Aller au contenu principal
  • Cybersécurité

Comment CIRA peut vous aider à atteindre vos objectifs NIST 2.0

Par Eric Brynaert
Gestionnaire en marketing produit

Introduction 

Le 26 février 2024, le National Institute of Standards and Technology (NIST) a dévoilé son nouvel outil de référence 2.0 Cybersecurity Framework (CSF). Il s’agit de la mise à niveau la plus importante du cadre depuis sa publication en 2014. Le CSF original du NIST a été développé en réponse à l’augmentation des menaces à la cybersécurité, y compris les cyberincidents de grande envergure comme la violation des données de Target et les fuites d’Edward Snowden en 2013, et les préoccupations concernant les infrastructures essentielles.  

Le CSF du NIST est le fruit de la collaboration de l’industrie et du gouvernement, visant à relever les défis croissants en matière de cybersécurité auxquels sont confrontés les organismes dans les secteurs d’infrastructure essentielle. Le NIST 2.0 vise à apprendre des leçons tirées du cadre original et à les appliquer à un plus large éventail d’organismes. Le cadre actualisé vise à mieux refléter l’évolution du paysage des menaces et à fournir une approche souple et efficace de la gestion des risques de cybersécurité dans l’environnement numérique dynamique et interconnecté d’aujourd’hui. 

Le CSF du NIST demeure particulièrement important pour les organismes du secteur des infrastructures essentielles, comme les services publics. Alors que le secteur poursuit sa transformation numérique, il dépend de plus en plus de systèmes connectés qui surveillent les stations, évaluent les résultats et/ou analysent les données pour soutenir des opérations plus efficaces et un service amélioré. Cette dépendance accrue à un écosystème connecté à Internet augmente la possibilité pour les acteurs malveillants d’introduire des vulnérabilités dans les systèmes et les réseaux de technologie opérationnelle (TO) et de technologie de l’information (TI) d’un organisme.  

En suivant les directives du NIST, les fournisseur·euses de services publics peuvent gérer et atténuer les risques en utilisant l’expertise interne, les partenaires et les produits disponibles sur le marché. Les constatations de l’évaluation de la posture de cybersécurité de votre organisme par rapport au cadre peuvent servir de point de départ afin de mieux atténuer les risques de cybersécurité pour votre environnement de production précis. Cela est particulièrement important pour le secteur des services publics, car ils forment le réseau fédérateur de l’infrastructure essentielle du Canada. Les perturbations peuvent avoir des conséquences profondes et généralisées, touchant la santé publique, le transport et l’économie.  

Ce qui a changé dans NIST 2.0 

Le cadre original a été élaboré pour renforcer la cybersécurité et la résilience des infrastructures essentielles du pays. Toutefois, bien que ses principes et ses lignes directrices aient été conçus pour être universellement applicables et ne pas se limiter à un seul secteur, il est apparu trop complexe pour de nombreux organismes de petite taille. 

La norme NIST 2.0 vise à répondre aux commentaires précoces et à faire progresser cette applicabilité universelle, en mettant à jour les lignes directrices pour une inclusivité accrue pour tous les types d’organismes. Les mises à jour visent également à garantir que les organismes peuvent prendre des mesures pour relever les défis de cybersécurité qui ont émergé ou se sont intensifiés au cours de la dernière décennie, y compris les menaces liées au nuage, au mobile et aux systèmes d’intelligence artificielle.   

Bien que NIST 2.0 soit la première mise à jour importante du cadre depuis sa création, les modifications les plus importantes sont structurelles. Pour ceux qui connaissent déjà le NIST CSF, la plus grande différence sera l’ajout d’une nouvelle fonction « Gouvernance ». Il est conçu pour aider les organismes à élaborer une stratégie de cybersécurité conforme à leur mission globale et à leur tolérance au risque. Bien que la plupart des contrôles de la nouvelle fonction « Gouvernance » existaient dans les versions précédentes du NIST, ils étaient auparavant répartis parmi les cinq autres fonctions : déterminer, protéger, détecter, réagir et récupérer. 

