Le paysage de la s\u00e9curit\u00e9 de l’information dans le monde est relativement vari\u00e9, avec des approches et des normes diff\u00e9rentes, mais un pays se distingue particuli\u00e8rement : l’Allemagne. Alors que d’autres pays s’appuient sur les normes am\u00e9ricaines publi\u00e9es par le NIST (National Institute for Standards in Technology) pour la gestion des risques, le \u00ab\u00a0Risk Management Framework\u00a0\u00bb (NIST RMF), et pour la s\u00e9curisation des infrastructures critiques, le \u00ab\u00a0Cybersecurity Framework\u00a0\u00bb (NIST CSF), l’Allemagne propose sa propre norme. Dans cet article, nous expliquons quels avantages le NIST pourrait offrir en Allemagne en plus des normes BSI.<\/p>\n\n
Le contexte de la situation internationale actuelle en mati\u00e8re de s\u00e9curit\u00e9 de l’information ISO 27001 est l’un des principaux cadres de r\u00e9f\u00e9rence en mati\u00e8re de s\u00e9curit\u00e9 de l’information et est exig\u00e9 par de nombreuses entreprises comme condition pr\u00e9alable \u00e0 toute collaboration, d’o\u00f9 l’importance de la certification. D’autres normes telles que TISAX du VDI et les normes 200-x du BSI sont bas\u00e9es sur la norme ISO, ce qui accro\u00eet encore sa popularit\u00e9. D’autre part, les normes du NIST, l’institut am\u00e9ricain de normalisation technologique, constituent une alternative, les deux cadres se compl\u00e9tant \u00e9galement tr\u00e8s bien. Ils sont impos\u00e9s aux autorit\u00e9s am\u00e9ricaines par la l\u00e9gislation et font l’objet d’un d\u00e9veloppement constant. En 2014, le minist\u00e8re am\u00e9ricain de la D\u00e9fense (Department of Defense, DoD) a remplac\u00e9 le Information Assurance Certification and Accreditation Process (en fran\u00e7ais : processus de certification et d’accr\u00e9ditation), entr\u00e9 en vigueur en 2006, par son successeur, le NIST Risk Management Framework (RMF). Comme le NIST RMF est obligatoire et impos\u00e9 aux autorit\u00e9s am\u00e9ricaines, cette norme est particuli\u00e8rement adapt\u00e9e \u00e0 l’environnement des autorit\u00e9s publiques et non aux entreprises priv\u00e9es. Pour rem\u00e9dier \u00e0 cette situation, le NIST a publi\u00e9 en 2014 le NIST Cybersecurity Framework (NIST CSF). Toutefois, la structure du CSF diff\u00e8re fondamentalement de celle du NIST RMF, car il s’agit uniquement d’un cadre et il est fondamentalement diff\u00e9rent du processus de gestion des risques. NIST CSF d\u00e9crit la structure de base du processus dans lequel s’inscrit un SMSI. Les mesures de s\u00e9curit\u00e9 qui sont alors mises en \u0153uvre peuvent \u00eatre emprunt\u00e9es \u00e0 une autre norme, comme par exemple ISO 27001 ou, \u00e0 titre de soutien, \u00e0 l’ouvrage NIST SP 800-53, qui dessert \u00e9galement le RMF. Pour ces raisons, NIST CSF ne devrait pas \u00eatre mis en \u0153uvre seul, mais accompagn\u00e9 d’un catalogue de mesures pour une int\u00e9gration optimale. Avec ce regard sur la nature internationale des diff\u00e9rents cadres, nous en venons maintenant \u00e0 la situation en Allemagne.<\/p>\n\n Le processus d’infrastructure s\u00e9curis\u00e9e se d\u00e9roule en 5 \u00e9tapes pour le RMF et le CSF : Le BSI a cr\u00e9\u00e9 une norme pour la s\u00e9curisation des infrastructures critiques et publie ainsi le m\u00eame objectif que le NIST RMF. Seule l’approche est tr\u00e8s diff\u00e9rente. Les normes BSI mettent l’accent sur les mesures obligatoires et la conformit\u00e9 plut\u00f4t que sur l’adaptation de la strat\u00e9gie au paysage actuel des risques. D’autre part, l’accent est mis sur les valeurs (assets) et offre peu de soutien ou d’explications dans le domaine de la gestion des risques, si l’on compare