdre. Aujourd’hui, la douleur associée à la perte de données – en raison d’une erreur humaine, d’une panne matérielle, d’une catastrophe naturelle ou d’un vol – est presque omniprésente. Même mes grands-parents de 85 ans comprennent (en général) l’importance de sauvegarder leurs photos sur le cloud. Si la perte de photos de famille peut être frustrante, voire triste, les ramifications financières, juridiques et de réputation associées à la perte de données peuvent être catastrophiques pour les entreprises, les gouvernements et autres grandes organisations.

Nous avons enfin atteint le point culminant de notre réaction en chaîne logique. Malheureusement, le volume et la valeur de nos données ne cessent de croître, tout comme les tentatives de vol et/ou de compromission. Ceux qui prêtent attention aux récents gros titres savent déjà que c’est vrai.

En mai 2021, Colonial Pipeline Co, qui exploite le réseau de tuyaux de 5 500 miles responsable d’environ 45 % de l’essence et du carburant diesel consommés sur la côte Est des États-Unis, a dû fermer ses portes à la suite d’une attaque par ransomware. Il a fallu cinq jours à la société pour commencer à redémarrer ses activités et, même alors, le rétablissement complet du flux de carburant n’a pas été immédiat.

L’impact de l’attaque s’est fait sentir dans tout le pays, avec des courses effrénées de carburant qui ont entraîné de longues files d’attente et des pénuries sur toute la côte Est, une flambée des prix du gaz et une volatilité sur le marché de l’énergie. Elle a même suscité une réponse d’urgence de l’administration Biden, qui s’est penchée sur la menace croissante des ransomwares.

Il ne s’agit bien sûr que d’un exemple parmi tant d’autres dans ce qui est désormais une crise mondiale. Dans le sillage de la pandémie de COVID-19, en particulier, les organisations ont connu une lutte aiguë pour maintenir la sécurité et la continuité des activités. Entre 2019 et 2021, le nombre de plaintes pour ransomware signalées au FBI a augmenté de 82 %. Maintenant que des millions de personnes supplémentaires travaillent à domicile, le risque de cybermenaces et de violations de systèmes a augmenté de manière exponentielle, et continue d’augmenter.

Selon Cybersecurity Ventures, les attaques par ransomware devraient toucher une entreprise, un consommateur ou un appareil toutes les deux secondes d’ici 2031, contre toutes les 11 secondes en 2021. Au cours de cette même période, le coût mondial total des ransomwares devrait passer de 20 milliards de dollars à la somme astronomique de 265 milliards de dollars.

Au total, le coût mondial de la cybercriminalité devrait augmenter de 15 % par an, selon Cybersecurity Ventures. D’ici 2025, les dommages devraient atteindre 15 000 milliards de dollars par an, contre 3 000 milliards en 2015. Cela représenterait le plus grand transfert de richesse économique de l’histoire de l’humanité, soit un montant exponentiellement supérieur aux coûts associés aux catastrophes naturelles et plus rentable que la vente mondiale de toutes les principales drogues illégales réunies.

Le cadre de cybersécurité du NIST

Il y a quelque chose à dire sur le fait d’avoir un plan – beaucoup de choses, en fait.

En ce qui concerne la sécurité des données et la planification de leur protection, il n’existe que quelques cadres cohérents et reconnus. Celui dont nous allons parler ici a été conçu et introduit par le National Institute of Standards and Technology (NIST). Ce cadre volontaire se compose de normes, de lignes directrices et de meilleures pratiques conçues pour aider les organisations de toute taille et de tout secteur à améliorer la cybersécurité, la gestion des risques et la résilience de leurs systèmes.

Les origines du cadre de cybersécurité du NIST (CSF) remontent à février 2013, lorsque le président Barack Obama a publié un décret appelant à la création d’un cadre volontaire pour la cybersécurité et la résilience. En plus de ce décret, le Congrès a codifié en loi la “Cybersecurity Enhancement Act”, apportant une couche supplémentaire de validité à la création d’un tel cadre. Un an plus tard, le NIST a publié le “Framework for Improving Critical Infrastructure Cybersecurity”.

NIST Framework

Destiné à l’origine aux infrastructures critiques, il a aujourd’hui une applicabilité plus large pour tous les types d’organisations. Le NIST CSF a été de plus en plus reconnu par les gouvernements et les organisations comme le guide des meilleures pratiques recommandées pour aider à améliorer la gestion des risques de cybersécurité et la résilience de leurs systèmes. En 2022, le cadre de cybersécurité du NIST a été téléchargé plus de 1,7 million de fois et est actuellement utilisé par des organisations dans un large éventail de secteurs, de tailles et de zones géographiques.

En résumé, le NIST CSF comprend cinq fonctions clés : Identifier, Protéger, Détecter, Répondre et Récupérer. Selon le NIST, ces cinq fonctions ont été choisies parce qu’elles représentent les cinq principaux piliers d’un programme de cybersécurité holistique et réussi. Elles aident les organisations à exprimer facilement leur gestion du risque de cybersécurité à un niveau élevé, ce qui permet de prendre des décisions en matière de gestion du risque et constitue l’épine dorsale autour de laquelle tous les autres éléments du cadre sont organisés.

Voici une brève ventilation de chaque fonction, tirée directement de la présentation du CSF sur NIST.gov :

Identifier :
La fonction Identifier aide à développer une compréhension organisationnelle pour gérer les risques de cybersécurité pour les systèmes, les personnes, les actifs, les données et les capacités. La compréhension du contexte commercial, des ressources qui soutiennent les fonctions essentielles et des risques de cybersécurité connexes permet à une organisation de concentrer et de hiérarchiser ses efforts, conformément à sa stratégie de gestion des risques et à ses besoins commerciaux.

Protéger :
La fonction de protection décrit les mesures de protection appropriées pour assurer la prestation des services d’infrastructure essentiels. La fonction de protection permet de limiter ou de contenir l’impact d’un événement potentiel de cybersécurité.

Détecter :
La fonction Détecter définit les activités appropriées pour identifier l’occurrence d’un événement de cybersécurité. La fonction Détecter permet de découvrir en temps utile les événements de cybersécurité.

Réagir :
La fonction de réponse comprend les activités appropriées pour prendre des mesures concernant un incident de cybersécurité détecté. La fonction de réponse permet de contenir l’impact d’un incident de cybersécurité potentiel.

Récupération :
La fonction de rétablissement identifie les activités appropriées pour maintenir les plans de résilience et restaurer les capacités ou les services qui ont été altérés par un incident de cybersécurité. La fonction de rétablissement soutient le retour rapide à des opérations normales afin de réduire l’impact d’un incident de cybersécurité.

Join the companies doing great things with 11:11 Systems

Dr. Martens
Benchmade
Lush
TreeTop
City of Bend