Le paysage de la sécurité de l’information dans le monde est relativement varié, avec des approches et des normes différentes, mais un pays se distingue particulièrement : l’Allemagne. Alors que d’autres pays s’appuient sur les normes américaines publiées par le NIST (National Institute for Standards in Technology) pour la gestion des risques, le « Risk Management Framework » (NIST RMF), et pour la sécurisation des infrastructures critiques, le « Cybersecurity Framework » (NIST CSF), l’Allemagne propose sa propre norme. Dans cet article, nous expliquons quels avantages le NIST pourrait offrir en Allemagne en plus des normes BSI.
Le contexte de la situation internationale actuelle en matière de sécurité de l’information
Les normes suivantes sont parmi les plus utilisées dans le monde :
– Cadre de cybersécurité du NIST (CSF)
– Cadre de gestion des risques du NIST (RMF)
-ISO 27001
ISO 27001 est l’un des principaux cadres de référence en matière de sécurité de l’information et est exigé par de nombreuses entreprises comme condition préalable à toute collaboration, d’où l’importance de la certification. D’autres normes telles que TISAX du VDI et les normes 200-x du BSI sont basées sur la norme ISO, ce qui accroît encore sa popularité. D’autre part, les normes du NIST, l’institut américain de normalisation technologique, constituent une alternative, les deux cadres se complétant également très bien. Ils sont imposés aux autorités américaines par la législation et font l’objet d’un développement constant. En 2014, le ministère américain de la Défense (Department of Defense, DoD) a remplacé le Information Assurance Certification and Accreditation Process (en français : processus de certification et d’accréditation), entré en vigueur en 2006, par son successeur, le NIST Risk Management Framework (RMF). Comme le NIST RMF est obligatoire et imposé aux autorités américaines, cette norme est particulièrement adaptée à l’environnement des autorités publiques et non aux entreprises privées. Pour remédier à cette situation, le NIST a publié en 2014 le NIST Cybersecurity Framework (NIST CSF). Toutefois, la structure du CSF diffère fondamentalement de celle du NIST RMF, car il s’agit uniquement d’un cadre et il est fondamentalement différent du processus de gestion des risques. NIST CSF décrit la structure de base du processus dans lequel s’inscrit un SMSI. Les mesures de sécurité qui sont alors mises en œuvre peuvent être empruntées à une autre norme, comme par exemple ISO 27001 ou, à titre de soutien, à l’ouvrage NIST SP 800-53, qui dessert également le RMF. Pour ces raisons, NIST CSF ne devrait pas être mis en œuvre seul, mais accompagné d’un catalogue de mesures pour une intégration optimale. Avec ce regard sur la nature internationale des différents cadres, nous en venons maintenant à la situation en Allemagne.
Le processus d’infrastructure sécurisée se déroule en 5 étapes pour le RMF et le CSF :
1. le repérage et la description du système
2. l’élaboration de la stratégie de sécurité
3. la mise en œuvre de la stratégie de sécurité
4. la vérification de la mise en œuvre sur la base du risque
5. la communication et le développement continu
Le BSI a créé une norme pour la sécurisation des infrastructures critiques et publie ainsi le même objectif que le NIST RMF. Seule l’approche est très différente. Les normes BSI mettent l’accent sur les mesures obligatoires et la conformité plutôt que sur l’adaptation de la stratégie au paysage actuel des risques. D’autre part, l’accent est mis sur les valeurs (assets) et offre peu de soutien ou d’explications dans le domaine de la gestion des risques, si l’on compare avec le NIST RMF. Cependant, la norme s’appuie de plus en plus sur la norme ISO 27001, comme le montrent les dernières modifications apportées à la série 200, par opposition à la série 100. (1)
Avantages de la mise en œuvre selon la BSI en Allemagne
Ces normes BSI, série 200-x ainsi que 100-4, sont utilisées comme base pour de nombreuses autorités allemandes, car un ISMS conforme à l’état de la technique doit être mis en œuvre (3) pour les exploitants d’infrastructures critiques conformément à la loi sur la sécurité informatique de 2015 (2). La lacune pour la sécurisation des infrastructures critiques dans le domaine public est ainsi comblée et le NIST, en tant qu’alternative, passe au second plan. En résumé, on peut supposer que les raisons suivantes sont responsables de cette éviction :
– simplicité de mise en œuvre via un outil. Il existe différents outils qui peuvent être utilisés et qui sont en constante évolution, comme ‘verinice’ ou ‘HiScout’.
– Publication en allemand, les normes NIST n’étant disponibles qu’en version anglaise. Ce point est particulièrement important pour les autorités dont la langue officielle est le plus souvent l’allemand.
– L’alignement des normes BSI sur ISO 27001, ce qui facilite grandement la certification ISO 27001 à laquelle aspirent de nombreuses entreprises.