L’introduction d’une nouvelle fonction par le NIST souligne la nécessité d’une couche fondamentale qui va au-delà du simple contrôle technique et opérationnel. Cette décision du NIST envoie un message clair : la cybersécurité transcende le domaine de l’informatique et constitue un élément essentiel de la gouvernance et de la planification stratégique d’une organisme. 

Avant de nous pencher sur ce qu’est NIST 2.0, nous devons établir ce qu’il n’est pas : NIST 2.0 n’est pas un ensemble de lois. Le CSF du NIST a été conçu comme un cadre à utiliser par une grande variété d’organismes avec tout degré de risque ou de sophistication. Cela comprend les sociétés privées, les entrepreneur·es du gouvernement fédéral et les organismes publics. Cela dit, la conformité au NIST n’est pas facile et, bien qu’il s’agisse d’une excellente norme, il peut être difficile de justifier son application dans les situations où il y a 50 employé·es ou moins. Pour ces organismes, les contrôles de cybersécurité de base du Centre canadien pour la cybersécurité pour les organismes de petite taille ou de taille moyenne seraient plus appropriés.   

Le NIST n’est pas non plus un organisme de réglementation, de sorte que l’adoption du cadre est généralement volontaire; toutefois, certains organismes (principalement aux États-Unis) sont tenus de l’utiliser. Le décret 13800 a rendu le cadre du NIST obligatoire pour les organismes gouvernementaux fédéraux américains et certains gouvernements fédéraux et étatiques et organismes d’assurance ont depuis rendu le cadre du NIST obligatoire à l’interne.  

NIST 2.0 peut vous aider à élaborer une feuille de route de sécurité objective et propice à une gestion des risques qui vous aide à comprendre comment dépenser votre dollar de la meilleure façon en cybersécurité. Il fournit aux organismes une priorité fondée sur les risques, les obligeant à évaluer leur position actuelle en matière de cybersécurité par rapport à ce qui est recommandé.  

Les organismes qui souhaitent assurer leur conformité doivent déterminer les mesures actuellement en place et les risques auxquels elles sont le plus exposées. Ce faisant, les organismes devraient prendre une décision éclairée par les risques quant aux mesures à mettre en place ensuite. NIST 2.0 n’est pas une liste de contrôle des mesures à mettre en place, mais plutôt une méthodologie, utilisant des outils comme les listes de contrôle pour protéger votre organisme d’un point de vue objectif.  

L’élaboration et le maintien d’un programme complet englobant le large éventail des domaines de la sécurité de l’information constituent un défi en raison de divers facteurs, notamment l’évolution des menaces, les contraintes en matière de ressources et les complexités technologiques. Les organismes s’appuient souvent sur des plateformes de sécurité intégrées et des partenaires de sécurité pour les aider à relever efficacement ces défis et à garantir la solidité de leurs défenses en matière de cybersécurité. Ces plateformes et partenariats facilitent l’alignement des ressources humaines, des processus et des outils, ce qui permet aux organismes d’établir et de maintenir un dispositif de cybersécurité résilient adapté à leurs besoins et situations précis. 

Comment les services de cybersécurité de CIRA peuvent vous aider à vous conformer à la norme NIST 2.0 

Les services de cybersécurité de CIRA se consacrent à l’accélération de l’amélioration de la cyberrésilience dans les organismes canadiens grâce à leurs solutions de cybersécurité. Nous offrons une protection dans les domaines essentiels pour maintenir le secteur des services publics en ligne.  

En tant qu’autorité de premier plan dans le domaine du réseautage au Canada, CIRA est fière de gérer le domaine .CA, servant la population canadienne avec confiance depuis plus de deux décennies. Nous nous engageons à maintenir la stabilité et la sécurité de l’infrastructure Internet du Canada en offrant des renseignements inestimables sur la cybersécurité. Notre gamme de services est conçue pour s’aligner sur les contrôles NIST 2.0, renforçant ainsi la résilience de votre organisme en matière de cybersécurité. Explorez le graphique et les définitions ci-dessous afin de découvrir comment nos solutions peuvent simplifier votre parcours vers la conformité à NIST 2.0. 

