Votre guide du cadre de cybersécurité du NIST

Pour mettre l’impact de la cybercriminalité en perspective, examinons quelques chiffres importants et surprenants :

Les coûts de violation de données sont passés de 3,86 millions de dollars à 4,24 millions de dollars en 2021.

Tous 39 secondesil y a une attaque.

Sur 90% des organisations de santé ont été victimes d’au moins une violation au cours des trois dernières années.

La ligne du bas? Les cyberattaques sont fréquentes et coûteuses, et le COVID-19 n’a fait qu’attiser le feu, de plus en plus d’employeurs adoptant une structure de travail à distance. Rapports de vol d’identité augmenté pendant la pandémie et une majorité écrasante, en particulier 90% des entreprises, ont fait face à une augmentation des cyberattaques.

En plus d’embaucher des professionnels qualifiés qui possèdent un éducation à la cybersécuritéles entreprises se tournent vers des outils et des ressources éprouvés pour protéger leurs précieuses données et informations.

Un outil en particulier est le Cadre de cybersécurité du NISTqui est une ressource gratuite développée et fournie par les États-Unis gouvernement. Plongeons dedans.

Qu’est-ce que le cadre de cybersécurité du NIST ?

le Institut national des normes et de la technologie (NIST) décrit le cadre de cette façon :

« Le cadre est une orientation volontaire, basée sur les normes, directives et pratiques existantes pour les organisations afin de mieux gérer et réduire les risques de cybersécurité. En plus d’aider les organisations à gérer et à réduire les risques, il a été conçu pour favoriser les communications sur la gestion des risques et de la cybersécurité entre les parties prenantes internes et externes de l’organisation. »

Il est important de réitérer que ce cadre est ne pas obligatoire, bien qu’il soit certainement recommandé car il est basé sur des informations bien documentées et sur les meilleures pratiques. Plus important encore, il peut être “personnalisé par différents secteurs et organisations individuelles pour mieux répondre à leurs risques, situations et besoins”.

Contexte et développement du cadre NIST

La version 1.0 du cadre a été publié en février 2014 et, selon NIST“a été développé en réponse au décret présidentiel (EO) 13636, Améliorer la cybersécurité des infrastructures critiques.”

Le développement était un effort de collaboration entre les leaders de l’industrie, les parties prenantes concernées et les experts du secteur privé, et comprenait des ateliers, des activités de sensibilisation communautaire et des commentaires sollicités. Le NIST propose un tableau détaillé illustrant l’évolution du cadre.

Exemples d’entreprises et d’organisations utilisant le cadre

le impact mondial du NIST Cybersecurity Framework est de grande envergure.

Même si le NIST explique que “les principales parties prenantes du cadre sont les propriétaires et les exploitants d’infrastructures critiques du secteur privé américain, sa base d’utilisateurs s’est élargie pour inclure des communautés et des organisations à travers le monde”. Le cadre convient également à tous les types et à toutes les tailles d’entreprises, y compris les petites entreprises. Ce base d’utilisateur comprend certaines des plus grandes organisations de tous les secteurs.

Comment commencer

Cela peut sembler beaucoup d’informations, mais le NIST fournit une ventilation de tout ce que vous devez savoir pour commencer. Voici quelques notes importantes :

  • Le cadre est organisé en cinq fonctions importantes :
    • Identifier
    • Protéger
    • Détecter
    • Répondre
    • Se remettre

“Ces cinq termes largement compris, lorsqu’ils sont considérés ensemble, offrent une vue complète du cycle de vie de la gestion de la cybersécurité au fil du temps.”

Consulter Guide de démarrage rapide du NIST pour plus d’informations et pour voir les activités répertoriées sous chaque section.

  • Des questions? Le NIST a compilé une liste de Questions fréquemment poséesy compris:
    • À quelle infrastructure critique le cadre s’adresse-t-il?
    • Le cadre aurait-il empêché les récentes attaques très médiatisées ?
    • Quelle est la différence entre « utiliser », « adopter » et « mettre en œuvre » le cadre ?

Le cadre de cybersécurité du NIST fonctionne-t-il réellement ?

La reponse courte est oui! En fait, il existe un catalogue de réussites qui valide davantage le cadre. Les entreprises, les établissements d’enseignement supérieur et d’autres organisations ont mis en œuvre avec succès le cadre de cybersécurité du NIST à leur manière.

À quelle fréquence le cadre sera-t-il mis à jour ?

La cybercriminalité évolue constamment, ce qui signifie que le cadre évoluera également. NIST explique que le cadre sera « affiné, amélioré et évolué au fil du temps pour suivre le rythme des tendances technologiques et des menaces, intégrer les leçons apprises et établir les meilleures pratiques comme pratiques courantes ».

En fin de compte, il est important de consulter les bonnes ressources et d’employer les bons professionnels qualifiés pour lutter contre la cybercriminalité. Si vous cherchez à renforcer les lignes de front de votre équipe de cybersécurité, le NIST Cybersecurity Framework est un outil important qui mérite d’être vérifié. Comme nous le savons malheureusement, les cybercriminels ne font pas de discrimination lorsqu’il s’agit d’une attaque, ce qui signifie que toutes les entreprises et organisations de tous les secteurs sont à risque.


Biographie de l’auteur : Michelle Moore, Ph.D., est directrice académique et professeure de pratique pour le Programme innovant de maîtrise ès sciences en ligne sur les opérations et le leadership en matière de cybersécurité de l’Université de San Diego. Elle est également chercheuse et auteure avec plus de deux décennies d’expérience dans le secteur privé et le gouvernement en tant qu’experte en cybersécurité.

Note de l’éditeur: Les opinions exprimées dans cet article de l’auteur invité sont celles du contributeur et ne reflètent pas nécessairement celles de Tripwire, Inc.

Leave a Comment