Edward Amoroso

[Note de la rédaction : cet article est une contribution du PDG et fondateur de TAG, Ed Amoroso].

Les praticiens de la cybersécurité qui travaillent pour des agences fédérales aux États-Unis savent qu'ils doivent apprendre à décoder divers acronymes tels que FedRAMP, FISMA, RMF, etc. Ils doivent le faire parce que les normes et les cadres que ces acronymes représentent sont destinés à guider la prise de décision des équipes du secteur public chargées de protéger les données, les systèmes et les réseaux contre les cybermenaces.

Au niveau sectoriel, les choses deviennent plus spécifiques. Les ministères de la défense doivent gérer leur propre série d'acronymes, tels que CMMC. Les agences de santé doivent composer avec des acronymes tels que HIPAA. Quant aux agences financières, elles doivent composer avec des acronymes tels que GLBA. Il est certain que ces cadres s'appliqueront de manière générale aux organisations des secteurs public et privé, mais personne ne conteste la complexité de la situation.

Le défi que nous avons constaté dans notre travail de recherche et de conseil au TAG est qu'avec autant de normes et de cadres différents, il y a un chevauchement inévitable de lignes directrices, de mandats, d'exigences et de meilleures pratiques. Cela crée un environnement dans lequel les agences doivent naviguer non seulement dans les exigences techniques, mais aussi dans les rapports de conformité, les attentes en matière de gouvernance et les évaluations des risques, chacun ayant ses propres calendriers et mécanismes d'application.

Comme si cela ne suffisait pas, la nature dynamique des cybermenaces, telles que les attaques de la chaîne d'approvisionnement et les vulnérabilités des infrastructures critiques, a suscité des actions législatives et exécutives supplémentaires, telles que le décret 14028 sur l'amélioration de la cybersécurité de la nation, qui impose des initiatives à l'échelle du gouvernement telles que l'adoption de la confiance zéro et le renforcement de la sécurité de la chaîne d'approvisionnement des logiciels, souvent contrôlées par des organismes tels que le Government Accountability Office (GAO).

Face à ce défi de la conformité réglementaire, la question la plus souvent posée aux analystes de TAG par les équipes des agences du secteur public, tant au niveau fédéral que local, est la suivante : Quelle est la meilleure façon de développer un programme de cybersécurité efficace qui minimisera les frictions liées à la gestion d'un si grand nombre de cadres et de normes disparates ? Notre réponse s'appuie sur trois éléments clés de la stratégie de cybersécurité que nous considérons comme les meilleurs pour les équipes du secteur public.

Tout d'abord, nous suggérons fortement de s'engager en faveur de l'automatisation. Les obligations réglementaires modernes ne peuvent être satisfaites que par une discipline formelle de gouvernance, de risque et de conformité (GRC). La bonne nouvelle, c'est que d'excellentes plateformes commerciales sont disponibles pour les équipes gouvernementales, et qu'elles peuvent être introduites dans tout type de programme de conformité existant, même ceux qui sont exécutés manuellement, sans trop de problèmes.

Deuxièmement, nous recommandons une approche basée sur le risque pour toutes les décisions en matière de sécurité. Cela implique une bonne compréhension des problèmes de sécurité réels qui sont directement pertinents pour l'agence. Le meilleur exemple est peut-être celui de Microsoft Active Directory (AD), que nous considérons chez TAG comme l'aspect le plus essentiel de tout programme de lutte contre les cyberrisques. Toutes les équipes offensives cibleront l'AD, et les programmes fédéraux doivent donc s'attaquer à ce type de risque pratique de base.

Troisièmement, nous recommandons à toutes les agences du secteur public d'utiliser le cadre de cybersécurité (CSF) de l'Institut national des normes et de la technologie (NIST). Il s'appuie sur un ensemble complet d'exigences énoncées dans la publication spéciale (SP) 800-53 (rév. 5) du NIST et constitue une excellente feuille de route permettant aux équipes du secteur public d'améliorer leur sécurité de manière progressive. De plus, le NIST CSF s'adapte parfaitement à la pléthore d'acronymes énumérés précédemment.

Dans les autres sections, nous nous concentrons sur le NIST CSF, qui en est à sa version 2.0, et nous expliquons qu'il s'agit d'un excellent choix sur lequel fonder un programme de cyberconformité. Nous disons souvent que le cadre offre une "couverture globale", car pratiquement toutes les exigences de sécurité que nous avons rencontrées dans la variété d'acronymes sont abordées dans une certaine mesure dans le NIST. Il s'agit donc d'un bon choix de base, y compris pour les équipes de sécurité privées et non américaines.