En tirant parti de nos services, les organismes peuvent accélérer et rationaliser diverses sous-catégories, améliorant ainsi leur position globale en matière de cybersécurité et obtenant de meilleurs résultats. 

PR.AT – Sensibilisation et formation 

Nouvelle définition : Le personnel de l’organisme et les tiers font l’objet d’une sensibilisation à la cybersécurité et reçoivent une formation en la matière pour effectuer leurs tâches liées à la cybersécurité conformément aux politiques, procédures et accords pertinents.  

La formation en cybersécurité de CIRA est conçue pour donner au personnel de votre organisme les connaissances et les compétences nécessaires pour se protéger contre les menaces à la cybersécurité. Notre plateforme de formation complète comprend une variété de cours et de simulations qui couvrent un large éventail de sujets de cybersécurité. Chaque utilisateur·rice se voit attribuer une cote de cyberrisque personnelle, qui est mise à jour en fonction de ses progrès et de son rendement dans les cours et les simulations. Cela vous permet de suivre l’efficacité de la formation et de repérer les domaines où une formation supplémentaire peut être nécessaire. Notre plateforme comprend aussi du contenu canadien en anglais et en français, garantissant que l’ensemble des membres de votre organisme peuvent participer à la formation. 

DE.AE – Sensibilisation aux événements indésirables 

Définition : Les événements indésirables en matière de cybersécurité sont analysés en vue de détecter et de caractériser les attaques et compromissions éventuelles, les activités non autorisées et inappropriées, les lacunes en matière de protection et toute autre activité susceptible d’avoir un impact négatif sur la cybersécurité.  

Les solutions CIRA DNS Firewall et Anycast DNS de CIRA peuvent fournir au Centre de commande des opérations de sécurité (Security Operations Command Center, SOCC) de votre organisme des capacités précieuses de détection des menaces. Anycast DNS peut détecter des incidents comme les attaques DDoS en surveillant le trafic du serveur. Si un serveur est submergé par le trafic, cela peut indiquer une attaque potentielle et déclencher des alertes pour un examen plus approfondi. De même, DNS Firewall peut alerter vos équipes de sécurité informatique des incidents potentiels en surveillant les informations de blocage. Cela permet à votre équipe de réagir rapidement lorsque des attaques comme des réseaux de zombies ciblent vos réseaux. 

ID.RA – Analyse des incidents 

Nouvelle définition : Des processus de réception, d’analyse et de réponse aux divulgations de vulnérabilité sont établis (anciennement RS.AN-5).  

Les solutions CIRA DNS Firewall et Anycast DNS de CIRA offrent des renseignements précieux qui peuvent aider à l’analyse des incidents. En consultant les données historiques sur la plateforme, vos équipes de sécurité informatique peuvent analyser la nature des attaques DNS qui ciblent votre organisme. Ces renseignements peuvent être utilisés pour repérer les tendances, découvrir les vulnérabilités et élaborer des stratégies pour prévenir les attaques futures. 

RS.MI – Atténuation des incidents 

Nouvelle définition : Des activités sont réalisées pour prévenir l’expansion d’un événement, atténuer ses effets et résoudre l’incident.  

Les solutions de cybersécurité de CIRA sont conçues non seulement pour détecter les incidents, mais aussi pour atténuer leur impact. Nos solutions DNS Firewall et Anycast DNS peuvent aider à prévenir l’expansion d’un événement en bloquant le trafic malveillant et en résorbant les attaques DDoS. Cela permet à vos équipes de sécurité informatique de se concentrer sur l’intégrité de vos autres systèmes et de réduire l’impact de l’incident sur votre organisme. 

