Cadre de cybersécurité du NIST : guide pratique du CSF 2.0 destiné aux équipes informatiques et aux fournisseurs de services gérés (MSP)

Le NIST CSF 2.0 est le cadre de cybersécurité que de plus en plus de clients utilisent pour structurer leurs programmes de sécurité et évaluer le niveau de sécurité des équipes informatiques et des MSP avec lesquels ils travaillent. Il a remplacé le CSF 1.1 en février 2024, marquant la mise à jour la plus importante depuis la publication initiale du cadre en 2014. Pour toute organisation ayant élaboré son programme de sécurité sur la base du CSF 1.1, ces changements ont des implications opérationnelles importantes.

Le changement majeur réside dans la nouvelle sixième fonction, « Govern » (Gouvernance). Elle vient s’ajouter aux cinq fonctions initiales (Identifier, Protéger, Détecter, Réagir, Récupérer) et comble les lacunes laissées par le CSF 1.1 : qui est responsable des décisions en matière de cybersécurité, comment la gestion des risques s’intègre-t-elle dans l’ensemble de l’entreprise, et comment les risques liés à la chaîne d’approvisionnement sont-ils gérés ? Le CSF 2.0 abandonne également le cadre initial des « infrastructures critiques » et s’adresse désormais explicitement aux organisations de toutes tailles et de tous secteurs, ce qui constitue une différence significative pour les petites équipes informatiques et les clients des MSP qui devaient auparavant adapter le langage des infrastructures critiques à leur propre contexte.

Ce guide présente les exigences concrètes du CSF 2.0. Les six fonctions et ce que chacune d'entre elles signifie concrètement, le fonctionnement des niveaux de mise en œuvre et des profils, la manière dont le cadre s'aligne sur les autres normes que vous utilisez peut-être déjà, et comment les MSP peuvent utiliser le CSF 2.0 comme une méthode structurée pour fournir et justifier des services de conseil en sécurité. Pour en savoir plus sur l'ensemble des recommandations du NIST, y compris la série SP 800 et son lien avec le CSF, consultez l'article complémentaire sur ce qu'est la conformité NIST et comment s'y mettre.

Qu'est-ce que le cadre de cybersécurité du NIST ?

Le cadre de cybersécurité du NIST est un référentiel facultatif élaboré par l'Institut national des normes et des technologies (NIST) afin d'aider les organisations à gérer les risques liés à la cybersécurité. Il structure les activités de cybersécurité en fonctions, catégories et sous-catégories, offrant ainsi aux organisations une approche structurée pour comprendre, évaluer et améliorer leur niveau de sécurité, sans pour autant leur imposer de méthode précise pour y parvenir.

Ce cadre est délibérément indépendant de toute technologie et axé sur les résultats. Il décrit ce qu’une organisation doit être capable de faire, et non l’outil à utiliser pour y parvenir. C’est cette flexibilité qui explique pourquoi le CSF est si souvent associé à des normes plus prescriptives. La norme NIST SP 800-53 fournit un catalogue détaillé de contrôles auxquels les sous-catégories du CSF sont rattachées. La version 8.1 des CIS Controls offre un guide de mise en œuvre hiérarchisé. La norme ISO 27001 fournit une structure de système de gestion vérifiable. Le CSF vous donne le cadre stratégique, et les autres normes complètent les détails de mise en œuvre.

Pour les prestataires du gouvernement fédéral américain, la conformité aux normes du NIST passe du stade facultatif à celui d'obligation. La loi FISMA impose aux agences fédérales de suivre directement les recommandations du NIST. Le niveau 2 du CMMC correspond à la norme NIST SP 800-171. Les organisations qui postulent à des marchés publics fédéraux, ou qui fournissent des entreprises en possession de tels contrats, tirent profit de la conformité au CSF, qui constitue le fondement stratégique dans lequel s'inscrivent ensuite les autres exigences réglementaires.

Quelles sont les nouveautés de CSF 2.0 ?

Quatre nouveautés de CSF 2.0 revêtent une importance particulière pour les professionnels.

