Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

L'approche de la cybersécurité comporte cinq volets :

- Identifier
- protéger
- Détecter
- Réagir
- Récupérer

Identifier

Gestion des actifs

Tous les éléments qui aident l'organisation à atteindre ses objectifs, tels que les données, le personnel, les équipements, les systèmes et les installations, sont identifiés et gérés. Ces éléments sont identifiés et gérés en fonction de leur importance relative par rapport aux objectifs opérationnels et à la stratégie de gestion des risques de l'organisation.

  • Les dispositifs physiques et les systèmes de l'organisation sont inventoriés.
  • Les plates-formes logicielles et les applications au sein de l'organisation sont inventoriées.
  • Les flux de communication et de données au sein de l'organisation sont cartographiés.
  • Les systèmes d'information externes sont répertoriés.
  • Les ressources telles que le matériel, les appareils, les données et les logiciels sont classées par ordre de priorité en fonction de leur classification et de leur valeur commerciale.
  • Les rôles et responsabilités en matière de cybersécurité de l'ensemble du personnel et des parties prenantes externes, telles que les fournisseurs, les clients et les partenaires, sont définis.

Environnement de l'entreprise

La mission, les objectifs, les parties prenantes et les activités de l'organisation sont clairement compris et hiérarchisés. Ces informations sont utilisées pour prendre des décisions éclairées concernant les rôles, les responsabilités et la gestion des risques en matière de cybersécurité.

  • Le rôle de l'organisation dans la chaîne d'approvisionnement est identifié et communiqué.
  • La position de l'organisation au sein de l'infrastructure critique et du secteur d'activité est identifiée et partagée.
  • Les priorités concernant la mission, les objectifs et les activités de l'organisation sont identifiées et communiquées.
  • Les dépendances et les fonctions critiques pour la fourniture des services essentiels sont identifiées.
  • Les exigences en matière de résilience pour soutenir la fourniture des services essentiels sont identifiées.

Gouvernance

L'organisation comprend et gère ses politiques, procédures et processus pour se conformer aux exigences réglementaires, juridiques, environnementales, opérationnelles et en matière de risques, et pour les superviser. Ces éléments constituent la base de la gestion des risques liés à la cybersécurité.

  • La politique de sécurité de l'information de l'organisme est établie.
  • Les rôles et responsabilités en matière de sécurité de l'information sont coordonnés et alignés sur les fonctions internes et les partenaires externes.
  • L'organisation comprend les exigences légales et réglementaires en matière de cybersécurité, y compris les obligations en matière de protection de la vie privée et des libertés civiles, et agit en conséquence.
  • Les processus de gouvernance et de gestion des risques sont spécifiquement axés sur la gestion des risques liés à la cybersécurité.

Évaluation des risques

L'organisation comprend les risques de cybersécurité susceptibles d'affecter ses opérations (y compris sa mission, ses fonctions, son image ou sa réputation), ses biens et son personnel.

  • Les vulnérabilités des actifs sont identifiées et documentées.
  • Des informations sur les menaces et les vulnérabilités sont obtenues à partir de forums et de sources de partage d'informations.
  • Les menaces, tant internes qu'externes, sont identifiées et documentées.
  • L'impact potentiel sur les activités et la probabilité sont identifiés.
  • Les menaces, les vulnérabilités, les probabilités et l'impact sont utilisés pour évaluer les risques.
  • Les mesures de risque sont identifiées et classées par ordre de priorité.

Stratégie de gestion des risques

L'organisation définit ses priorités, ses contraintes, sa tolérance au risque et ses hypothèses pour étayer les décisions relatives au risque opérationnel.

  • Les processus de gestion des risques sont établis, gérés et approuvés par les parties prenantes au sein de l'organisation.
  • La tolérance au risque de l'organisme est déterminée et clairement exprimée.
  • L'organisme détermine sa tolérance au risque en fonction de son rôle dans l'infrastructure critique et de l'analyse des risques spécifiques au secteur.

Protéger

Contrôle d'accès

L'accès aux biens et aux installations associées est limité aux utilisateurs, processus ou dispositifs autorisés, et uniquement aux activités et transactions autorisées.

  • Les identités et les références sont gérées pour les appareils et les utilisateurs autorisés.
  • L'accès physique aux biens est géré et protégé.
  • L'accès à distance est géré.
  • Les droits d'accès sont gérés selon les principes du moindre privilège et de la séparation des tâches.
  • L'intégrité du réseau est protégée, y compris la séparation des réseaux si nécessaire.

Sensibilisation

Le personnel et les partenaires de l'organisation sont informés et formés à la cybersécurité afin qu'ils puissent s'acquitter de leurs tâches et responsabilités en matière de sécurité de l'information conformément aux politiques, procédures et accords applicables.

