Edito
Lors de la conférence du congrès mondial de l’Information Security Forum à Paris en novembre, Donna Dodson du NIST a présenté la version projet du Cybersecurity Framework. Cette conférence fait suite au décret présidentiel (executive order 13636) qui propose de renforcer la sécurité des infrastructures critiques aux États-Unis. En France, l’ANSSI travaille aussi à la rédaction d’un cyberréférentiel. Mais pourquoi cette nécessité ?
Jusqu'à présent, les normes et standards adressaient la problématique sécurité par domaine spécifique. Le traitement des aspects transverses du SI de gestion et du SI industriel dans le cas d’une cybermenace pose aujourd’hui question. Et pour cause, l’impact d’une cyberattaque ne se rapporte pas uniquement à l’organisation mais a également des conséquences sur les clients et usagers et donc, in fine, les citoyens. Ainsi, la sécurisation des infrastructures vitales devient un enjeu majeur pour les états.
Face à ces besoins, le NIST structure son référentiel suivant cinq grandes actions : Identifier, Protéger, Détecter, Répondre, Rétablir. Il introduit la notion de quatre niveaux de maturité organisationnelle et fait référence aux contrôles de sécurité existants dans les standards et normes. L’objectif est d’évaluer le niveau existant sur les cinq actions afin de pouvoir établir une stratégie. Le niveau cible est défini par la direction de l’organisation, sur la base d’une appréciation des cyberrisques et en accord avec les services de l’État.
Thierry Jardin
Vice-Président en charge des activités sécurité et gestion des risques - CGI Business Consulting