Gestion des actifs
Les données, le personnel, les dispositifs, les systèmes et les installations qui permettent à l'organisation d'atteindre ses objectifs commerciaux sont identifiés et gérés en fonction de leur importance relative pour les objectifs commerciaux et la stratégie de risque de l'organisation.

Les dispositifs physiques et les systèmes de l'organisation sont inventoriés.
Les plates-formes logicielles et les applications au sein de l'organisation sont inventoriées.
Les flux de communication et de données au sein de l'organisation sont cartographiés.
Les systèmes d'information externes sont répertoriés.
Les ressources (par exemple, le matériel, les appareils, les données et les logiciels) sont classées par ordre de priorité en fonction de leur classification et de leur valeur commerciale.
Les rôles et responsabilités en matière de cybersécurité de l'ensemble du personnel et des parties prenantes externes (fournisseurs, clients, partenaires, etc.) sont définis.

Environnement des affaires
La mission, les objectifs, les parties prenantes et les activités de l'organisation sont compris et classés par ordre de priorité ; ces informations sont utilisées pour prendre des décisions concernant les rôles, les responsabilités et la gestion des risques en matière de cybersécurité.

Le rôle de l'organisation dans la chaîne d'approvisionnement est identifié et communiqué.
La place de l'organisation dans les infrastructures critiques et le secteur d'activité est identifiée et communiquée.
Les priorités de la mission, des objectifs et des activités de l'organisation sont identifiées et communiquées.
Les dépendances et les fonctions critiques pour la prestation des services essentiels sont identifiées.
Les exigences en matière de résilience pour soutenir la prestation des services essentiels sont identifiées.

Gouvernance
Les politiques, procédures et processus de gestion et de suivi des exigences réglementaires, juridiques, de risque, environnementales et opérationnelles de l'organisation sont compris et constituent la base de la gestion des risques de cybersécurité.

La politique de sécurité de l'information de l'organisation est en place.
Les rôles et responsabilités en matière de sécurité de l'information sont coordonnés et alignés avec les rôles internes et les partenaires externes.
Les exigences légales et réglementaires en matière de cybersécurité, y compris les obligations en matière de vie privée et de libertés civiles, sont comprises et prises en compte.
Les processus de gouvernance et de gestion des risques prennent en compte les risques liés à la cybersécurité.

Contrôle d'accès
L'accès aux biens et aux installations associées est limité aux utilisateurs, processus ou dispositifs autorisés, ainsi qu'aux activités et transactions autorisées.

Les identités et les justificatifs d'identité sont gérés pour les appareils et les utilisateurs autorisés.
L'accès physique aux actifs est géré et protégé
L'accès à distance est géré
Les droits d'accès sont gérés, en respectant les principes du moindre privilège et de la séparation des tâches.
L'intégrité du réseau est protégée, y compris la ségrégation du réseau, le cas échéant.

Sensibilisation
Le personnel et les partenaires de l'organisation reçoivent une formation en matière de cybersécurité et sont formés de manière adéquate pour accomplir leurs tâches et responsabilités liées à la sécurité de l'information, conformément aux politiques, procédures et accords pertinents.

Tous les utilisateurs sont informés et formés
Les utilisateurs autorisés comprennent les rôles et les responsabilités
Les parties prenantes externes (par exemple, les fournisseurs, les clients, les partenaires) comprennent les rôles et les responsabilités.
Les cadres supérieurs comprennent les rôles et les responsabilités
Le personnel chargé de la sécurité physique et de l'information comprend les rôles et les responsabilités

Sécurité des données
Les informations et les enregistrements (données) sont gérés conformément à la stratégie de risque de l'organisation afin de protéger la confidentialité, l'intégrité et la disponibilité des informations.

Les données au repos sont protégées
Les données en transit sont protégées
Les actifs sont gérés de manière formelle lors de l'élimination, du transfert et de la cession.
Une capacité suffisante est maintenue pour assurer la disponibilité
Des mesures de protection contre la fuite de données sont mises en œuvre
Les mécanismes de contrôle de l'intégrité sont utilisés pour vérifier l'intégrité des logiciels, des micrologiciels et des informations.
L'environnement de développement et de test est séparé de l'environnement de production.

Processus et procédures de sécurité de l'information
Processus et procédures de sécurité de l'information (PR.IP) : des politiques de sécurité (couvrant l'objectif, la portée, les rôles, les responsabilités, l'engagement de la direction et la coordination entre les entités organisationnelles), des processus et des procédures sont maintenus et utilisés pour gérer la protection des systèmes et des actifs d'information.

