Le NIST publie la version 2.0 étendue de Landmark Cybersecurity Framework pour aider les organisations d'infrastructures critiques

Le National Institute of Standards and Technology (NIST) a dévoilé la version 2.0 de son Cybersecurity Framework (CSF), marquant une étape majeure dans la stratégie de cybersécurité. Initialement conçu pour les organisations d'infrastructures critiques, le CSF a été largement adopté au-delà de sa portée prévue, incitant le NIST à améliorer son applicabilité dans divers secteurs et tailles d'organisation. Le cadre mis à jour, éclairé par les commentaires sur son projet, élargit les orientations de base et introduit la fonction cruciale de « gouverner », comblant les lacunes dans la gestion des risques.

Le nouveau cadre, qui n'a pas été mis à jour depuis environ 10 ans, arrive à un moment critique où les organisations d'infrastructures critiques sont confrontées à de graves cyberattaques qui pourraient paralyser les fonctions quotidiennes dans de nombreux aspects de la vie. Certaines attaques ont déraciné les opérations de soins intensifs dans les groupes de santé et dans de nombreux autres secteurs, ce que le nouveau cadre vise à contrecarrer.

Robert Booker, directeur de la stratégie chez HITRUST, a souligné l'importance de la fonction de gouvernance, soulignant son rôle central dans la gestion des risques dans le paysage de la cybersécurité. Notamment, le CSF 2.0 fournit aux utilisateurs des exemples de mise en œuvre personnalisés et des guides de démarrage rapide, facilitant son application pratique. De plus, il intègre un catalogue de références consultable, rationalisant l'alignement avec plus de 50 documents sur la cybersécurité.

La directrice du NIST, Laurie E. Locascio, a souligné la nature dynamique du CSF 2.0, le décrivant comme une suite de ressources personnalisables et adaptables à l'évolution des besoins en matière de cybersécurité et des capacités organisationnelles. Katherine Ledesma, de la société de cybersécurité industrielle Dragos, a souligné les implications du cadre pour les organisations dotées de systèmes de contrôle industriel (ICS) et de systèmes de technologie opérationnelle (OT). Elle a souligné un changement de perception, positionnant l’investissement dans la cybersécurité non seulement comme un centre de coûts mais aussi comme un catalyseur stratégique pour les opérations commerciales, particulièrement critique pour des secteurs comme l’industrie manufacturière et les services publics.

Ledesma a également souligné l'importance de faire la distinction entre les environnements IT et OT dans le cadre CSF, prévoyant une approche nuancée pour la sauvegarde des systèmes ICS/OT. Elle a souligné la nécessité de mises à jour continues et de conseils spécialisés pour faire face aux risques uniques associés à ces systèmes, plaidant pour l'intégration de considérations spécifiques à l'OT dans des documents plus larges de planification et d'orientation en matière de cybersécurité.

Dans l’ensemble, la sortie de CSF 2.0 marque une avancée significative dans la stratégie de cybersécurité, offrant un cadre complet adaptable à divers contextes organisationnels et soulignant le rôle essentiel de la cybersécurité dans le soutien de la résilience et de la continuité des entreprises.