  • Tous les utilisateurs sont bien informés et ont reçu une formation appropriée.
  • Les utilisateurs autorisés comprennent clairement leur rôle et leurs responsabilités.
  • Les parties prenantes externes, telles que les fournisseurs, les clients et les partenaires, sont conscientes de leur rôle et de leurs responsabilités.
  • Les cadres supérieurs comprennent leur rôle et leurs responsabilités.
  • Les employés responsables de la sécurité physique et de la sécurité de l'information connaissent leur rôle et leurs responsabilités.

Sécurité des données

Les informations et les données sont gérées conformément à la stratégie de gestion des risques de l'organisation afin de garantir la confidentialité, l'intégrité et la disponibilité.

  • Les données au repos sont protégées.
  • Les données en transit sont protégées.
  • Les actifs sont gérés de manière formelle lors de leur élimination, de leur transfert et de leur cession.
  • Une capacité suffisante est maintenue pour garantir la disponibilité.
  • Des mesures sont prises pour prévenir les violations de données.
  • Des mécanismes de contrôle de l'intégrité sont appliqués pour vérifier l'intégrité des logiciels, des microprogrammes et des informations.
  • Les environnements de développement et de test sont séparés de l'environnement de production.

Processus et procédures de sécurité de l'information.

Les politiques, processus et procédures de sécurité sont maintenus et appliqués pour gérer efficacement la protection des systèmes d'information et des actifs. Cela inclut des lignes directrices sur l'objectif, la portée, les rôles, les responsabilités, l'implication de la direction et la coordination entre les unités organisationnelles.

  • Une configuration de base pour les technologies de l'information et les systèmes de contrôle industriel est établie et maintenue.
  • Un cycle de développement des systèmes de gestion est mis en œuvre.
  • Les changements de configuration sont contrôlés par des processus.
  • Des sauvegardes des informations sont créées, maintenues et testées périodiquement.
  • Les politiques et réglementations relatives à l'environnement physique de l'organisation sont respectées.
  • Les données sont détruites conformément à la politique.
  • Les processus de sécurité sont améliorés en permanence.
  • L'efficacité des technologies de protection est communiquée aux parties concernées.
  • Des plans d'intervention (réponse aux incidents et continuité des activités) et des plans de reprise (reprise après incident et reprise après sinistre) sont en place.
  • incident et reprise après sinistre) sont en place et gérés.
  • Les plans d'intervention et de reprise sont testés.
  • La cybersécurité est incluse dans les politiques de ressources humaines, telles que la sélection du personnel.
  • Un plan de gestion de la vulnérabilité est élaboré et mis en œuvre.

Maintenance

L'entretien et les réparations des composants des systèmes de contrôle et d'information industriels sont effectués conformément aux politiques et procédures établies.

  • L'entretien et la réparation des biens de l'organisation sont effectués et documentés en temps utile, à l'aide d'outils approuvés et contrôlés.
  • La maintenance à distance des biens d'exploitation est approuvée, enregistrée et réalisée de manière à empêcher tout accès non autorisé.

Technologie de protection

Les solutions techniques de sécurité sont gérées de manière à garantir la sécurité et la résilience des systèmes et des actifs, conformément aux politiques, procédures et accords.

  • Les fichiers d'audit et de journalisation sont établis, documentés, mis en œuvre et évalués conformément à la politique.
  • Les supports amovibles sont protégés et leur utilisation est restreinte conformément à la politique.
  • L'accès aux systèmes et aux biens est contrôlé selon le principe de la fonctionnalité minimale.
  • Les réseaux de communication et de contrôle sont protégés.

Détecter

Anomalies et événements

Les anomalies sont détectées en temps utile et l'impact potentiel des événements est compris.

  • Une base de référence de l'activité du réseau et des flux de données prévus pour les utilisateurs et les systèmes est établie et gérée.
  • Les événements détectés sont analysés pour comprendre les cibles et les méthodes d'attaque.
  • Les données relatives aux événements sont collectées et mises en corrélation à partir de sources et de capteurs multiples.
  • L'impact des événements est évalué et des seuils sont fixés pour les alertes en cas d'incident.

Contrôle permanent de la sécurité

Le système d'information et les actifs sont contrôlés périodiquement afin d'identifier les événements de cybersécurité et de vérifier l'efficacité des mesures de protection.

  • Le réseau est surveillé pour détecter d'éventuels événements de cybersécurité.
  • L'environnement physique est contrôlé afin de détecter d'éventuels événements de cybersécurité.
  • Les activités du personnel sont contrôlées afin de détecter d'éventuels événements de cybersécurité.
  • Les codes malveillants sont détectés.
  • Le code mobile non autorisé est détecté.
  • Les activités des prestataires de services externes sont surveillées afin de détecter d'éventuels événements de cybersécurité.
  • Le personnel non autorisé, les connexions non autorisées, les dispositifs non autorisés et les logiciels non autorisés sont surveillés.
  • Des analyses de vulnérabilité sont effectuées.

