Le framework NIST et autres frameworks de cybersécurité pour la gestion des systèmes

Depuis la généralisation de l'utilisation des systèmes informatiques dans toutes les activités, ceux-ci font face à des contraintes au quotidien. Malveillance, mauvais usage de l'outil, mauvaise compréhension, pannes récurrentes... Pour aider les entreprises et organisations à faire face à ces contraintes, de nombreux cadres ont été créés, comme l'ITIL, le NIST ou l'ISO 27001. Chacun de ces cadres joue un rôle spécifique face à une contrainte du monde informatique et permet de sécuriser, gérer, optimiser et fiabiliser l'IT de manière générale.
Quelles sont les bases des frameworks NIST, ISO 27001 et ITIL ?
Ces cadres de travail ont pour objectifs communs de protéger le patrimoine informatique, de standardiser les pratiques pour faire face au risque et de garantir une conformité réglementaire au besoin. Ils reposent néanmoins sur des bases différentes et répondent principalement aux besoins des pays qui les ont mis en place dans un contexte bien particulier. Leur usage s'est généralisé par la suite au-delà des frontières et de nombreuses entreprises internationales les considèrent comme une vitrine de savoir-faire, gage de qualité et de sécurité, dans laquelle elles n'hésitent pas à puiser.
NIST
Le cadre NIST relatif à la cybersécurité a été mis en place par l'agence gouvernementale américaine du même nom en 2014 pour faire face à un risque majeur de cyberattaques aux USA. Le NIST Cybersecurity Framework répond donc à un besoin défensif et repose sur plusieurs documents. Le NIST CSF, qui est un guide de cyberdéfense à l'usage des entreprises, le NIST 800-53, qui est un catalogue de contrôles utilisés pour les organismes fédéraux, et la plus importante pour les entreprises : le NIST 800-171, qui est une norme de protection des données à destination de toutes les entreprises internationales qui ont vocation à travailler avec les Américains. Au départ seulement destinées aux organisations gouvernementales, ses recommandations d'ordre général lui ont permis d'être appliquée même hors Amérique jusque dans les entreprises privées.
ISO 27001
Mieux connue, la norme ISO 27001 est une norme SGSI (système de gestion de la sécurité de l'information). Elle participe à la promotion des pratiques de sécurisation des informations numériques et a été créée en 2005, plus pour protéger les clients et collaborateurs que les systèmes informatiques eux-mêmes. Inspirée de la norme anglaise de 1995 (la BS 7799), elle cherche à réduire le risque de fuite de données sensibles par accident ou malveillance.
Elle se base donc sur des préconisations pour créer un système de management fiable et sécurisé (un SMSI), pour identifier et gérer les risques informatiques... mais elle établit surtout des contrôles de sécurité pour s'assurer de l'intégrité et de la confidentialité des données stockées et échangées à tout moment.
ITIL
L'Information Technology Infrastructure Library n'est pas une norme en soi. Il s'agit d'un cadre de bonnes pratiques et de recommandations non contraignantes à visée d'amélioration des services informatiques fournis par l'administration et les entreprises publiques. Ce cadre a été défini dans les années 80 en Grande-Bretagne et a dernièrement été révisé en 2019. Il s'appuie sur des pratiques de résolution rapide d'incidents et de pannes, et sur une liste de recommandations techniques et matérielles pour garantir la qualité du service et surtout sa continuité. L'ITIL a donc plus une vocation d'amélioration de l'expérience utilisateur que de gestion du risque informatique à proprement parler.
Pourquoi les entreprises adoptent-elles ces standards de cybersécurité ?
Ces standards de sécurité et de qualité informatiques servent aux entreprises dans plusieurs démarches. La première est bien sûr la sécurisation de leur système et l'amélioration de celui-ci. Elles poursuivent donc un objectif de renforcement de la cybersécurité, recherchent la conformité avec les lois et règlements en vigueur, notamment sur la protection des données, et souhaitent améliorer les services qu'elles proposent à leurs clients. Mais en dehors de ces considérations backend, les entreprises cherchent aussi à faire la démonstration de leur engagement envers ces objectifs et à promouvoir leur démarche active. C'est pour cela qu'elles souhaitent en même temps mettre en avant leur adoption de ces normes et cadres et, si possible, afficher le macaron ou le logo du framework concerné sur leur CV, leur devanture ou les communications externes avec le public.
L'efficacité de ces cadres de travail et de gestion des risques est avérée. Ils permettent réellement de réduire les incidents sur le système informatique et de renforcer la cybersécurité. Personne ne remettra en cause non plus leur efficacité au regard de l'amélioration des services par les organisations gouvernementales. Les entreprises privées à vocation commerciale, elles, voient dans ces cadres une manière de renforcer leur résilience et leur compétitivité en facilitant leur adaptation en cas de crise liée aux IT et en réduisant les coûts liés aux conséquences d'une défaillance informatique qui pourra dès lors être évitée. Pour nombre d'entre elles, l'adoption d'un framework tel que l'ISO 27001, le NIST ou l'ITIL s'apparente à un investissement rentable.