Comment commencer avec la conformité à NIST 2.0 

Comme mentionné précédemment, bien que le NIST 2.0 soit une excellente norme de cybersécurité, s’y conformer exige un changement organisationnel important et ne convient pas la plupart des organismes comptant moins de 50 employé·es. Si vous êtes responsable de la cybersécurité d’un petit organisme, nous vous recommandons d’envisager les contrôles de cybersécurité de base du Centre canadien pour la cybersécurité pour les organismes de petite taille ou de taille moyenne. Pour les organismes qui croient que la conformité à NIST 2.0 leur convient, suivez les étapes ci-dessous :  

Évaluer 

La première étape, et la plus importante, que vous entreprendrez dans votre parcours vers la conformité à NIST 2.0 consiste à évaluer la position actuelle de votre organisme en matière de cybersécurité. Prenez le cadre de la norme NIST 2.0 et évaluez les progrès de votre organisme en ce sens. 

Vous évaluerez non seulement l’état des contrôles précis en place dans votre organisme, mais également la probabilité et la gravité du risque en cas d’incident. Vous créerez ainsi un inventaire des risques de haut niveau afin que les parties prenantes de votre organisme comprennent parfaitement ce que vous faites. Utilisez le cadre de cybersécurité du NIST, la publication spéciale 800-30 du NIST, révision 1 : Guide pour la réalisation d’évaluations des risques ou ISO 31000 :2018 à titre de référence.  

Hiérarchiser 

Maintenant que vous avez dressé l’inventaire de vos actifs, de vos contrôles de cybersécurité et de vos risques, vous devez hiérarchiser les risques les plus importants auxquels vous allez vous attaquer.  

L’une des considérations les plus importantes de cette étape est de vérifier que vous avez consulté toutes les personnes compétentes. Il s’agit notamment des services informatiques et de sécurité, mais aussi de la direction générale, des finances, des responsables de la gestion des risques, etc. Pour déterminer les contrôles à effectuer ensuite, suivez les étapes suivantes :  

  1. Classement des risques : évaluez chaque risque de votre inventaire des risques en fonction de son impact potentiel et de sa probabilité d’occurrence. Veillez à classer par ordre de priorité les risques qui pourraient causer les dommages les plus importants à votre organisme ou qui sont les plus susceptibles de se produire. 
  2. Alignement sur des objectifs commerciaux : il s’agit d’une étape importante que de nombreux organismes oublient. Vous devez vérifier que vos efforts d’atténuation des risques correspondent aux objectifs généraux de votre entreprise, en donnant la priorité aux risques susceptibles d’entraver vos objectifs stratégiques.  
  3. Allocation des ressources : tenez compte des ressources de votre organisme de manière prudente et réaliste. Vous devrez donner la priorité aux risques pour lesquels vous disposez des ressources nécessaires.  
  4. Commentaires des parties prenantes : impliquer les parties prenantes concernées dans le processus de hiérarchisation. Les diverses perspectives de vos parties prenantes peuvent vous aider à avoir une vision plus holistique des risques organisationnels.  

L’établissement de priorités dans la gestion des risques de cybersécurité est crucial, car il n’y a jamais assez de ressources pour tout faire – donc maximiser l’efficacité de chaque dollar dépensé limite les risques. S’ils ne définissent pas de priorités, les organismes risquent de disperser leurs ressources, ce qui les rend vulnérables aux risques les plus graves. 

Assurez-vous de revoir régulièrement votre hiérarchisation des risques. Le paysage de la cybersécurité est en constante évolution, et ce qui n’était peut-être pas un risque important hier peut devenir une menace majeure aujourd’hui. Des réévaluations régulières garantissent que votre organisme reste en avance sur les menaces potentielles. 

Mettre en œuvre 

Après avoir hiérarchisé vos contrôles de cybersécurité, la phase suivante est la mise en œuvre. C’est à ce stade que votre équipe commencera à mettre en œuvre les contrôles, en fonction de l’ordre que vous avez établi au cours du processus de hiérarchisation. 

Certains contrôles peuvent être suffisamment simples pour que votre équipe s’en charge en interne. Par exemple, vous pourriez être en mesure de mettre en place des politiques de mots de passe ou d’autres mesures de sécurité de base par vous-même.  