Avantages de la mise en œuvre selon le NIST en Allemagne
Maintenant, ces avantages offrent pas mal de choses pour sécuriser l’information, tout en reléguant d’autres aspects à l’arrière-plan, que nous ne devons pas oublier. Le NIST CSF et le RMF offrent un soutien en proposant une vision différente des risques d’entreprise :
Disponibilité libre et facilité d’utilisation :
Tous les documents pertinents publiés par le NIST, notamment la série SP 800-x, sont soutenus par l’État et sont disponibles gratuitement, même s’ils ne sont disponibles qu’en anglais (4). Il est ainsi très facile d’annoncer les documents pertinents au sein de l’entreprise. Par rapport à la norme ISO, où chaque lecteur a un coût, ce qui peut constituer un obstacle important pour les grandes entreprises. Les normes BSI sont également disponibles gratuitement, mais comme elles fonctionnent à l’aide d’outils et qu’il n’est guère faisable pour les collaborateurs de travailler efficacement avec les catalogues IT-Grundschutz de 5082 pages, nous avons ici un obstacle supplémentaire en termes de lisibilité (5).
Se concentrer sur la confiance et le risque plutôt que sur la conformité :
Cela offre la possibilité d’atteindre plus rapidement un niveau de sécurité plus élevé, car il est plus facile, voire plus important, d’impliquer la culture d’entreprise. La gestion des risques est l’objectif principal du cadre de gestion des risques et l’identification et le traitement des risques liés à la sécurité de l’information constituent le principal point focal. C’est pourquoi un SMSI conforme à la norme NIST RMF adopte une approche très pragmatique. En comparaison, la gestion des risques selon les normes ISO 31000 ou BSI est très rudimentaire et reste en arrière-plan ou à la discrétion de la direction. Pour les niveaux de sécurité faibles, comme la protection de base selon la norme BSI 200-2, aucune gestion des risques n’est même prévue (6), ce qui limite fortement les possibilités de recommandations d’actions et de développement continu.
Focalisation sur le développement de systèmes :
Le cycle de développement du système (SDLC) est directement intégré dans la gestion des risques, de sorte que des mesures et des processus différents sont mis en œuvre à chaque étape du développement du système pour sécuriser les informations. Le système est en quelque sorte guidé par la gestion des risques afin de pouvoir offrir une protection complète (7). Le SDLC n’est pas automatiquement intégré dans toutes les autres normes et constitue donc plutôt une option supplémentaire que l’on a tendance à négliger ou à considérer comme non significative.
Focalisation sur l’adaptabilité :
L’adaptation des mesures à l’infrastructure existante offre la possibilité de prendre des mesures supplémentaires, de supprimer les mesures superflues et d’identifier et de centraliser les mesures intersystèmes (8). Ces possibilités sont fermement ancrées dans le processus et doivent être autorisées avec. Ce processus est unique et met l’accent sur la confiance dans les systèmes plutôt que sur le respect des règles ou la conformité. Il s’agit ici de créer un pont entre le cadre réglementaire et une mise en œuvre pragmatique et efficace.
Adaptation optimale à l’environnement système et à la structure de gouvernance :
Des concepts sont proposés qui, à l’instar des normes BSI, peuvent être gérés de manière globale et centralisée, ainsi que la possibilité de les diviser en concepts parapluie plus petits, gérés de manière décentralisée, mais qui sont néanmoins indépendants. Par rapport à la norme ISO 27001, qui a pour principe directeur une structure de gestion sous la forme d’un comité et qui implique donc beaucoup de travail dans la mesure où différents systèmes doivent être certifiés, la norme NIST RMF constitue un processus dans lequel les acteurs peuvent être différents. De cette manière, il est facile de certifier différents systèmes à différents moments.
En résumé, l’Allemagne poursuit une stratégie de sécurité qui s’oriente vers des normes internationales, mais qui prend elle-même une direction, celle de l’automatisation et de la standardisation du paysage de la sécurité. Cela comporte quelques obstacles, notamment en termes d’adaptabilité à l’entreprise concernée. Pour les entreprises du secteur privé, il peut être intéressant de regarder dans la direction des États-Unis et d’examiner certains aspects sur lesquels nous nous concentrons encore peu en Allemagne. Non seulement le cadre de gestion des risques et le cadre de cybersécurité du NIST sont en constante évolution et adaptés à chaque secteur, mais ils offrent également la possibilité d’une certification simple selon la norme ISO 27001, étant donné que la conformité est assurée. D’autres aspects de l’efficacité, tels que l’accent mis sur la gestion des risques, l’intégration des processus de développement et l’accent mis sur l’agilité de l’entreprise, apparaissent en outre de manière accrue.
Sources :
1 cf. état actuel de la modernisation de la protection informatique de base, 08.06.2017, Isabel Münch
2 cf. loi sur l’amélioration de la sécurité des systèmes informatiques (IT-Sicherheitsgesetz), du 17 juillet 2015
3 cf. $8a, loi sur l’amélioration de la sécurité des systèmes informatiques (IT-Sicherheitsgesetz), du 17 juillet 2015
4 p. https://csrc.nist.gov/publications/sp800
5 cf. catalogues IT-Grundschutz, 15e livraison complémentaire – 2016
6 cf. norme BSI 200-2
7 cf. NIST SP 800-37
8 cf. NIST SP 800-53