Comparaison des frameworks pour une gestion optimale
ITIL, NIST et ISO sont trois cadres complémentaires dans leur approche et leurs objectifs de cybersécurité. NIST sera plus axé sur la gestion des risques cyber et leur prévention, en offrant des recommandations flexibles vouées à protéger les installations et les données critiques. Tandis que la norme ISO 27001, qui est internationale, présente un véritable système de management de la sécurité de l'information au sens large et permet d'obtenir une certification quant à la gestion de ces risques.
L'ITIL est de loin le cadre le moins contraignant et permet de se documenter et de sélectionner parmi les pratiques recommandées celles qui pourront œuvrer à l'optimisation des processus informatiques et à la réduction des accidents. C'est un recueil de recommandations axées sur l'expérience de l'utilisateur.
Le choix d'adopter tel ou tel cadre plus qu'un autre dépend donc de l'objectif de l'entreprise et de son secteur d'activité. Là où le NIST concernera surtout les entreprises qui ont un lien avec les États-Unis et souhaitent montrer leur engagement cybersécuritaire pour s'ouvrir des opportunités en Amérique, la norme ISO 27001 concernera la plupart des entreprises à travers le monde, particulièrement les secteurs de la finance et de la santé, du fait du volume et de la diversité des données sensibles échangées et stockées. Son adoption est libre, sans considération du pays où siège l'entreprise. Rien n'interdit la combinaison de plusieurs de ces cadres de gestion des risques si une entreprise recherche une prise en compte complète des problèmes liés au domaine IT.
Comment maîtriser les frameworks pour sécuriser les systèmes d'information
La plupart de ces cadres consistent en des recommandations non contraignantes qui n'obligent pas les entreprises. Ainsi, l'adoption seule d'un framework ne saurait suffire à la bonne gestion des risques informatiques. Ils nécessitent une adaptation active des entreprises et une véritable volonté de mise en place des processus recommandés et des conseils donnés.
Replacer le risque au centre des préoccupations
C'est un point commun à tous les cadres de travail sur la gestion du risque : le faire passer au centre des discussions et des décisions pour être certain de toujours le considérer avant de passer à l'action. Il faudra donc mettre en place des études, des analyses de risques pour les identifier selon les systèmes concernés... repérer les infrastructures critiques, prendre en considération les erreurs passées pour comprendre l'impact de chaque risque informatique sur l'entreprise.
De cette analyse découlera la mise en place de parades, tels des pares-feux, des systèmes sécurisés adaptés, des méthodes d'authentification plus fortes... Les cadres ITIL, NIST et ISO 27001 aideront les entreprises dans cette approche et ce changement.
Changement de politique et clarté des procédures
Aucun résultat ne peut être obtenu sans des règles bien établies, compréhensibles et respectées de tous. Les normes n'étant pas contraignantes en elles-mêmes, c'est à l'entreprise de traduire les recommandations en règlements internes et de sensibiliser le personnel et les équipes à cette politique centrée sur le risque informatique. Les managers, au besoin diplômés d'un Master en Management Cybersécurité, devront obtenir l'adhésion du groupe à ces pratiques importantes et participer à la formation continue de tous les acteurs. Sans oublier de s'assurer du respect des recommandations et des règlements.
Être attentif aux écarts, faire des audits, et améliorer en continu
Une fois le système mis en place, les résultats ne vont pas se faire attendre longtemps. Pour autant, le rôle de l'entreprise dans la gestion des risques informatiques n'est pas terminé et il faudra pérenniser les acquis sur le long terme. En mettant en place une supervision des systèmes sécurisés, des audits pour tester les systèmes, voire organiser des simulations de crises pour s'assurer de la résilience de l'infrastructure matérielle et logicielle, et de la bonne formation des équipes. De plus, la menace cyber évoluant rapidement, il sera nécessaire de mettre à jour les pratiques et les mesures de sécurité en fonction, et de se tenir informé des changements et des rééditions des textes fondateurs des normes ISO 27001 et des cadres ITIL et NIST, pour pouvoir en conserver le bénéfice. En effet, un écart trop important avec une norme certifiante comme l'ISO 27001 pourrait, après un incident ou un audit externe, remettre en cause sa validité. Ce qui est contraignant pour l'entreprise, et pourrait nuire à son image auprès du public et des partenaires les plus exigeants sur la gouvernance en matière de cybersécurité.