Processus de détection

Les processus et procédures de détection sont maintenus et testés afin de garantir une prise de conscience rapide et adéquate des événements anormaux.

Répondre

Planification de la réponse

Des processus et des procédures d'intervention sont mis en œuvre et maintenus afin de garantir une réaction rapide aux événements de cybersécurité détectés.

  • Le plan d'intervention est activé pendant ou après un événement.

Communication

Les activités d'intervention sont coordonnées avec les parties prenantes internes et externes, y compris le soutien externe des forces de l'ordre, si nécessaire.

  • Le personnel connaît son rôle et la séquence des opérations lors d'une intervention.
  • Les événements sont signalés conformément aux critères établis.
  • Les informations sont partagées conformément aux plans d'intervention.
  • La coordination avec les parties prenantes se fait conformément aux plans d'intervention.
  • Le partage volontaire d'informations avec les parties prenantes externes favorise une meilleure connaissance de la situation en matière de cybersécurité.

L'analyse

Une analyse approfondie est effectuée afin de garantir une réponse appropriée et de soutenir les activités de récupération.

  • Enquête sur les rapports des systèmes de détection : Tous les rapports des systèmes de détection de la sécurité sont soigneusement examinés afin de déterminer la nature et la gravité de l'incident.
  • Compréhension de l'impact de l'incident : Les conséquences et la portée de l'incident sont pleinement comprises afin d'évaluer l'impact sur l'organisation.
  • Enquête médico-légale : Une enquête judiciaire approfondie est menée pour déterminer la cause, les méthodes et l'étendue de l'incident.
  • Catégorisation des incidents en fonction des plans d'intervention :
  • Les incidents sont classés en fonction de plans d'intervention préétablis afin de garantir une réponse structurée et efficace.

Atténuation

Des mesures sont prises pour empêcher la propagation d'un événement, minimiser son impact et éliminer complètement l'incident.

  • Confinement de l'incident : Des mesures sont prises pour arrêter immédiatement la propagation de l'incident et prévenir d'autres dommages.
  • Atténuation des incidents : Des mesures sont prises pour réduire l'impact et les dommages causés par l'incident.
  • Gestion des nouvelles vulnérabilités : Les vulnérabilités nouvellement identifiées sont traitées en les atténuant ou, si nécessaire, en les documentant comme un risque accepté.

Améliorations

Les activités de réponse de l'organisation sont optimisées en tirant des enseignements des expériences actuelles et antérieures en matière de détection et de réponse.

  • Intégration des enseignements tirés dans les plans d'intervention :
  • Les plans d'intervention sont adaptés et améliorés sur la base des connaissances et des enseignements tirés d'incidents et d'interventions antérieurs.
  • Mise à jour des stratégies d'intervention : Les stratégies d'intervention en cas d'incident sont mises à jour afin de répondre de manière plus efficace et efficiente aux incidents futurs, sur la base des enseignements tirés.

Restaurer

Planification de la reprise

Des processus et des procédures de reprise sont mis en œuvre et maintenus pour garantir la reprise rapide des systèmes ou des actifs touchés par des incidents de cybersécurité.

  • Mise en œuvre du plan de reprise : Le plan de reprise est déployé pendant ou immédiatement après un incident afin de rétablir les opérations normales dès que possible.

Améliorations

La planification et les processus de récupération sont optimisés par l'intégration des enseignements tirés dans les activités futures.

  • Intégration des enseignements tirés dans les plans de reconstitution :
  • Les plans de rétablissement sont adaptés et améliorés sur la base des connaissances et des expériences tirées des activités de rétablissement précédentes.
  • Mise à jour des stratégies de rétablissement : Les stratégies de rétablissement sont mises à jour afin d'assurer un rétablissement plus efficace et efficient lors de futurs incidents.

Communication

Les activités de récupération sont coordonnées avec les parties internes et externes, y compris les centres de coordination, les fournisseurs d'accès à Internet, les propriétaires des systèmes attaqués, les victimes, les autres CSIRT et les fournisseurs.

  • Gestion des relations publiques : la communication avec le monde extérieur est soigneusement gérée afin de protéger la réputation de l'organisation.
  • Rétablissement de la réputation après un incident : Des mesures actives sont prises pour rétablir la confiance et la réputation de l'organisation après un incident de sécurité.
  • Communication des activités de rétablissement : Les informations sur les activités de rétablissement sont partagées avec les parties prenantes internes, y compris les équipes de direction et de gestion, afin de les tenir informées des progrès et des résultats.

Vous voulez en savoir plus sur le système de gestion SGSI?

Cliquez ici pour plus d'informations!

Nous sommes heureux de prendre contact avec vous.

Courrier à: sales@irm360.nl ou remplir le formulaire de contact.