Respecter le cadre de cybersécurité du NIST
En 2013, le National Institute of Standards and Technology (Institut national des normes et de la technologie, NIST) a élaboré un cadre de cybersécurité, créant ainsi le NIST CSF. Le cadre de cybersécurité basé sur les risques est désormais utilisé à l’échelle internationale afin de fournir un langage commun et une base en matière de gestion des risques de cybersécurité. L’un des principaux avantages du cadre volontaire est qu’il aide les entreprises à identifier les écarts entre leurs niveaux de sécurité actuels et ceux souhaités, et qu’il sert de guide concernant les mesures devant être prises pour y parvenir.
Le cadre de cybersécurité du NIST aide les entreprises à identifier les risques en matière de cybersécurité des systèmes, des actifs et des activités et les risques pour les personnes. Il assiste les entreprises dans la mise en place de systèmes de défense de manière proactive et leur permet également de détecter les événements et les menaces au fur et à mesure qu’ils surviennent et d’élaborer des plans de réponse. Enfin, le cadre de cybersécurité du NIST aide les entreprises à restaurer les capacités et les services dans l’éventualité où un événement de cybersécurité se produirait ou s’il se produit effectivement. En plus d’aider les entreprises à lutter contre les risques, le cadre encourage la communication entre les parties prenantes internes et externes. Répondre aux risques en matière de cybersécurité est la responsabilité de chacun.
Ce dont vous avez besoin
Développer une compréhension de l’entreprise afin de gérer les risques de cybersécurité.
Développer et mettre en œuvre un plan de réponse complet.
Développer et mettre en œuvre des mesures de contrôle pertinentes.
Développer un plan de redressement visant à s’assurer de la résilience de l’organisation.
Développer et mettre en œuvre des processus afin d’identifier les événements de cybersécurité.
Les étapes que vous pouvez suivre afin de respecter le cadre de cybersécurité du NIST
Étape 1
Définir des objectifs en matière de sécurité des données ou des références (disponible en anglais).
Étape 2
Identifier les besoins en matière de cybersécurité de votre entreprise (disponible en anglais).
Étape 3
Effectuer une évaluation des risques (disponible en anglais).
Étape 4
Analyser les lacunes en matière de cybersécurité et les mesures nécessaires.
Étape 5
Mettre en œuvre votre plan de cybersécurité.