Checklist du framework de cybersécurité NIST 2.0

Book a Demo Télécharger le PDF

Le Cadre de Cybersécurité NIST (CSF) 2.0 est une version mise à jour du cadre original, publiée en 2023. Toutes les versions du NIST visent à offrir aux organisations un ensemble flexible de lignes directrices pour réduire les risques et améliorer leur posture de sécurité. La version 1.0 a été introduite en 2014, suivie par la version 1.1 en 2018, qui a mis davantage l’accent sur la gestion des risques dans la chaîne d’approvisionnement, parmi d’autres sujets. Ces deux versions ont été largement adoptées et ont aidé de nombreuses organisations à construire des programmes de sécurité solides. Bien que l’adoption ne soit pas obligatoire, la conformité aux directives du NIST peut être exigée par la loi ou les règlements, notamment pour les agences fédérales, ou encore par des obligations contractuelles avec des clients ou des partenaires.

La version 2.0 du NIST, publiée officiellement en 2024, introduit une nouvelle fonction : Gouverner, afin d’adapter le cadre aux défis actuels en cybersécurité. Cette fonction, déjà partiellement présente dans les versions précédentes, est désormais formalisée en tant qu’étape à part entière. Elle aide les organisations à aligner leurs efforts en cybersécurité avec leurs objectifs commerciaux, en fournissant aux équipes informatiques et de sécurité les outils nécessaires pour concevoir des stratégies fondées sur les priorités de risque, renforcer la sensibilisation organisationnelle aux risques, et justifier les investissements supplémentaires dans les programmes.

GOUVERNANCE (GV) - Nouveau dans NIST 2.0

Structure de Gouvernance Cybersécurité (GV.ST)

☐ Établir une structure de gouvernance avec des rôles et responsabilités définis

☐ Assurer une supervision au niveau exécutif du programme de cybersécurité

☐ Créer des comités de gouvernance avec une représentation appropriée

 

Stratégie Cybersécurité (GV.SG)

☐ Développer une stratégie cybersécurité complète alignée sur les objectifs métier

☐ Établir des objectifs stratégiques de cybersécurité

☐ Allouer les ressources selon les priorités stratégiques

 

Programme de Gestion des Risques (GV.RM)

☐ Implémenter un programme de gestion des risques à l’échelle de l’entreprise

☐ Définir l’appétit et les niveaux de tolérance au risque

☐ Établir une méthodologie d’évaluation des risques

 

Conformité et Obligations (GV.CO)

☐ Identifier toutes les exigences réglementaires applicables

☐ Établir des processus de surveillance et de reporting de conformité

☐ Maintenir la documentation des activités de conformité

 

IDENTIFIER (ID)

Stratégie de Gestion des Risques (ID.RM)

☐ Établir les processus organisationnels de gestion des risques

☐ Déterminer la tolérance au risque

☐ Documenter la stratégie de gestion des risques

 

Gestion des Actifs (ID.AM)

☐ Inventorier tous les dispositifs et systèmes physiques

☐ Inventorier les plateformes logicielles et applications

☐ Cartographier les flux de communication et de données

☐ Cataloguer les systèmes d’information externes

☐ Prioriser les ressources selon leur classification et criticité

 

Environnement Métier (ID.BE)

☐ Identifier et prioriser les fonctions métier critiques

☐ Documenter les dépendances et fonctions critiques pour la prestation de services

☐ Établir les exigences de résilience pour les fonctions critiques

 

Governance (ID.GV)

☐ Établir et communiquer les politiques de cybersécurité

☐ Aligner les rôles et responsabilités cybersécurité

☐ Comprendre les exigences légales et réglementaires

☐ Gouverner et gérer les risques cybersécurité

 

Évaluation des Risques (ID.RA)

☐ Identifier et documenter les vulnérabilités des actifs

☐ Collecter et évaluer la veille sur les menaces

☐ Identifier les impacts métier potentiels et probabilités

☐ Déterminer les réponses aux risques selon les facteurs de risque

☐ Mettre à jour régulièrement les processus d’évaluation des risques

 

Gestion des Risques de la Chaîne d’Approvisionnement (ID.SC)

☐ Identifier, prioriser et évaluer les fournisseurs et partenaires

☐ Implémenter des processus de gestion des risques de la chaîne d’approvisionnement

☐ Inclure les exigences cybersécurité dans les contrats

☐ Évaluer régulièrement les fournisseurs et partenaires tiers

 

PROTÉGER (PR)

Gestion des Identités et Contrôle d’Accès (PR.AC)

☐ Établir la gestion des identités pour les utilisateurs et dispositifs

☐ Gérer et protéger les accès physiques et distants

☐ Implémenter le principe du moindre privilège et la séparation des tâches

☐ Protéger l’intégrité réseau par la segmentation

 

