L’établissement d’un programme de sécurité informatique (ou «∘InfoSec∘») s’appuie sur un ensemble de cadres de référence. Accompagnés d’autres normes et réglementations du secteur, ils aident à protéger les données de votre entreprise contre les menaces et les vulnérabilités.

Les incidents tels que la violation de données chez Marriott Hotel qui a potentiellement exposé les informations de 500 millions de clients et la fuite de données chez Twitter qui a touché plus de 200 millions d’utilisateurs ont fait la une et démontrent l’importance critique des programmes de sécurité informatique fiables.

Bien que chaque entreprise fonctionne différemment, les cadres de cybersécurité constituent le point de départ recommandé pour bâtir les programmes d’Infosec. Les RSSI et autres professionnels de la sécurité s’appuient sur ces cadres pour identifier et hiérarchiser les actions nécessaires à la démonstration d’une posture de sécurité informatique solide.

Qu’est-ce qu’un cadre de sécurité ?

Un cadre de sécurité est un ensemble de politiques, de directives et de bonnes pratiques conçues pour gérer les risques de sécurité informatique d’une organisation. Comme leur nom l’indique, ces cadres fournissent la structure de soutien nécessaire pour protéger les données internes contre les cybermenaces et les vulnérabilités.

En établissant un ensemble commun de normes, les cadres permettent aux professionnels de l’Infosec de mieux comprendre la posture de sécurité actuelle de leur organisation et de se préparer aux futurs audits.

Les cadres de sécurité peuvent être adaptés à des réglementations sectorielles, à des objectifs de conformité ou à des préoccupations de sécurité de l’information particuliers. En adoptant diverses normes pertinentes, les organisations peuvent définir des tâches précises et développer leur propre approche pour gérer leur exposition aux risques plus intelligemment.

Quels sont les différents types de cadres de cybersécurité ?

Il existe trois types de cadres IT et de cybersécurité, en fonction de la finalité et du niveau de maturité :

1. Cadres sur les mesures de contrôle

Les cadres sur les mesures de contrôle constituent la pierre angulaire de tout programme de sécurité — ils définissent les mesures de contrôle spécifiques et les processus essentiels permettant de se protéger des menaces. Les organisations peuvent mettre en place des activités de sécurité ponctuelles, mais les cadres sur les mesures de contrôle permettent d’anticiper les risques en adoptant une approche systématique de la conformité. Les cadres sur les mesures de contrôle aident à :

• Élaborer une stratégie et une feuille de route initiales en matière de sécurité
  
  
• Identifier un ensemble de mesures de contrôle de référence
  
  
• Évaluer les capacités techniques actuelles
  
  
• Établir les priorités pour la mise en œuvre des mesures de contrôle

Exemples de cadres sur les mesures de contrôle : NIST SP 800-53, Contrôles de sécurité critiques CIS

2. Cadres sur les programmes

L’objectif principal des cadres qui concernent les programmes est de présenter une vue d’ensemble des initiatives de sécurité de l’organisation. À mesure que les programmes évoluent en maturité, ces cadres aident les dirigeants à mieux comprendre leur posture de sécurité globale. Les tâches comprises dans les cadres sur les programmes comprennent :

• Évaluation du statut actuel du programme de sécurité
  
  
• Élaboration d’un programme de sécurité complet
  
  
• Mesure de la maturité du programme et comparaison avec les normes du secteur
  
  
• Simplification de la communication avec les leaders

Exemples de cadres sur les programmes : ISO 27001, NIST CSF

3. Cadres sur les risques

Les programmes de sécurité matures intègrent généralement des cadres de gestion des risques pertinents. Ces cadres mettent l’accent sur les mesures de contrôle nécessaires pour examiner, analyser et prioriser de manière appropriée les activités de l’organisation face aux risques de sécurité en constante évolution. Les cadres sur les risques aident à :

• Définir les étapes nécessaires à l’évaluation et à la gestion des risques
  
  
• Structurer le programme de gestion des risques
  
  
• Identifier, mesurer et quantifier les risques
  
  
• Hiérarchiser les activités et les processus de sécurité

Exemples de cadres sur les risques : NIST 800-39, NIST 800-37, NIST 800-30

18 exemples de cadres de sécurité

Le cadre de référence de sécurité idéal pour votre entreprise est celui qui correspond à la maturité de votre programme interne et à vos objectifs stratégiques, ainsi qu’aux normes réglementaires et sectorielles externes. Voici les 18 normes et cadres de sécurité les plus courants :
 

Série ISO 27000

La série ISO 27000, développée par l’Organisation internationale de normalisation, est la norme de cybersécurité de référence. Suffisamment souple pour être appliquée à tous les types d’activités, la norme internationale suppose que l’organisation dispose d’un système de management de la sécurité de l’information (ISMS) pour gérer ses données et se protéger contre les risques.