La première est la nouvelle fonction « Govern ». Le CSF 2.0 ajoute une sixième fonction axée sur le contexte organisationnel, la stratégie de gestion des risques, les risques liés à la chaîne d'approvisionnement, les rôles et responsabilités, les politiques et la supervision. Cette fonction reconnaît que la gouvernance de la cybersécurité – c'est-à-dire qui prend les décisions et qui en est responsable – est tout aussi essentielle que les contrôles techniques eux-mêmes. Les organisations qui ont mis en œuvre des programmes CSF 1.1 sans couche de gouvernance documentée constateront qu'il s'agit là de la lacune la plus importante à combler.

Le deuxième point concerne l'élargissement explicite du champ d'application. La version 1.1 du CSF avait été conçue pour les infrastructures critiques. La version 2.0 s'adresse explicitement à toutes les organisations : petites entreprises, grandes entreprises, organismes publics, établissements scolaires, hôpitaux, fournisseurs de services gérés (MSP). La documentation du cadre utilise désormais des exemples qui reflètent ce public plus large, plutôt que le vocabulaire propre aux secteurs de l'énergie, des transports et de l'eau qui caractérisait la version originale.

Le troisième point concerne l'élargissement du contenu relatif à la gestion des risques liés à la chaîne d'approvisionnement. Les attaques visant la chaîne d'approvisionnement sont devenues un vecteur de menace majeur depuis la publication du CSF 1.1 en 2018, et le CSF 2.0 élargit considérablement les recommandations relatives à l'évaluation, à la gestion et à la contractualisation des risques liés à la cybersécurité des tiers. Pour les MSP, qui font eux-mêmes partie de la chaîne d'approvisionnement de leurs clients, cette section est à lire absolument.

Le quatrième point concerne la mise à jour de la structure des catégories et sous-catégories. Le nombre de sous-catégories a changé, certaines catégories ont été réorganisées, et le guide reflète plus explicitement que ne le faisait la version 1.1 du CSF les domaines d'activité actuels, tels que la sécurité des technologies opérationnelles et la sécurité du cloud. Les organisations qui procèdent à une mise à jour à partir d'un programme CSF 1.1 devraient cartographier leurs contrôles existants dans la structure CSF 2.0 plutôt que de partir du principe d'un transfert direct, à l'identique.

Les six fonctions

Les six fonctions du CSF 2.0 structurent les activités de cybersécurité au plus haut niveau. Chacune d'entre elles se subdivise en catégories, puis en sous-catégories qui décrivent des résultats spécifiques.

Gouvernance (GV). Nouvelle fonction introduite dans la norme CSF 2.0. Définir et superviser la stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité. Couvre le contexte organisationnel, la stratégie de gestion des risques, les rôles et responsabilités en matière de cybersécurité, la politique, la supervision et la gestion des risques liés à la chaîne d'approvisionnement.

Identification (ID). Comprendre les risques liés à la cybersécurité auxquels l'organisation est exposée en ce qui concerne ses systèmes, son personnel, ses actifs, ses données et ses capacités. C'est ici que s'inscrivent la gestion des actifs, l'évaluation des risques et la planification des améliorations.

Protection (PR). Mettre en œuvre les mesures de sécurité nécessaires au bon fonctionnement des services essentiels. Gestion des identités et contrôle d'accès, sensibilisation et formation, sécurité des données, sécurité des plateformes et résilience de l'infrastructure technologique.

Détection (DE). Identifier la survenue d'un incident de cybersécurité dès qu'il se produit. Surveillance continue et analyse des incidents.

Réagir (RS). Prendre des mesures lorsqu'un incident de cybersécurité est détecté. Gestion des incidents, analyse des incidents, rapports sur les mesures prises, atténuation des risques et amélioration après incident.

Récupération (RC). Rétablissement des capacités ou des services affectés par un incident de cybersécurité. Mise en œuvre du plan de reprise après incident et communication relative à la reprise après incident.

Le déséquilibre le plus courant dans les programmes CSF mis en œuvre dans la pratique réside dans un surinvestissement dans la fonction « Protection » par rapport aux fonctions « Détection » et « Réaction ». Les organisations se dotent de nombreux contrôles préventifs, mais de capacités de détection et de réaction relativement limitées, puis s’étonnent que la détection et la maîtrise de l’incident inévitable prennent plus de temps qu’elles ne le devraient. Le CSF 2.0 ne prescrit pas de répartition budgétaire précise, mais un programme crédible se caractérise par un niveau de maturité à peu près proportionnel entre les six fonctions, et non par un score élevé en « Protection » contrastant avec des capacités de « Détection » et de « Réaction » insuffisantes.