avec le NIST RMF. Cependant, la norme s’appuie de plus en plus sur la norme ISO 27001, comme le montrent les derni\u00e8res modifications apport\u00e9es \u00e0 la s\u00e9rie 200, par opposition \u00e0 la s\u00e9rie 100. (1)<\/em><\/p>\n\n Ces normes BSI, s\u00e9rie 200-x ainsi que 100-4, sont utilis\u00e9es comme base pour de nombreuses autorit\u00e9s allemandes, car un ISMS conforme \u00e0 l’\u00e9tat de la technique doit \u00eatre mis en \u0153uvre (3)<\/em> pour les exploitants d’infrastructures critiques conform\u00e9ment \u00e0 la loi sur la s\u00e9curit\u00e9 informatique de 2015 (2)<\/em>. La lacune pour la s\u00e9curisation des infrastructures critiques dans le domaine public est ainsi combl\u00e9e et le NIST, en tant qu’alternative, passe au second plan. En r\u00e9sum\u00e9, on peut supposer que les raisons suivantes sont responsables de cette \u00e9viction : Maintenant, ces avantages offrent pas mal de choses pour s\u00e9curiser l’information, tout en rel\u00e9guant d’autres aspects \u00e0 l’arri\u00e8re-plan, que nous ne devons pas oublier. Le NIST CSF et le RMF offrent un soutien en proposant une vision diff\u00e9rente des risques d’entreprise :<\/p>\n\n Tous les documents pertinents publi\u00e9s par le NIST, notamment la s\u00e9rie SP 800-x, sont soutenus par l’\u00c9tat et sont disponibles gratuitement, m\u00eame s’ils ne sont disponibles qu’en anglais (4)<\/em>. Il est ainsi tr\u00e8s facile d’annoncer les documents pertinents au sein de l’entreprise. Par rapport \u00e0 la norme ISO, o\u00f9 chaque lecteur a un co\u00fbt, ce qui peut constituer un obstacle important pour les grandes entreprises. Les normes BSI sont \u00e9galement disponibles gratuitement, mais comme elles fonctionnent \u00e0 l’aide d’outils et qu’il n’est gu\u00e8re faisable pour les collaborateurs de travailler efficacement avec les catalogues IT-Grundschutz de 5082 pages, nous avons ici un obstacle suppl\u00e9mentaire en termes de lisibilit\u00e9 (5)<\/em>.<\/p>\n\n Cela offre la possibilit\u00e9 d’atteindre plus rapidement un niveau de s\u00e9curit\u00e9 plus \u00e9lev\u00e9, car il est plus facile, voire plus important, d’impliquer la culture d’entreprise. La gestion des risques est l’objectif principal du cadre de gestion des risques et l’identification et le traitement des risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 de l’information constituent le principal point focal. C’est pourquoi un SMSI conforme \u00e0 la norme NIST RMF adopte une approche tr\u00e8s pragmatique. En comparaison, la gestion des risques selon les normes ISO 31000 ou BSI est tr\u00e8s rudimentaire et reste en arri\u00e8re-plan ou \u00e0 la discr\u00e9tion de la direction. Pour les niveaux de s\u00e9curit\u00e9 faibles, comme la protection de base selon la norme BSI 200-2, aucune gestion des risques n’est m\u00eame pr\u00e9vue (6)<\/em>, ce qui limite fortement les possibilit\u00e9s de recommandations d’actions et de d\u00e9veloppement continu.<\/p>\n\n Le cycle de d\u00e9veloppement du syst\u00e8me (SDLC) est directement int\u00e9gr\u00e9 dans la gestion des risques, de sorte que des mesures et des processus diff\u00e9rents sont mis en \u0153uvre \u00e0 chaque \u00e9tape du d\u00e9veloppement du syst\u00e8me pour s\u00e9curiser les informations. Le syst\u00e8me est en quelque sorte guid\u00e9 par la gestion des risques afin de pouvoir offrir une protection compl\u00e8te (7)<\/em>. Le SDLC n’est pas automatiquement int\u00e9gr\u00e9 dans toutes les autres normes et constitue donc plut\u00f4t une option suppl\u00e9mentaire que l’on a tendance \u00e0 n\u00e9gliger ou \u00e0 consid\u00e9rer comme non significative.