Choisir un bon cadre de référence en cyber sécurité

Parmis les nombreux référentiels en cybersécurité, choisissez le plus simple qui s’adapte à vos besoins. Le CIS Top 18, Essential 8 ou Critical 10 sont d’excellents exemples. Pour aller plus loin, je recommande NIST CSF. Vous pouvez aussi sélectionner les mesures les plus appropriées pour bâtir votre propre cadre de référence sécurité !

Il existe plus de 50 normes, standards et référentiels en cybersécurité. Comment choisir un cadre de référence pragmatique qui répond à vos besoins ?

Voici mes recommandations pour établir une liste de mesures de sécurité utilisables comme cadre de référence.

Critères de sélection

Un cadre de référence doit être utilisé pour mesurer et suivre la posture de sécurité de votre organisation. La précision et l’objectivité sont importantes. Un référentiel de sécurité est un outil qui est utilisé au quotidien.

J’ai passé en revue des dizaines de normes et standards pour éclairer votre décision. Dans cette analyse, j’ai sélectionné uniquement les référentiels génériques. J’ai exclu les mesures de sécurité très spécifiques à des produits ou technologies.

Synthèse des meilleurs référentiels

Voici une synthèse des référentiels de cyber sécurité applicables à toutes industries et tailles d’entreprise. Ils sont triés par ordre de mise à jour.

RÉFÉRENTIELDESCRIPTION SOMMAIREDATE
ISO 27002:2022
ISO/IEC
93 mesures physiques, humaines, organisationnelles, technologiques, avec 3 types de contrôles (Préventif, Détectif, Correctif) et 5 concepts identiques à NIST CSF.Février 2022
Critical 10
CERT New Zealand
Liste 10 contrôles critiques à jour et pragmatiques pour Prévenir, Détecter et Contenir des cyberattaques.Février 2022
MITRE Engage
Mitre Corporation
Matrice de 50 techniques contre-offensives pour Détecter, Gêner et Provoquer un adversaire en 5 étapes (Prepare, Expose, Affect, Elicit, Understand). – Anciennement MITRE SHIELD.Mars 2022
Cyber Essentials
National Cyber Security Centre (UK)
5 contrôles clés techniques et basiques (pare-feu, postes, accès, malware, patch). Norme certifiable par le gouvernement du Royaume-Uni (CyberEssentials Plus).Janvier 2022
ETSI TR 103 305-1
European Telecom Standards Institute
Norme basée sur les 18 mesures de CIS Critical Security Controls v8 avec 3 profils d’implantations (IG) selon le niveau de sécurité désiré.Déc. 2021 (v4.1.1)
ACSC Essential 8
Cyber Security Centre (Australia)
Liste de 8 mesures essentielles avec 3 niveaux de maturité pour Prévenir, Limiter les impacts, Récupérer d’une cyberattaque. Pragmatique avec guides prescriptifs.Octobre 2021
MITRE ATT&CK
Mitre Corporation
Matrice de 218 techniques offensives organisées selon un cycle de vie d’une attaque en 14 étapes.Octobre 2021
MITRE D3FEND
Mitre Corporation
Matrice de 117 stratégies de défense (Harden, Detect, Isolate, Deceive) en 15 catégories.Juin 2021
CERT Canada Top Measures
Centre for Cyber Security (Canada)
6 mesures essentielles pour les petites entreprises, selon un sommaire des 13 issues du Baseline.Juin 2021 (ITSAP.10.035)
CISA Cyber Essentials
Cybersecurity and Infrastructure Security Agency (USA)
Mesures claires et classifiées selon deux responsabilités (direction et IT) et basées 6 piliers (stratégie, personnes, systèmes, accès, données, réponse).Mars 2021
ANSSI Cybersécurité en 12 questions
Agence nationale de la SSI (France)
Référentiel pour les TPE/PME qui combine 12 mesures à haut niveau et technique posées sous forme de questions.Février 2021
CIS Critical Security Controls
Center for Internet Security
Liste de 18 mesures de sécurité critiques de référence. Anciennement SANS Top 20.Mai 2021 (v8)
ISF Standard of Good Practice for Information Security 2020
Information Security Forum (UK)
6 aspects (gouvernance, applications, postes, réseaux, systèmes, utilisateurs). Réservé aux membres (payant).Mai 2020
CERT Canada Baseline Cyber Security Controls
Centre for Cyber Security (Canada)
Ensemble de 5 mesures organisationnelles et de 13 mesures techniques et procédurales (20% des mesures de sécurité pour 80% des bénéfices). Certifiable (CyberSecure Canada).Février 2020 (v1.2)
NIST Cyber Security Framework (CSF)
National Institute of Standards and Technology (US)
Référence pour mesurer la maturité des mesures et leur alignement sur les objectifs organisationnels. 108 contrôles et 5 fonctions logiques (Identifier, Protéger, Détecter, Répondre, Rétablir).Avril 2018 (V1.1)
ANSSI Guide d’hygiène informatique
Agence Nationale de la Sécurité des SSI (France)
Ouvrage contenant 42 mesures d’hygiène informatique essentielles divisées en 9 catégories. Non mis à jour.Janvier 2017