Niveaux et profils

CSF 2.0 conserve le modèle de niveaux de mise en œuvre et de profils qui existait dans CSF 1.1, tout en proposant des recommandations plus précises sur la manière de les utiliser.

Les niveaux de mise en œuvre décrivent la rigueur et la sophistication des pratiques de gestion des risques de cybersécurité d’une organisation selon quatre niveaux : Niveau 1 (Partiel), Niveau 2 (Fondé sur les risques), Niveau 3 (Répétable) et Niveau 4 (Adaptatif). Ces niveaux ne constituent pas des notes de conformité. Ils caractérisent la manière dont l’organisation gère les risques et le degré de maturité de ses pratiques, et non le fait qu’elle ait ou non coché une liste de cases. La plupart des PME viseront raisonnablement le niveau 2 ou le niveau 3 pour l'essentiel de leur programme plutôt que de viser le niveau 4 dans tous les domaines.

Les profils permettent à une organisation d'adapter le CSF à son contexte spécifique. Un profil actuel décrit les résultats en matière de cybersécurité que l'organisation obtient aujourd'hui. Un profil cible décrit les résultats que l'organisation souhaite atteindre compte tenu de son appétit pour le risque, de son environnement réglementaire et de ses objectifs commerciaux. L'écart entre les deux constitue le plan d'amélioration. Pour un MSP proposant des services de conseil en sécurité, l'élaboration de profils actuels et cibles pour chaque client est l'un des moyens les plus efficaces de mettre en évidence le travail accompli et de structurer une discussion sur une feuille de route pluriannuelle.

Voyons comment cela se traduit concrètement. Un client du secteur des services professionnels comptant 120 utilisateurs est soumis aux exigences du CSF 2.0, car son principal client (un prestataire du gouvernement fédéral) exige de ses fournisseurs qu’ils démontrent leur conformité. Le MSP effectue une évaluation du profil actuel et constate que le client se situe approximativement au niveau 2 pour les volets « Identifier » et « Protéger », au niveau 1 pour les volets « Détecter » et « Réagir », et qu’il ne dispose d’aucune fonction documentée pour le volet « Gouverner ». Le profil cible, défini en fonction des obligations contractuelles du client, est de niveau 3 pour les fonctions « Identifier », « Protéger », « Détecter », « Réagir » et « Récupérer », et de niveau 2 pour la fonction « Gouverner ». Cet écart donne lieu à une mission structurée de 18 mois : travail de base sur la gouvernance au premier trimestre, outils et guides opérationnels de détection/réponse aux deuxième et troisième trimestres, et amélioration continue pendant le reste du programme. Le CSF transforme ce qui aurait été une vague mission d’« amélioration de notre sécurité » en un périmètre contractuel avec des jalons de progrès mesurables.

Comment CSF 2.0 s'intègre aux autres frameworks

Le CSF est rarement utilisé isolément. La plupart des organisations qui l'utilisent s'efforcent également de respecter, ou respectent déjà, d'autres obligations liées à des référentiels. Comprendre ces recoupements permet d'éviter les doublons.

La norme NIST SP 800-53 constitue le catalogue détaillé des mesures de contrôle auxquelles renvoient les sous-catégories du CSF. Les organisations qui utilisent le CSF pour définir leur cadre stratégique et la norme SP 800-53 pour les détails de mise en œuvre bénéficient ainsi de perspectives complémentaires sur un même programme de sécurité, à différents niveaux de précision.

La norme NIST SP 800-171 regroupe les mesures de contrôle de la norme SP 800-53 qui s'appliquent aux informations non classifiées mais soumises à des restrictions de sécurité conservées dans des systèmes non fédéraux. Le niveau 2 du CMMC s'appuie sur la norme SP 800-171 ; ainsi, une organisation qui se conforme au CSF et à la norme SP 800-171 accomplit déjà la majeure partie du travail requis pour la certification CMMC.

La version 8.1 de CIS Controls correspond largement aux fonctions et catégories du CSF. Une organisation qui met en œuvre le groupe de mise en œuvre 2 de CIS Controls constatera une forte adéquation avec le CSF, et ce avec relativement peu d'efforts supplémentaires.