Qu'est-ce que le NIST CSF 2.0 ?

Le NIST CSF 2.0, publié en août 2023, s'appuie sur la version originale de 2014 (CSF 1.0) pour aider les organisations à gérer et à réduire les risques liés à la cybersécurité. Le cadre original comprenait cinq fonctions essentielles - identifier, protéger, détecter, répondre et récupérer - qui fournissent une approche du cycle de vie de la cybersécurité. De nombreux programmes de cybersécurité ont été organisés autour de ces fonctions, mais nous pensons que ce n'est peut-être pas la meilleure approche.

Figure 1. Représentation du NIST CSF 1.0

Ces fonctions du NIST CSF sont divisées en catégories et en sous-catégories plus détaillées, qui sont mises en correspondance avec des références informationnelles telles que les publications spéciales du NIST et les normes ISO. Le CSF 2.0 conserve la souplesse et l'accessibilité de son prédécesseur, ce qui permet aux organisations de toutes tailles et de tous secteurs d'adapter sa mise en œuvre à leurs environnements de risque, à leurs ressources et à leurs objectifs commerciaux spécifiques.

Le CCA 2.0 apporte une amélioration significative en mettant davantage l'accent sur la gouvernance en tant que nouvelle catégorie de la fonction "Identifier", en abordant l'importance du leadership, de la stratégie de cybersécurité et des politiques organisationnelles dans la gestion des cyber-risques. Un autre ajout important est l'élargissement des orientations relatives à la gestion des risques liés à la chaîne d'approvisionnement, ce qui reflète l'importance croissante de la gestion des risques liés aux tiers dans le domaine de la cybersécurité.

Le NIST CSF 2.0 intègre également des mises à jour pour s'aligner sur les normes modernisées du NIST, telles que des mises à jour des contrôles cryptographiques et des considérations élargies pour les technologies émergentes telles que le cloud, l'intelligence artificielle et la technologie opérationnelle. Ces changements rendent le cadre plus pertinent pour le paysage actuel des menaces et les divers environnements technologiques auxquels les organisations sont maintenant confrontées.

Figure 2. Représentation du NIST CSF 2.0

Par rapport au CCA 1.0, la version 2.0 adopte une perspective plus globale en améliorant son applicabilité aux normes et cadres internationaux, y compris dans le secteur public, ce qui favorise une plus grande interopérabilité. Elle met également davantage l'accent sur les conseils de mise en œuvre, en proposant des ressources améliorées, telles que des profils et des exemples de mise en œuvre, afin d'aider les organisations à rendre le cadre opérationnel de manière efficace.

Alors que le CCA 1.0 constituait une base solide, le CCA 2.0 améliore le cadre en intégrant les enseignements tirés de près d'une décennie d'adoption, ce qui le rend plus complet, plus évolutif et plus apte à répondre à l'évolution des défis de cybersécurité auxquels sont confrontés tous les types d'organisations aujourd'hui. Dans la section ci-dessous, nous verrons comment le cadre fonctionne dans le contexte des défis de cybersécurité des agences fédérales.

Correspondance avec les exigences fédérales en matière de cybernétique

La première idée que nous espérons aider les équipes de conformité des agences fédérales à comprendre est que les plateformes GRC modernes de bons fournisseurs commerciaux tels que ServiceNow, Metric Stream et Archer fourniront une assistance automatisée pour effectuer des mappages du NIST CSF 2.0 vers d'autres cadres. Cette fonction est extrêmement utile, car elle remplace les efforts manuels dont beaucoup d'entre nous se souviennent avant que ces plateformes ne soient disponibles.

Cela dit, il est utile d'examiner comment le NIST CSF 2.0 répond aux exigences de la plupart des agences fédérales. Notre analyse ci-dessous doit toutefois être considérée comme théorique, car aux États-Unis, où des élections politiques ont lieu au niveau fédéral et au niveau des États, les exigences, les mandats et les lois applicables en matière de cybernétique changent rapidement. Les décrets, par exemple, changent en un clin d'œil, et les lecteurs seraient donc bien avisés d'éviter de chercher des correspondances microscopiques dans des rapports comme celui-ci.

Grâce à son approche globale de la gestion des risques, NIST CSF 2.0 s'aligne sur les directives et normes fédérales les plus importantes, notamment la Federal Information Security Modernization Act (FISMA), la circulaire OMB A-130, l'Executive Order (EO) 14028 et les Binding Operational Directives (BODs) de la CISA. En intégrant ces mandats dans son cadre, le CSF 2.0 permet aux agences de rationaliser leurs efforts de conformité et de renforcer leur position globale en matière de cybersécurité.

