Une nouvelle version 2.0 du NIST Cybersecurity Framework prévue en 2024, quels impacts ?

Le NIST (National Institute of Standards and Technology) est une agence gouvernementale américaine chargée de promouvoir la recherche et le développement en sciences et technologies. Elle établit notamment des frameworks ( « cadres de travail ») permettant l’encadrement méthodologique de travaux réalisés dans un domaine donné. L’un de ces frameworks est le NIST Cybersecurity Framework.

Le NIST Cybersecurity Framework (NIST CSF) est un framework de cybersécurité facilitant la gestion des risques cyber dans les organisations. Le NIST propose ainsi un cadre de cybersécurité flexible, s’adaptant facilement aux différents environnements organisationnels. Publié le 12 février 2014, aujourd’hui en version 1.1 (dernière mise à jour réalisée le 16/04/2018), il continue d’évoluer. En effet, le NIST a publié l’Initial Public Draft du NIST CSF 2.0 le 8 Août 2023. Cette première ébauche dessine les contours de la publication finale prévue début 2024.

Dans cet article, nous détaillons les évolutions majeures et mineures de ce framework.

Chronologie du NIST Cybersecurity Framework

I. Evolutions majeures du NIST Cybersecurity Framework 2.0

A. Ajout d’une nouvelle fonction gouvernance : « Govern »

Fonctions du NIST Cybersecurity Framework 2.0

Une des évolutions apportées par le CSF 2.0 est son changement de structure. Ce framework compte désormais six grandes fonctions avec l’ajout de la gouvernance, contre 5 précédemment. L’ajout de cette fonction souligne l’importance de la cybersécurité comme une source de risques. Comme les risques financiers et légaux, la gouvernance doit être abordée par le top management.

Alors que la gouvernance de la cybersécurité était autrefois traitée de manière transverse, elle sera désormais abordée de manière spécifique au sein de cette nouvelle fonction. Elle permet de regrouper et d’identifier les objectifs liés à la gouvernance, qui sont, dans la version 1.1 du CSF, centralisés dans des catégories telles que l’environnement professionnel ou la stratégie de gestion des risques.

B. Renforcement de la gestion des risques cyber liés à la chaîne d’approvisionnement (Supply Chain)

De récents incidents, tels que ceux en lien avec la librairie OpenSSL, Log4J, et les produits SolarWinds, montrent la nécessité d’adresser les risques liés à l’utilisation d’une technologie tierce. Au-delà de la mise en place de l’intégration de la sécurité dans le design de ces technologies, la gestion des risques liés à la chaîne d’approvisionnement doit être maîtrisée. Dans ce contexte, de nombreux commentaires sur le NIST 1.1 sont en faveur du renforcement de l’intégration des risques de compromission de la chaîne d’approvisionnement liés à la cybersécurité dans le NIST CSF 2.0.

Le NIST 2.0 renforce l’importance de ce sujet en créant une catégorie dédiée à la Cyber Supply Chain Risk Management (C-SCRM) dans la fonction gouvernance, GV.SC. Cette catégorie reflète les dernières recommandations et pratiques développées par le NIST sur ce sujet, en lien notamment avec le Framework C-SCRM.

II. Autres évolutions

Clarification de l’élargissement du périmètre d’application du Framework  

Le CSF est réputé pour sa neutralité en termes de technologie et de fournisseur, qui le rend adaptable à une multitude d’organisations, quels que soient leur taille et leur secteur. Bien qu’auparavant toute organisation utilisant le NIST CSF pouvait adapter le Framework à son contexte, cette nouvelle version se veut plus inclusive en excluant les termes spécifiques liés aux infrastructures critiques. Cela se reflète notamment dans son changement d’appellation, depuis « Framework for Improving Critical Infrastructure Cybersecurity » vers le « Cybersecurity Framework », terme qui était déjà employé pour se référer au NIST CSF.

III. Aides pour la mise en œuvre pratique du NIST Cybersecurity Framework 2.0

La version 2.0 du NIST CSF comprend également des éléments pratiques visant à faciliter sa mise en œuvre. Ces améliorations comprennent :

  • La création d’exemples d’implémentation théorique pour les sous-catégories du NIST CSF ;
  • Des recommandations plus détaillées et étendues sur les étapes d’utilisation des profils et l’illustration de certaines de leurs utilisations ;
  • Des modèles théoriques que les organisations peuvent utiliser ou adapter pour créer leurs profils et leurs plans d’action ;
  • Ainsi qu’une amélioration du site web NIST CSF pour offrir un accès simplifié aux ressources complémentaires.

Plusieurs Frameworks ont été revus pour adapter la terminologie du CSF 2.0 aux mises à jour de certains sujets. Ainsi, ces Frameworks sont également cités comme références pour plus de détails sur les sujets abordés dans le CSF 2.0. Exemples : Risk Management Framework, Privacy Framework, National Initiative for Cybersecurity Education Workforce Framework for Cybersecurity (NICE), Secure Software Development Framework.

Conclusion

Headmind Partners suit avec attention cette évolution du NIST CSF pour accompagner ses clients dans la prise en compte de cette nouvelle version du framework.

Nous proposons un accompagnement à la mise en œuvre du NIST CSF, grâce à la capitalisation des connaissances de notre Lab Homologation & Compliance. HeadMind permet aux organisations d’évaluer leur niveau de maturité sur cette base et de mettre en place un cadre adapté à leurs spécificités.

Co-écrit par Sarah Tedeschi, Audrey Fourniès, Thibaut Lamonier et Moritz Leoni.