Choisir votre référentiel en cybersécurité

Le choix d’un cadre de référence doit d’abord se faire selon le secteur et les exigences réglementaires applicables à votre industrie. Si tel est le cas, vous devez l’utiliser le référentiel applicable (santé, énergie, finance, etc.). Toutefois, pour la majorité des organisations, je recommande le NIST Cyber Security Framework (CSF). Il est complet, compréhensible et très bien aligné avec les autres normes et exigences de conformité. L’approche en 5 domaines est très logique:

  • Comprendre ce que l’on doit protéger (Identifier)
  • Mettre en place des mesures de protection (Protéger)
  • Surveiller et anticiper (Détecter)
  • Gérer les incidents (Répondre)
  • Savoir quoi faire si les choses devaient mal se passer (Rétablir).

Mon approche

J’utilise essentiellement NIST CSF et ISO 27002:2022. La nouvelle version de la norme ISO 27002:2022 – Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information, a été publiée en février 2022. Le nombre de mesures a été réduit à 93. Elles sont structurées en 3 types (préventif, détectif, correctif) et en 5 concepts (identifier, protéger, détecter, répondre et récupérer). Cette structure correspond exactement aux domaines NIST CSF.

Il m’arrive de fusionner ou simplifier certaines mesures pour ajuster le cadre de référence à la réalité de mes clients. J’ajoute aussi certains détails en utilisant des référentiels plus prescriptifs, tel que CIS Top 18.

Référentiels simplifiés

Pour les PME/PMI, il existe des guides de bonnes pratiques, notamment produits par l’Australie (Essential 8), la Nouvelle-Zélande (Critical 10), le Canada (Baseline Security Controls) ou les États-Unis (Cyber Essentials). Les mesures de sécurité sont à jour, concises et très utiles aux petites structures. Les guides de l’ANSSI en France (les 12 questions ou 42 mesures) sont écrits de façon très formelle. Ces guides sont plus difficiles à traduire en mesures concrètes.

Référentiels avancés

Lorsqu’il s’agit de structurer les opérations de sécurité défensive pour des organisations plus matures, j’utilise MITRE D3FEND. Ce cadre est aligné en tant que réponse à MITRE ATT&CK qui est une référence du domaine. Le nouveau référentiel MITRE ENGAGE est basé sur une approche contre-offensive qui est réservée à aux entreprises les plus avancées dans leurs opérations de cyber défense.

Pour ce qui est des niveaux de maturité, j’utilise le guide de l’Agence Européenne pour la Cybersécurité (ENISA NCAF). Il contient une description précise et très recherchée de la maturité et des capacités. Bien que ce document s’applique aux États membres de l’UE, j’utilise la méthodologie très rigoureuse pour formaliser les évaluations de maturité en sécurité.

Restez à jour

Inscrivez-vous à Coresilium pour recevoir les meilleures pratiques trois à six fois par an directement dans votre boite de messagerie.

* champ obligatoire

Vous pourrez vous désinscrire à tout moment en cliquant dans le lien en bas de l’infolettre.