Le cadre de cybersécurité du NIST est devenu le langage commun de la cybersécurité internationale
Toutes les organisations, qu’elles soient publiques ou privées et quel que soit l’endroit où elles opèrent, travaillent dans l’un des paysages de menaces les plus chaotiques jamais vus. Et maintenant, au milieu de notre première cyberguerre mondiale, alors que les tensions augmentent régulièrement en raison du conflit russo-ukrainien, il est primordial que ceux qui sont chargés de sécuriser leur organisation ne ferment pas les yeux sur la probabilité d’une brèche. Les organisations doivent faire face à la réalité d’une violation et rester proactives dans la découverte des risques, tout en alignant la stratégie et les outils nécessaires pour les atténuer.
Indépendamment de la façon dont les équipes de sécurité appliquent une diligence appropriée pour faire face aux menaces d’aujourd’hui, tous les signes indiquent qu’il est maintenant temps de renforcer les stratégies. En fait, la Maison Blanche a récemment publié une déclaration mettant en garde contre le potentiel de la Russie à se livrer à une cyberactivité malveillante contre les États-Unis en réponse aux sanctions économiques récemment imposées. Ainsi, que vous soyez préoccupé par les risques découlant du conflit en Ukraine qui affectent l’organisation ou que le moment soit venu de réévaluer la posture de sécurité de l’entreprise, il existe des ressources hautement crédibles disponibles pour aider à guider ces efforts.
Le cadre de cybersécurité du NIST vient immédiatement à l’esprit. Il propose un ensemble clair de directives pour traiter et gérer les risques de cybersécurité, sur la base des normes, directives et meilleures pratiques existantes publiées par le NIST. Bien que ce cadre ait été initialement développé pour améliorer la gestion des risques liés aux infrastructures critiques aux États-Unis, les équipes de sécurité peuvent l’utiliser dans n’importe quel secteur de l’économie ou de la société. Le NIST indique clairement : les organisations en dehors des États-Unis peuvent également utiliser le cadre pour renforcer leurs propres efforts en matière de cybersécurité, et le cadre peut contribuer à développer un langage commun pour la coopération internationale sur la cybersécurité des infrastructures critiques.
Et pourquoi pas? Nos objectifs de sécurité partagent un ton similaire, quel que soit le rôle ou l’emplacement, sécurisant les organisations de la manière la plus efficace possible. Nous pourrions tout aussi bien partager des outils et des informations pertinents pour nous aider à y arriver. En ce qui concerne le cadre NIST, certaines utilisations principales méritent d’être soulignées. Dans un premier temps, les équipes de sécurité peuvent utiliser le cadre comme guide pour aider à déterminer quelles activités sont les plus importantes pour assurer les opérations critiques et pour aider à hiérarchiser les investissements et à maximiser l’impact des dépenses de cybersécurité. Mais comme pour tout ensemble de directives qu’une entreprise envisage d’utiliser, en tirer le meilleur parti revient à définir d’abord les objectifs de l’organisation.
Par exemple, si l’équipe vise à sécuriser une entreprise qui a connu des changements extraordinaires dus à une augmentation du nombre de travailleurs mobiles et distants, à l’adoption rapide du cloud, ou les deux, le cadre NIST peut aider à hiérarchiser les projets ou même aider à guider les décisions d’achat et finalement à réduire les risques.
Le scénario de transformation du cloud n’est certainement pas rare de nos jours, mais il s’accompagne de défis majeurs pour les praticiens de la sécurité. Les outils de sécurité réseau traditionnels, qui sont depuis longtemps des incontournables, reposent sur la visibilité aux terminaux des réseaux sur site et les équipes de sécurité ne peuvent plus les laisser arrêter toutes les menaces. Bien qu’il soit toujours important de rendre l’environnement aussi difficile que possible pour les attaquants qui viennent frapper à la porte, empêcher leur entrée ne doit pas se faire au détriment de leur détection lorsqu’ils le font. Et voici où le NIST peut donner un coup de main.
Pour les praticiens, c’est devenu une ressource très utile que l’industrie devrait partager. Des déclarations comme celle de la Maison Blanche et des alertes de ransomware comme celle-ci qui a été publiée en tant qu’avis conjoint du FBI, de la CISA et de la NSA doivent être prises au sérieux. Nous pouvons également les utiliser comme ressources pour améliorer la posture car ils offrent des conseils d’atténuation. Alors que les agences gouvernementales sont tenues de suivre des directives pour protéger les infrastructures critiques, la plupart des entités opèrent aujourd’hui dans le secteur privé. C’est également le cas à l’échelle internationale, où les cybercriminels ne sont pas différents et essaient toujours de trouver un moyen d’entrer sans se soucier de la façon dont une organisation déploie son entreprise. Quelles que soient les techniques, les tactiques ou les outils qu’ils utilisent, ce n’est pas la responsabilité de nos gouvernements de les arrêter contre nous en tant que défenseurs.
Willem Hendrickx, directeur des revenus, Vectra AI