Sensibilisation et Formation (PR.AT)

☐ Conduire des formations de sensibilisation à la cybersécurité

☐ Assurer que les utilisateurs comprennent leurs rôles et responsabilités

☐ Fournir une formation cybersécurité spécialisée pour des rôles spécifiques

☐ Former les dirigeants et tiers sur leurs responsabilités

 

Sécurité des Données (PR.DS)

☐ Protéger les données au repos, en transit et en cours d’utilisation

☐ Implémenter des contrôles de sécurité des données (chiffrement, vérification d’intégrité)

☐ Implémenter des procédures formelles de destruction des données

☐ Assurer une capacité adéquate pour la disponibilité système

☐ Implémenter des mécanismes de protection contre les fuites de données

 

Processus et Procédures de Protection de l’Information (PR.IP)

☐ Créer et maintenir des configurations de référence

☐ Implémenter un cycle de vie de développement système

☐ Établir des processus de contrôle des changements de configuration

☐ Effectuer des sauvegardes régulières

☐ Établir et tester les plans de réponse aux incidents et de continuité d’activité

☐ Mettre à jour les plans de réponse et récupération selon les leçons apprises

 

Maintenance (PR.MA)

☐ Effectuer et journaliser les activités de maintenance

☐ Approuver et contrôler les activités de maintenance distante

 

Technologie de Protection (PR.PT)

☐ Implémenter des enregistrements d’audit/journaux

☐ Protéger les supports amovibles

☐ Configurer les systèmes selon les principes de sécurité

Implémenter la protection des communications et réseaux de contrôle

 

 

DÉTECTER (DE)

Anomalies et Événements (DE.AE)

☐ Établir une baseline des opérations réseau et flux de données

☐ Analyser les événements détectés pour comprendre les cibles et méthodes d’attaque

☐ Agréger et corréler les données d’événements de sources multiples

☐ Déterminer l’impact des événements et seuils d’action

 

Surveillance Continue de Sécurité (DE.CM)

☐ Surveiller les réseaux, environnement physique et activité du personnel

☐ Effectuer des analyses de vulnérabilités

☐ Déployer des systèmes de surveillance aux emplacements stratégiques

☐ Surveiller les dispositifs, logiciels et codes non autorisés

☐ Surveiller l’activité non autorisée des prestataires de services externes

 

Processus de Détection (DE.DP)

☐ Définir les rôles et responsabilités des processus de détection

☐ Assurer que les activités de détection respectent les exigences

☐ Tester régulièrement les processus de détection

☐ Communiquer les informations de détection aux parties appropriées

☐ Améliorer continuellement les processus de détection

 

RÉPONDRE (RS)

Planification de Réponse (RS.RP)

☐ Exécuter et maintenir le plan de réponse pendant les incidents

 

Communications (RS.CO)

☐ Établir le personnel pour la coordination de réponse

☐ Signaler les incidents selon les critères établis

☐ Partager les informations d’incident conformément aux plans de réponse

☐ Coordonner avec les parties prenantes selon les plans de réponse

☐ Partager volontairement les informations d’incident avec les parties prenantes externes

Analyse (RS.AN)

☐ Investiguer les notifications des systèmes de détection

☐ Comprendre l’impact des incidents

☐ Effectuer une analyse forensique

☐ Catégoriser les incidents selon les plans de réponse

 

Atténuation (RS.MI)

☐ Contenir les incidents pour minimiser l’impact

☐ Atténuer les incidents pour prévenir l’expansion

☐ Documenter les vulnérabilités nouvellement identifiées

 

Améliorations (RS.IM)

☐ Incorporer les leçons apprises dans les plans de réponse

☐ Mettre à jour les stratégies de réponse selon les leçons apprises

 

RÉCUPÉRER (RC)

Planification de Récupération (RC.RP)

☐ Exécuter et maintenir le plan de récupération pendant les incidents

 

Améliorations (RC.IM)

☐ Incorporer les leçons apprises dans les plans de récupération

☐ Mettre à jour les stratégies de récupération selon les leçons apprises

 

Communications (RC.CO)

☐ Gérer les relations publiques pendant et après les incidents

☐ Réparer la réputation après les incidents

☐ Communiquer les activités de récupération aux parties prenantes

 

Cette liste de contrôle fournit un cadre complet pour la mise en œuvre du NIST CSF 2.0 dans votre organisation. Il peut être nécessaire de l’adapter en fonction de votre secteur, de la taille de votre entreprise et des exigences réglementaires spécifiques.

Le NIST CSF 2.0 représente une approche fondée sur les meilleures pratiques pour la gestion des risques cyber, et [CompanyName_REDACTED] permet de démontrer efficacement la conformité aux parties prenantes et aux auditeurs.