Le National Institute of Standards and Technology (NIST) propose des lignes directrices volontaires pour gérer et réduire les risques liés à la cybersécurité.
Ces recommandations peuvent être adaptées aux divers besoins des entreprises, quelles que soient leur taille et leur secteur d’activité. Contrairement à d'autres cadres de certification, les exigences du NIST sont souples et conçues pour évoluer en parallèle avec l’organisation, servant de référence continue.
Le NIST a développé le Cybersecurity Framework (CSF) pour les organisations du secteur privé, en tant que feuille de route permettant de reconnaître et de standardiser les contrôles et procédures de sécurité. Bon nombre de ces recommandations ont d’ailleurs été reprises dans d’autres cadres de sécurité, prouvant leur pertinence. Le CSF du NIST s'intègre ainsi aux autres normes sans chercher à les remplacer.
Mettre en œuvre le CSF du NIST est une démarche idéale pour renforcer la cybersécurité d'une entreprise, notamment avec un budget limité.
Le CSF repose sur trois composants essentiels : le Framework Core, les Implementation Tiers, et les Profiles, qui permettent de mesurer la maturité des risques de l'organisation et de choisir des actions pour les améliorer.
Le Framework Core aborde les éléments clés et les préoccupations principales de la plupart des systèmes de gestion des risques. Il est structuré autour de cinq fonctions principales, réparties en 23 catégories couvrant les bases de l’élaboration d’un programme de cybersécurité.
Les Implementation Tiers permettent d'évaluer dans quelle mesure une organisation suit les recommandations et les bonnes pratiques du CSF. Un score de 0 à 4 est attribué pour chaque fonction, permettant de suivre la progression de l’implémentation.
Basé sur le tier (niveau), le Profile aide l’organisation à déterminer son niveau actuel de tolérance aux risques et à prioriser les mesures de sécurité et les méthodes de réduction des risques. En comparant le profil actuel avec le profil cible, l’entreprise peut identifier les domaines prioritaires pour allouer efficacement les ressources en budget et en personnel afin d’améliorer continuellement ses pratiques de cybersécurité.
L'ISO 27001 est une norme internationale qui définit les meilleures pratiques pour les systèmes de gestion de la sécurité de l'information, permettant aux organisations de démontrer leur approche de la sécurité et de la confidentialité des données. Elle constitue une spécification détaillée pour protéger et conserver les données tout en respectant les principes de confidentialité, d'intégrité et de disponibilité.
Le cadre ISO propose un ensemble de contrôles pouvant être adaptés aux risques spécifiques de l’organisation et mis en œuvre de manière systématique afin de garantir une conformité évaluée et certifiée par des parties externes.
L'intégration d'autres cadres, comme le Cybersecurity Framework (CSF) du NIST, peut également renforcer la conformité aux contrôles de l’ISO 27001.
L'ISO 27001 joue un rôle clé dans la structuration des mesures de cybersécurité pour répondre aux exigences spécifiques de conformité et créer des systèmes de gestion de la sécurité de l'information (SGSI) complets. Un auditeur tiers peut également fournir la certification ISO 27001 officielle.
Contrairement à des cadres tels que le CSF du NIST, l'ISO 27001 ne recommande pas de procédures ou de solutions spécifiques mais offre des informations plus détaillées sur les contrôles de sécurité. De plus, elle fonctionne en synergie avec les mises à jour de l’ISO/IEC TS 27008 de 2019, qui couvrent les nouveaux risques en cybersécurité.
Une entreprise ayant déjà atteint un niveau de maturité opérationnelle, peut être mieux préparée pour aborder la conformité ISO 27001.