Une configuration de base des systèmes de contrôle informatique/industriel est établie et maintenue.
Un cycle de développement de systèmes de gestion est mis en œuvre.
Il existe des processus de contrôle pour les changements de configuration.
Des sauvegardes d'informations sont établies, maintenues et testées périodiquement.
Les politiques et réglementations relatives à l'environnement physique d'exploitation des actifs de l'organisation sont respectées.
Les données sont détruites conformément à la politique
Les processus de sécurité sont améliorés en permanence
l'efficacité des technologies de protection est partagée avec les parties concernées des plans de réponse (réponse aux incidents et continuité des activités) et des plans de récupération (reprise après incident et reprise après sinistre) sont en place et gérés.
Les plans d'intervention et de récupération sont testés
La cybersécurité est incluse dans les politiques du personnel (par exemple, la sélection du personnel).
Un plan de gestion des vulnérabilités est élaboré et mis en œuvre.

Maintenance
La maintenance et les réparations des composants des systèmes de contrôle et d'information industriels sont effectuées conformément aux politiques et procédures.

L'entretien et la réparation des biens de l'organisation sont effectués et enregistrés en temps voulu, à l'aide d'outils approuvés et contrôlés.
La télémaintenance des biens de l'organisation est approuvée, enregistrée et effectuée de manière à empêcher tout accès non autorisé.

Technologie de protection
Les solutions de sécurité technique sont gérées de manière à garantir la sécurité et la résilience des systèmes et des actifs, conformément aux politiques, procédures et accords correspondants.

Les registres d'audit/journaux sont déterminés, documentés, mis en œuvre et examinés conformément à la politique.
Les supports amovibles sont protégés et leur utilisation est limitée conformément à la politique.
L'accès aux systèmes et aux biens est contrôlé, en respectant le principe de la moindre fonctionnalité.
Les réseaux de communication et de contrôle sont protégés.

Anomalies et événements
Les anomalies sont détectées en temps utile et l'impact potentiel des événements est compris.

Une base de référence des opérations du réseau et des flux de données attendus pour les utilisateurs et les systèmes est établie et gérée.
Les événements observés sont analysés pour comprendre les cibles et les méthodes d'attaque.
Les données relatives aux événements sont agrégées et corrélées à partir de sources et de capteurs multiples.
L'impact des événements est déterminé et des seuils pour les alertes d'incidents sont fixés.

Surveillance continue de la sécurité
Le système d'information et les actifs sont surveillés à intervalles discrets pour identifier les événements de cybersécurité et vérifier l'efficacité des mesures de protection.

Le réseau est surveillé pour détecter les événements potentiels de cybersécurité.
L'environnement physique est surveillé pour détecter les événements potentiels de cybersécurité.
Les activités du personnel sont surveillées pour détecter les événements potentiels de cybersécurité.
Un code malveillant est détecté
Un code mobile non autorisé est détecté
L'activité des prestataires de services externes est surveillée pour détecter les événements potentiels de cybersécurité.
Des contrôles sont effectués pour vérifier l'absence de personnel non autorisé, de connexions non autorisées, de dispositifs non autorisés et de logiciels non autorisés.
Des analyses de vulnérabilités sont effectuées

Processus de détection
Les processus et procédures de détection sont maintenus et testés pour garantir une prise de conscience adéquate et en temps voulu des événements anormaux.

Planification de la réponse
Des processus et procédures de réponse sont mis en œuvre et maintenus, afin de garantir une réponse rapide aux événements de cybersécurité détectés.

Le plan d'intervention est mis en œuvre pendant ou après un événement.

Communications
Les activités d'intervention sont coordonnées avec les parties prenantes internes et externes, le cas échéant, y compris le soutien externe des forces de l'ordre.

Le personnel connaît son rôle et la séquence des opérations lorsqu'une intervention est nécessaire
Les événements sont signalés conformément aux critères établis
Les informations sont partagées conformément aux plans d'intervention
La coordination avec les parties prenantes se fait conformément aux plans d'intervention.
Partage volontaire d'informations avec des parties prenantes externes afin d'obtenir une meilleure connaissance de la situation en matière de cybersécurité.

Analyse
Une analyse est effectuée pour garantir une réponse adéquate et soutenir les activités de récupération.

Les rapports des systèmes de détection sont examinés
L'impact de l'incident est compris
Des enquêtes médico-légales sont menées
Les incidents sont classés par catégorie conformément aux plans d'intervention.

Planification de la reprise
Des processus et des procédures de récupération sont mis en œuvre et maintenus pour assurer la récupération en temps utile des systèmes ou des actifs touchés par des événements de cybersécurité.

Le plan de reprise est mis en œuvre pendant ou après un événement.

Améliorations
La planification et les processus de rétablissement seront améliorés en intégrant les leçons apprises dans les activités futures.

Les plans de relance intègrent les enseignements tirés.
Les stratégies de relance sont mises à jour.

Communications
Les activités de récupération sont coordonnées avec les parties internes et externes, telles que les centres de coordination, les fournisseurs d'accès à Internet, les propriétaires des systèmes attaquants, les victimes, les autres CSIRT et les fournisseurs.

Les relations publiques sont gérées
La réputation après l'événement est restaurée
Les activités de rétablissement sont communiquées aux parties prenantes internes et aux équipes de direction et de gestion.