Toutefois, d’autres contrôles peuvent être plus complexes et nécessiter des connaissances ou des ressources spécialisées. Dans ces cas, vous devrez probablement demander l’aide de partenaires externes. Il peut s’agir de personnes qui proposent des services de cybersécurité précis ou d’expert·es-conseils qui peuvent vous guider dans le processus de mise en œuvre de contrôles plus avancés. 

Au fur et à mesure de ce processus, il est important de se rappeler que la mise en œuvre n’est pas un événement ponctuel, mais une activité continue. La cybersécurité est un domaine dynamique et de nouvelles menaces émergent en permanence. Par conséquent, vous devrez régulièrement examiner et mettre à jour vos contrôles pour faire en sorte qu’ils demeurent efficaces. 

N’oubliez pas que la mise en œuvre ne concerne pas seulement la technologie, mais aussi les gens. Votre personnel doit comprendre les processus et les outils qui le concernent et savoir comment les utiliser. Cela peut inclure des séances de formation ou des ateliers pour vérifier que tout le monde sait ce qu’il doit faire. 

Enfin, n’oubliez pas que la documentation est un élément essentiel du processus de mise en œuvre. Vous devrez conserver une trace des contrôles que vous avez mis en œuvre, de la date et de la manière dont ils ont été effectués. Ce sera inestimable lorsqu’il sera temps de vérifier votre conformité à la norme NIST 2.0. 

Conclusion 

L’atteinte de la conformité à NIST 2.0 est un processus rigoureux, mais gratifiant qui implique une évaluation complète de la position de votre organisme en matière de cybersécurité, une hiérarchisation efficace des risques et une mise en œuvre stratégique des contrôles.  

Cela est particulièrement pertinent pour le secteur des services publics, où la protection des infrastructures essentielles est primordiale. Bien que la norme NIST 2.0 puisse ne pas convenir aux petits organismes, il offre un cadre robuste aux grandes entités, y compris celles du secteur des services publics, qui cherchent à accroître leur cybersécurité. N’oubliez pas que le parcours ne se termine pas par la mise en œuvre. La nature dynamique de la cybersécurité exige des réévaluations et des ajustements réguliers pour garder une longueur d’avance sur les menaces potentielles. Que vous gériez les contrôles en interne ou que vous recherchiez une assistance externe pour des mesures plus complexes, le maintien d’une approche proactive et éclairée est la clé d’une conformité réussie dans le secteur des services publics. 

À propos de l’auteur
Eric Brynaert

Eric est gestionnaire en marketing produit pour les Services de cybersécurité de CIRA. Son expérience en marketing numérique l’a amené à apprécier le rôle vital que jouent les données pour les organisations et les particuliers canadiens, ainsi que la nécessité de les protéger. Eric est titulaire d’un MBA en Commerce International de Sup de Co La Rochelle.

Actualités sur le même thème

Guide de CIRA pour repérer les escroqueries employant le nom de l’ARC

Guide de CIRA pour repérer les escroqueries employant le nom de l’ARC

Lire
Blogue
Trois façons d’assurer la cybersécurité de votre famille

Trois façons d’assurer la cybersécurité de votre famille

Lire
Blogue
Comment être en cybersécurité avec un budget limité : conseils pratiques pour la cybersécurité à faible coût

Comment être en cybersécurité avec un budget limité : conseils pratiques pour la cybersécurité à faible coût

Lire
Blogue
Au cas où vous l’auriez manqué — Risques de cybersécurité et municipalités — ce que les élu·es doivent savoir

Au cas où vous l’auriez manqué — Risques de cybersécurité et municipalités — ce que les élu·es doivent savoir

Lire
Blogue
Comment mesurer votre programme de test d’hameçonnage : tous les indicateurs que vous devez connaître

Comment mesurer votre programme de test d’hameçonnage : tous les indicateurs que vous devez connaître

Lire
Blogue
Conseils pour une nouvelle année cybersécurisée

Conseils pour une nouvelle année cybersécurisée

Lire
Blogue
Restez à l’écoute

Voir plus de nouvelles

Lire
{( translate(state.status) )}