Alignement sur FISMA et NIST SP 800-53

La FISMA, pierre angulaire de la législation fédérale en matière de cybersécurité, exige des agences fédérales qu'elles mettent en œuvre des programmes de sécurité de l'information fondés sur les risques. Les fonctions du NIST CSF 2.0 mentionnées ci-dessus - identifier, protéger, détecter, répondre et récupérer - s'alignentdirectement sur l'accent mis par la FISMA sur la catégorisation des risques, la mise en œuvre de contrôles et la conduite d'une surveillance continue. Les équipes de sécurité des agences fédérales bénéficieront d'un tel alignement.

Le cadre correspond également à la publication spéciale (SP) 800-53 du NIST, qui spécifie les contrôles de sécurité et de protection de la vie privée s'appliquant directement aux systèmes fédéraux. Par exemple, les améliorations apportées à la gouvernance dans le CCA 2.0 complètent l'accent mis par la SP 800-53 sur les politiques organisationnelles, les rôles et les responsabilités. En utilisant le CCA 2.0 comme cadre de haut niveau, les agences fédérales peuvent s'assurer que leurs programmes sont ancrés dans les exigences détaillées du SP 800-53.

Respect des ordres exécutifs et des directives

La norme NIST CSF 2.0 permet également de se conformer à l'ordre exécutif 14028, qui impose d'améliorer la cybersécurité au niveau fédéral à la suite de brèches très médiatisées comme celle de SolarWinds. Le décret 14028 met l'accent sur l'architecture "zéro confiance", l'amélioration de la détection des menaces et le développement de logiciels sécurisés. L'accent mis par le cadre sur la gestion des risques de la chaîne d'approvisionnement et les technologies émergentes s'aligne sur ces directives.

Par exemple, le CSF 2.0 fournit des catégories et des sous-catégories qui traitent de la diligence raisonnable des fournisseurs, de la surveillance continue et de la gestion sécurisée du cycle de vie des logiciels. Il offre aux agences un moyen structuré de mettre en œuvre les exigences du modèle de maturité de la confiance zéro de la CISA et de sécuriser la chaîne d'approvisionnement des logiciels, comme l'exige le décret 14028. (Nous rappelons à nouveau aux lecteurs que les mandats de l'EO peuvent changer rapidement, en particulier avec les changements de l'administration présidentielle).

Intégration aux directives opérationnelles contraignantes de la CISA

Les directives opérationnelles contraignantes (BOD) de la CISA, telles que la BOD 22-01 sur les vulnérabilités exploitées connues, exigent des actions opportunes pour atténuer des risques spécifiques. Les fonctions de détection et de réaction du CCA 2.0 permettent aux agences de mettre en œuvre ces directives en améliorant la planification de la réponse aux incidents, la détection proactive des cybermenaces et les processus de gestion des vulnérabilités et de l'exposition.

En outre, l'accent mis par le cadre sur l'amélioration continue correspond bien aux exigences des conseils d'administration en matière d'action rapide et mesurable. L'approche itérative du NIST CSF 2.0 permet aux agences d'adapter leurs stratégies en fonction de l'évolution des directives de la CISA et des renseignements sur les menaces. Dans les années à venir, nous prévoyons chez TAG que l'augmentation significative des menaces provenant des États-nations exigera une meilleure gestion continue des renseignements sur les menaces de la part des agences fédérales.

Soutien aux mandats de protection de la vie privée et des données

L'alignement du NIST CSF 2.0 sur les cadres de protection de la vie privée, notamment le NIST Privacy Framework et les mandats tels que le Privacy Act de 1974 et les directives CUI (Controlled Unclassified Information), permet aux agences de gérer les exigences en matière de protection des données en même temps que les objectifs de cybersécurité. La catégorie de gouvernance mise à jour répond explicitement au besoin de politiques et de contrôles qui équilibrent la cybersécurité et la protection de la vie privée, ce qui permet aux agences de répondre aux exigences de double conformité.

Plan d'action

Nous espérons avoir démontré que les agences fédérales devraient sérieusement envisager d'utiliser le NIST CSF 2.0 comme base fondamentale de leur programme de protection global. En s'alignant sur FISMA, EO 14028, les directives CISA et d'autres mandats, NIST CSF 2.0 offre aux agences fédérales un cadre cohésif pour unifier la conformité tout en améliorant leur résilience globale en matière de sécurité. Nous espérons que ces conseils vous ont été utiles et nous espérons toujours avoir de vos nouvelles.

Plus de ressources