Les deux cadres de référence les plus remarquables sont l’ISO 27001 (ISO/IEC 27001), qui décrit les exigences sur les systèmes de management de la sécurité de l’information, et l’ISO 27002, qui guide les organisations sur la manière de développer les mesures de contrôle du système de management de la sécurité de l’information qui s’appliquent.

En savoir plus sur la norme ISO 27001 et sa dernière mise à jour.
 

Le cadre de référence de cybersécurité du NIST (NIST CSF)

Le cadre de référence du National Institute of Standards and Technology pour l’amélioration de la cybersécurité des infrastructures critiques (NIST CSF) a été publié en février 2013 au cours de l’administration Obama pour protéger les infrastructures des États-Unis contre les cyberattaques.

Les secteurs critiques tels que la production d’énergie, les services de santé, les communications et les transports sont des cibles vulnérables pour les pirates informatiques et doivent donc maintenir des niveaux élevés de sécurité. Le NIST CSF se concentre sur les risques et aligne ses mesures de contrôle de sécurité sur les cinq phases de la gestion des risques : identification, protection, détection, réponse et reprise.

Même si le NIST CSF est obligatoire uniquement pour les agences fédérales aux États-Unis, c'est un cadre de référence souple qui peut aider toutes les organisations à améliorer leur posture de sécurité.

Publications spéciales du NIST (NIST SP)

Contrairement au NIST CSF, une série de publications spéciales du NIST (NIST SP) propose des spécifications, des recommandations et des documents de référence plus techniques.

Les NIST SP ont été initialement rédigées à l’intention des agences fédérales et de leurs tiers, mais elles peuvent aider tous les types d’organisation à élaborer un programme de cybersécurité fiable. La série est divisée en trois catégories :

• Série NIST SP 800 : se concentre sur la sécurité informatique
  
  
• Série NIST SP 500 : inclut les technologies de l’information et la documentation pertinente
  
  
• Série NIST SP 1800 : guides pratiques pour la cybersécurité (relativement nouveaux par rapport aux séries 800 ou 500)

SOC1 et SOC2

Créés par l'American Institute of Certified Public Accountants (AICPA), les rapports SOC 1 et SOC 2 auditent la façon dont les sociétés de services gèrent les données de leurs clients et le risque tiers. Cependant, c’est là que s’arrêtent leurs points communs.

SOC 1 se concentre sur les mesures de contrôle financières qui répondent à des objectifs identifiés, tandis que SOC 2 adopte une vision plus large des mesures de contrôle liées aux principes de confiance de l’AICPA : sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée. Il existe également un rapport SOC 3 moins connu, qui se rapproche de SOC 2, mais qui s’adresse aux parties prenantes et à un public plus général.

HIPAA et HITRUST CSF

HIPAA et HITRUST CSF sont deux cadres de cybersécurité qui concernent les informations de santé protégées (PHI) des patients aux États-Unis.

La loi Health Insurance Portability and Accountability Act de 1996 (HIPAA) est une législation fédérale sur la conformité des soins de santé. Adoptée par le Congrès américain et rédigée par des juristes et législateurs, la loi HIPAA s’applique aux « entités couvertes », telles que les prestataires de soins de santé, les régimes d’assurance maladie, les compagnies d’assurances et les centres de traitement des données de santé. Bien qu’il n’existe pas de certification associée officielle, la conformité HIPAA est régulée par le Bureau des droits civils (Office for Civil Rights, OCR) du ministère américain de la Santé et des Services sociaux.

HITRUST, en revanche, est une organisation privée qui a créé son propre cadre de référence de conformité appelé HITRUST CSF. Il combine plusieurs mesures de sécurité et réglementations sur la protection de la vie privée qui s’appliquent à toute organisation qui traite des données sensibles. À noter que même si HITRUST aide à atteindre la conformité HIPAA, il ne peut pas s’y substituer et ne prouve pas qu’un organisme de santé est conforme à la loi HIPAA.