<\/p>\n\n L’adaptation des mesures \u00e0 l’infrastructure existante offre la possibilit\u00e9 de prendre des mesures suppl\u00e9mentaires, de supprimer les mesures superflues et d’identifier et de centraliser les mesures intersyst\u00e8mes (8)<\/em>. Ces possibilit\u00e9s sont fermement ancr\u00e9es dans le processus et doivent \u00eatre autoris\u00e9es avec. Ce processus est unique et met l’accent sur la confiance dans les syst\u00e8mes plut\u00f4t que sur le respect des r\u00e8gles ou la conformit\u00e9. Il s’agit ici de cr\u00e9er un pont entre le cadre r\u00e9glementaire et une mise en \u0153uvre pragmatique et efficace.<\/p>\n\n Des concepts sont propos\u00e9s qui, \u00e0 l’instar des normes BSI, peuvent \u00eatre g\u00e9r\u00e9s de mani\u00e8re globale et centralis\u00e9e, ainsi que la possibilit\u00e9 de les diviser en concepts parapluie plus petits, g\u00e9r\u00e9s de mani\u00e8re d\u00e9centralis\u00e9e, mais qui sont n\u00e9anmoins ind\u00e9pendants. Par rapport \u00e0 la norme ISO 27001, qui a pour principe directeur une structure de gestion sous la forme d’un comit\u00e9 et qui implique donc beaucoup de travail dans la mesure o\u00f9 diff\u00e9rents syst\u00e8mes doivent \u00eatre certifi\u00e9s, la norme NIST RMF constitue un processus dans lequel les acteurs peuvent \u00eatre diff\u00e9rents. De cette mani\u00e8re, il est facile de certifier diff\u00e9rents syst\u00e8mes \u00e0 diff\u00e9rents moments.<\/p>\n\n En r\u00e9sum\u00e9, l’Allemagne poursuit une strat\u00e9gie de s\u00e9curit\u00e9 qui s’oriente vers des normes internationales, mais qui prend elle-m\u00eame une direction, celle de l’automatisation et de la standardisation du paysage de la s\u00e9curit\u00e9. Cela comporte quelques obstacles, notamment en termes d’adaptabilit\u00e9 \u00e0 l’entreprise concern\u00e9e. Pour les entreprises du secteur priv\u00e9, il peut \u00eatre int\u00e9ressant de regarder dans la direction des \u00c9tats-Unis et d’examiner certains aspects sur lesquels nous nous concentrons encore peu en Allemagne. Non seulement le cadre de gestion des risques et le cadre de cybers\u00e9curit\u00e9 du NIST sont en constante \u00e9volution et adapt\u00e9s \u00e0 chaque secteur, mais ils offrent \u00e9galement la possibilit\u00e9 d’une certification simple selon la norme ISO 27001, \u00e9tant donn\u00e9 que la conformit\u00e9 est assur\u00e9e. D’autres aspects de l’efficacit\u00e9, tels que l’accent mis sur la gestion des risques, l’int\u00e9gration des processus de d\u00e9veloppement et l’accent mis sur l’agilit\u00e9 de l’entreprise, apparaissent en outre de mani\u00e8re accrue. Sources : Le paysage de la s\u00e9curit\u00e9 de l’information dans le monde est relativement vari\u00e9, avec des approches et des normes diff\u00e9rentes, mais un pays se distingue particuli\u00e8rement : l’Allemagne. Alors que d’autres pays s’appuient sur les normes am\u00e9ricaines publi\u00e9es par le NIST (National Institute for Standards in Technology) pour la gestion des risques, le \u00ab\u00a0Risk Management […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[13],"tags":[],"class_list":["post-2931","post","type-post","status-publish","format-standard","hentry","category-non-classifiee"],"yoast_head":"\nAvantages de la mise en \u0153uvre selon la BSI en Allemagne<\/h4>\n\n
Avantages de la mise en \u0153uvre selon le NIST en Allemagne<\/h4>\n\n
Disponibilit\u00e9 libre et facilit\u00e9 d’utilisation :<\/h4>\n\n
Se concentrer sur la confiance et le risque plut\u00f4t que sur la conformit\u00e9 :<\/h4>\n\n
Focalisation sur le d\u00e9veloppement de syst\u00e8mes :<\/h4>\n\n
Focalisation sur l’adaptabilit\u00e9 :<\/h4>\n\n
Adaptation optimale \u00e0 l’environnement syst\u00e8me et \u00e0 la structure de gouvernance :<\/h4>\n\n