La norme ISO 27001 partage l'approche du CSF, axée sur les risques et les résultats. De nombreuses organisations appliquent ces deux cadres : elles utilisent le CSF pour définir leur cadre stratégique et la norme ISO 27001 pour mettre en place un système de gestion vérifiable. La certification ne garantit pas automatiquement la conformité au CSF, mais les contrôles sous-jacents sont hautement compatibles.

Mise en œuvre du NIST CSF 2.0 pour les fournisseurs de services gérés (MSP) et les équipes informatiques

La mise en œuvre concrète de CSF 2.0 se décompose en cinq étapes.

Commencez par la fonction « Govern ». C'est généralement à ce niveau que les programmes CSF 1.1 doivent faire l'objet d'améliorations, et c'est là que les exigences de la version 2.0 du CSF sont les plus explicites. Précisez qui est responsable de la cybersécurité, quel est le niveau de tolérance au risque de l'organisation, comment les décisions en matière de cybersécurité sont transmises à la hiérarchie et comment les risques liés à la chaîne d'approvisionnement sont gérés. La fonction « Govern » constitue le socle sur lequel reposent les fonctions techniques. Les programmes qui la négligent ont tendance à stagner au niveau 2.

Réalisez une évaluation du profil actuel. Passez en revue les catégories et sous-catégories, et consignez les résultats concrets obtenus aujourd’hui en matière de cybersécurité. Il s’agit de l’action la plus utile à court terme qu’une organisation puisse entreprendre ; cette évaluation met souvent en évidence des lacunes en matière de gouvernance et des angles morts dans la détection que personne n’avait signalés auparavant. Pour les MSP, le profil actuel constitue le document de référence qui sert de cadre à toutes les discussions qui s’ensuivent.

Définissez un profil cible réaliste. Ce profil cible doit refléter le cadre réglementaire de l'organisation, ses obligations contractuelles et son appétit pour le risque, et non un objectif maximal ambitieux. Un profil cible visant le niveau 4 pour l'ensemble des six fonctions sans disposer du budget nécessaire pour le soutenir aboutit à un rapport faisant état d'écarts permanents plutôt qu'à une feuille de route réalisable.

Donnez la priorité aux lacunes présentant le plus grand risque. Pour la plupart des organisations, c'est dans les domaines de la détection, de la réaction et de la gouvernance que se situent les écarts les plus importants, plutôt que dans celui de la protection. Les capacités de surveillance continue, les guides opérationnels documentés pour la gestion des incidents et la responsabilisation formelle en matière de gouvernance permettent une réduction des risques disproportionnée par unité d'effort, par rapport à la mise en place de contrôles préventifs supplémentaires dans une fonction de protection déjà bien établie.

Utilisez les outils de la plateforme pour mettre en œuvre les sous-catégories techniques. La Kaseya 365 correspond directement à la mise en œuvre du CSF dans la plupart des sous-catégories. Kaseya VSA 10 et Datto RMM couvrent la gestion des actifs et la gestion des correctifs (Identifier, Protéger). Datto EDR couvre la détection et la réponse au niveau des terminaux (Détecter, Réagir). Datto BCDR couvre la reprise après sinistre (Récupérer). BullPhish ID la formation à la sensibilisation (Protéger). Compliance Manager GRC la gouvernance, le suivi des profils et la documentation des preuves (Gouverner). Compliance Manager GRC comprend un workflow d'évaluation NIST CSF 2.0 avec suivi des profils actuels et cibles et extrait automatiquement les preuves techniques des autres composants de la plateforme, ce qui constitue la différence entre l'exécution d'un programme CSF sur une feuille de calcul et son exécution en tant que service opérationnel.

Les organisations qui tirent le meilleur parti du CSF 2.0 ne sont pas celles qui obtiennent les meilleurs scores. Ce sont celles qui considèrent ce cadre comme un moyen structuré d’aborder des sujets délicats. Sur la question de savoir qui est responsable des décisions en matière de cybersécurité, sur les véritables faiblesses du programme plutôt que sur ses points forts, sur les contrôles qui ont leur place et ceux qui ont été achetés sans fonction claire. Le CSF 2.0 ne vous dit pas quoi faire. Il vous indique ce à quoi vous devriez être en mesure de répondre. Les organisations qui peuvent répondre clairement sont celles dont les clients, les auditeurs et les assureurs cessent de poser des questions complémentaires.