Il s’agit d’établir une norme de cybersécurité et de prioriser les
actions pour gérer les risques.
Le cadre de cybersécurité NIST consiste en des directives et des normes volontaires pour gérer les risques de cybersécurité dans toute l’organisation ou ses infrastructures critiques. Il offre une méthode flexible, répétable et rentable pour gérer les risques de cybersécurité.
Le cadre a été conçu à l’origine comme un système de gestion des risques de cybersécurité pour l’infrastructure critique des États-Unis. Il est à présent largement utilisé dans les secteurs privés et publics du monde entier, au sein de différentes unités organisationnelles.
Bandeau de téléchargement du guide Guide de ManageEngine pour déployer le cadre de cybersécurité NIST
L’organisation peut examiner l’état actuel de sa sécurité et prioriser les pistes pour la renforcer.
On peut se consacrer aux aspects clés de la prestation de services pour rentabiliser le processus de déploiement.
On peut respecter facilement les normes mondiales et d’autres exigences actuelles.
On peut évaluer objectivement les risques et formuler un plan d’action pour maîtriser le facteur risque.
On peut transformer les pratiques de cybersécurité réactives en une stratégie agile, factuelle.
On peut s’assurer que les produits et les services des partenaires remplissent des critères de sécurité cruciaux.
Le noyau du cadre englobe des pratiques clés de gestion des risques permettant aux organisations d’atteindre les résultats souhaités en matière de cybersécurité, en lien avec leurs objectifs métier.
Le noyau comprend cinq fonctions : identifier, protéger, détecter, répondre et rétablir. Il offre une stratégie globale pour comprendre les menaces de sécurité potentielles, atténuer leur impact et assurer la continuité d’activité.
Les fonctions ne constituent pas une voie graduelle vers un état visé. Elles énoncent une série d’actions à exécuter simultanément et en permanence pour forger une culture d’entreprise qui intègre les nouveaux risques de cybersécurité.
Le profil du cadre représente les objectifs de l’organisation en matière de cybersécurité. Une organisation peut élaborer son profil en choisissant tous les résultats les plus importants qu’exposent les fonctions du cadre selon ses objectifs métier, la tolérance au risque et les ressources.
En créant un profil actuel et le comparant à la cible, l’organisation peut identifier des pistes pour améliorer son programme de cybersécurité. Selon la priorité et le coût estimé des mesures correctives, elle prévoit les actions d’amélioration à mener.
Les niveaux de mise en œuvre indiquent le degré auquel le programme de cybersécurité établi par l’organisation reflète les caractéristiques qu’expose le cadre. Cela aide à comprendre le champ des pratiques de cybersécurité établies pour gérer les risques.
Les niveaux n’indiquent pas la maturité. L’organisation doit évoluer vers un niveau supérieur si elle dispose des ressources et du budget pour réduire ses risques de cybersécurité.
Pratiques de gestion des risques irrégulières, réactives avec une connaissance limitée des risques
Degré de connaissance des risques, mais déploiement limité d’un programme de gestion des risques au niveau organisationnel.
Programme de gestion des risques cohérent dans l’organisation avec des processus pour réagir aux changements du contexte des menaces.
Système d’action avancé capable d’améliorer efficacement le programme de gestion des risques selon les incidents passés et les indicateurs prédictifs.
Identifier
Protect
Detect
Respond
Recover
Identifier les données et les ressources et les gérer selon les objectifs métier et la stratégie de risque de l’organisation.
Définir des rôles de cybersécurité et prendre des décisions fondées en matière de gestion des risques selon les objectifs, les acteurs et les opérations de l’organisation.
Comprendre les stratégies établies pour analyser les exigences réglementaires, légales et opérationnelles de l’organisation et tenir la direction informée des risques de cybersécurité.
Déterminer les risques de cybersécurité pour les services, les ressources et les équipes de l’organisation.
Établit un système de gestion des risques s’appuyant sur les objectifs et la tolérance au risque de l’organisation.
Restreindre l’accès à des ressources aux utilisateurs et appareils autorisés et gérer le risque associé à un accès non autorisé.
Gérer et protéger les données selon la stratégie de risque de l’organisation pour assurer leur confidentialité, leur intégrité et leur disponibilité.
Appliquer des stratégies de sécurité pour protéger les systèmes d’information et les ressources.
Effectuer la maintenance des systèmes d’information ou de contrôle industriel selon la stratégie de l’organisation.
Établir et gérer des solutions techniques de sécurité pour assurer la stabilité et la résilience des systèmes de sécurité.
Détecter toute activité anormale et déterminer son impact potentiel.
Analyser les systèmes d’information et les ressources pour identifier les incidents et vérifier régulièrement les mesures de sécurité.
Veiller à l’efficacité des processus de détection des anomalies par le test.
Établir et suivre un plan de réponse cohérent aux événements de cybersécurité.
Coordonner les mesures de réponse avec les acteurs internes et externes.
Effectuer une analyse pour assurer des mesures de réponse et de reprise efficaces.
Limiter et atténuer l’impact des incidents et y remédier rapidement.
Intégrer les enseignements tirés des incidents pour améliorer les mesures de réponse de l’organisation.
Exécuter et suivre des processus de reprise pour rétablir les systèmes touchés par des incidents de cybersécurité.
Intégrer les enseignements tirés pour améliorer les mesures de reprise.
Coordonner les mesures de restauration/reprise avec les acteurs internes et externes.
Téléchargez notre guide pour examiner de près comment votre organisation peut
déployer le cadre de cybersécurité NIST.
Un déploiement complet du cadre de cybersécurité NIST exige une diversité de solutions, de procédures, de rôles et de technologies. Les solutions indiquées ci-dessus ne sont que certaines des façons dont les outils de gestion informatique contribuent à la mise en œuvre du cadre de cybersécurité NIST. De concert avec des solutions, des processus et des moyens humains adéquats, les produits de ManageEngine aident à se conformer au cadre de cybersécurité NIST. Ce document fourni à titre informatif uniquement ne constitue pas un avis juridique pour mettre en œuvre le cadre de cybersécurité NIST. ManageEngine ne consent aucune garantie, expresse, implicite ou légale, quant aux informations contenues dans le présent document. .