Pour en savoir plus sur la différence entre HIPAA et HITRUST, cliquez ici.

PCI-DSS

La norme PCI DSS (Payment Card Industry Data Security Standard) est un cadre de référence mondial pour toute organisation qui traite, stocke ou transmet des informations de détenteurs de carte. Lancé en 2004 par les principales sociétés de cartes de crédit American Express, Discover, JCB, MasterCard et VISA, ce cadre de référence vise à protéger les informations des titulaires de carte et à réduire la fraude.

Pour ce faire, la norme PCI DSS décrit quatre niveaux de conformité, en fonction du nombre de transactions par an de l’organisation, et 12 étapes obligatoires qui correspondent aux bonnes pratiques de sécurité.

RGPD

Le Règlement général sur la protection des données (RGPD) est un cadre de référence adopté par l’Union européenne (UE) pour protéger les données personnelles et la sécurité de ses citoyens. Promulgué en 2016, le RGPD affecte toutes les organisations qui collectent et traitent les données des citoyens de l’UE, où que l’entreprise soit basée.

Vous trouverez toutes les informations sur la conformité au RGDP dans notre guide complet.

CIS Critical Security Controls

Les organisations qui lancent leur programme de sécurité doivent prendre en considération les mesures de contrôle de sécurité critiques du Center for Internet Security (CIS). Avec sa check-list concise de 18 mesures, le CIS hiérarchise les mesures les plus essentielles que toute organisation peut prendre pour accroître la protection contre les risques de cybersécurité.

Contrairement aux cadres de sécurité plus spécialisés, les mesures de contrôle CIS sont des pratiques générales qui empêchent la majorité des attaques les plus récentes et renforcent les capacités de cyberdéfense pour l’avenir.

COBIT

Le Control Objectives for Information and Related Technologies (COBIT) est un cadre de référence global qui comble l’écart entre les processus de sécurité et les objectifs des entreprises. Développé par l’ISACA (Information Systems Audit and Control Association), ce cadre de référence se concentre sur la création d’un système de gouvernance IT à l’échelle de l’entreprise.

Sa dernière version, COBIT 2019, convient à toutes les entreprises et comprend six principes et 40 processus pour accompagner la gouvernance et les objectifs métier.

FISMA

La loi fédérale sur la gestion de la sécurité de l’information (Federal Information Security Management Act, FISMA) est un cadre de référence qui s’adresse aux agences gouvernementales fédérales et aux tiers associés. Tout comme le cadre de référence du NIST, FISMA exige des organisations qu’elles mettent en œuvre un ensemble de mesures de contrôle et de processus, qu’elles effectuent des évaluations systématiques des risques et qu’elles surveillent en permanence leur infrastructure IT.

NERC-CIP

La norme NERC-CIP (North American Electric Reliability Corporation – Critical Infrastructure Protection) a été créée afin de garantir la fiabilité et la sécurité du réseau électrique à grande échelle en Amérique du Nord. Elle a été conçue spécifiquement pour le secteur de l’énergie et des infrastructures et exige la conformité de toute entité qui joue un rôle dans le réseau électrique de la région.

Pour éviter que des incidents mineurs ne se transforment en crises majeures sur le réseau électrique, la norme NERC-CIP définit des standards industriels et impose des exigences essentielles à la protection des opérations. Le cadre de référence comprend des exigences en matière de cybersécurité, de plans de réponse aux incidents et de reprise des activités, la formation du personnel et d’autres mesures pour assurer la livraison continue de l’électricité.

TISAX

Le Trusted Information Security Assessment Exchange (TISAX) est un mécanisme d’évaluation et d’échange pour la sécurité de l’information dans le secteur automobile. Il s’agit de la toute première norme mondiale de gestion de la sécurité de l’information dans l’automobile, et une exigence de toutes les organisations qui souhaitent faire des affaires avec les principaux acteurs automobiles allemands.

S’inspirant de la norme ISO 27001, TISAX est adaptée aux opérations automobiles et attribue des labels aux entreprises qui satisfont certains niveaux définis de gestion de la sécurité de l’information. Il existe trois niveaux d’évaluation et actuellement huit objectifs d’évaluation qui peuvent être sélectionnés par les organisations.

SOX ITGC

Les Sarbane-Oxley IT General Controls (SOX ITGC) constituent un volet spécifique de la loi Sarbanes-Oxley. Ils définissent les exigences en matière de rapports financiers pour toutes les entreprises se préparant à une introduction en bourse (IPO) ainsi que pour les sociétés cotées, tous secteurs confondus.

Le SOX ITGC atteste de l’intégrité des données et des processus liés aux contrôles internes des rapports financiers, y compris les applications, les systèmes d’exploitation, les bases de données et l’infrastructure informatique de support. Les mesures de contrôle de ce cadre de référence englobent l’accès aux programmes et aux données, les changements et le développement des programmes et les opérations informatiques.

CCPA

Le California Consumer Privacy Act (CCPA) est une loi promulguée en 2018 qui améliore les droits concernant la protection de la vie privée des consommateurs résidant en Californie. Spécifiquement axé sur la manière dont les sociétés collectent et utilisent les informations personnelles, le CCPA s’inspire largement du RGPD de l’UE et donne aux consommateurs plus de contrôle sur leurs données. Il s’applique à toute entité à but lucratif qui présente au moins une des caractéristiques suivantes :

• A un chiffre d’affaires brut annuel supérieur à 25 millions USD
  
  
• Achète, reçoit ou vend des informations personnelles d’au moins 100 000 résidents, ménages ou appareils californiens
  
  
• Gagne au minimum 50 % de son chiffre d’affaires annuel grâce à la vente d’informations personnelles de résidents californiens

Ces sociétés sont tenues de répondre à toute demande des consommateurs de savoir quelles données sont collectées à leur sujet, la finalité de la collecte de leurs données, la liste des tiers y ayant accès et de leur donner la possibilité de demander que leurs données soient supprimées des registres.

CPRA

Le California Privacy Rights Act de 2020 est une loi relativement nouvelle qui s’appuie sur le CCPA et élargit les droits concernant la protection des données des consommateurs en Californie.

Le CPRA s’applique aux mêmes organisations que le CCPA. La principale différence est qu’il englobe également les sociétés qui font au moins 50 % de leur chiffre d’affaires annuel en vendant ou en partageant des informations personnelles des consommateurs. Le CPRA définit également les informations personnelles sensibles comme une nouvelle catégorie, englobant les numéros de sécurité sociale, de permis de conduire, de passeport, les comptes financiers, etc.

CMMC

La certification du modèle de maturité de la cybersécurité (CMMC) est le cadre de référence du ministère de la Défense des États-Unis qui permet d’évaluer et d’améliorer la posture de cybersécurité de la base industrielle de la défense (DIB). Ce cadre de référence est relativement nouveau - il a été établi en Janvier 2020. La majorité de ses exigences de sécurité (110 sur 171) se trouve également dans le NIST SP 800-171.

Le modèle couvre trois niveaux de conformité — fondamental, avancé et expert — et est intégré au Defense Federal Acquisition Regulation Supplement (DFARS). D’ici 2025, tous les fournisseurs auront besoin d’une certification CMMC pour pouvoir répondre aux appels d’offres.

En savoir plus sur OneTrust Compliance Automation

OneTrust Compliance Automation vous aide à gérer les changements dans le domaine de la sécurité de l’information et à garder une longueur d’avance sur les exigences de conformité.

Au fur et à mesure que votre entreprise se développe, votre empreinte de conformité peut facilement être étendue pour appliquer des cadres dans divers domaines de conformité ou assurer la conformité avec plusieurs cadres. Compliance Automation offre une couverture sur plus de 29 cadres de référence pour rationaliser la conformité de la sécurité dans votre entreprise.

Notre équipe interne constituée d'anciens auditeurs et d'experts de l’Infosec vous aide à rationaliser la mise en œuvre de la conformité en proposant des conseils de mise en œuvre de mesures de contrôle pour les parties prenantes de votre secteur d'activité, avec une précision et des connexions allant au-delà du croisement traditionnel des mesures de contrôle, la collecte automatisée de preuves et bien plus encore.

Demandez une démonstration pour en savoir plus sur la façon dont OneTrust Compliance Automation vous aide à créer, à adapter et à automatiser votre programme de conformité en matière de sécurité.