Comment choisir un bon cadre de référence en cybersécurité ?

Je conseille des organisations sur trois continents (Amérique, Europe et Pacifique). Lorsqu’on me demande comment auditer ou mesurer leur niveau de sécurité, les options sont nombreuses. Il existe plus de 50 normes, standards et cadres de référence de cybersécurité. Alors, comment choisir un référentiel solide, reconnu, qui répond aux besoins, sans être trop complexe ?

Voici mon retour d’expérience pour établir une liste de mesures de sécurité utilisable comme cadre de référence. Découvrez le résultat d’années d’expérience acquise dans différentes juridictions, contextes et secteurs de l’industrie.

Critères de sélection

Je choisis toujours un cadre de référence qui peut être utilisé pour mesurer et suivre la posture de sécurité. La précision et l’objectivité sont importantes. Un référentiel de sécurité est avant tout un outil qui peut être utilisé au quotidien.

J’ai passé en revue des dizaines de normes et standards de sécurité de l’information pour éclairer votre décision. Dans cette analyse, j’ai sélectionné uniquement les référentiels génériques. J’ai exclu les cadres de gouvernance ou de gestion de risques. J’ai aussi exclu les mesures de sécurité très spécifiques à des produits ou technologies. Les référentiels propres à une industrie ou un secteur sont traités séparément.

Synthèse des meilleurs référentiels de sécurité

Voici une synthèse des référentiels de sécurité applicables à toutes industries et tailles d’entreprise. Ils sont triés par ordre de mise à jour.

RÉFÉRENTIELDESCRIPTION SOMMAIREDATE
ISO 27002:2022
ISO/IEC
93 mesures physiques, humaines, organisationnelles, technologiques, avec 3 types de contrôles (Préventif, Détectif, Correctif) et 5 concepts identiques à NIST CSF.Février 2022
Critical 10
CERT New Zealand
Liste 10 contrôles critiques à jour et pragmatiques pour Prévenir, Détecter et Contenir des cyberattaques.Février 2022
MITRE ENGAGE
Mitre Corporation
Matrice de 50 techniques contre-offensives pour Détecter, Gêner et Provoquer un adversaire en 5 étapes (Prepare, Expose, Affect, Elicit, Understand). – Anciennement MITRE SHIELD.Mars 2022
Cyber Essentials
National Cyber Security Centre (UK)
5 contrôles clés techniques et basiques (pare-feu, postes, accès, malware, patch). Norme certifiable par le gouvernement du Royaume-Uni (CyberEssentials Plus).Janvier 2022
ETSI TR 103 305-1
European Telecom Standards Institute
Norme basée sur les 18 mesures de CIS Critical Security Controls v8 avec 3 profils d’implantations (IG) selon le niveau de sécurité désiré.Déc. 2021 (v4.1.1)
ACSC Essential 8
Cyber Security Centre (Australia)
Liste de 8 mesures essentielles avec 3 niveaux de maturité pour Prévenir, Limiter les impacts, Récupérer d’une cyberattaque. Pragmatique avec guides prescriptifs.Octobre 2021
MITRE ATT&CK
Mitre Corporation
Matrice de 218 techniques offensives organisées selon un cycle de vie d’une attaque en 14 étapes.Octobre 2021
MITRE D3FEND
Mitre Corporation
Matrice de 117 stratégies de défense (Harden, Detect, Isolate, Deceive) en 15 catégories.Juin 2021
CERT Canada Top Measures
Centre for Cyber Security (Canada)
6 mesures essentielles pour les petites entreprises, selon un sommaire des 13 issues du Baseline.Juin 2021 (ITSAP.10.035)
CISA Cyber Essentials
Cybersecurity and Infrastructure Security Agency (USA)
Mesures claires et classifiées selon deux responsabilités (direction et IT) et basées 6 piliers (stratégie, personnes, systèmes, accès, données, réponse).Mars 2021
ANSSI Cybersécurité en 12 questions
Agence nationale de la SSI (France)
Référentiel pour les TPE/PME qui combine 12 mesures à haut niveau et technique posées sous forme de questions.Février 2021
CIS Critical Security Controls
Center for Internet Security
Liste de 18 mesures de sécurité critiques de référence. Anciennement SANS Top 20.Mai 2021 (v8)
ISF Standard of Good Practice for Information Security 2020
Information Security Forum (UK)
6 aspects (gouvernance, applications, postes, réseaux, systèmes, utilisateurs). Réservé aux membres (payant).Mai 2020
CERT Canada Baseline Cyber Security Controls
Centre for Cyber Security (Canada)
Ensemble de 5 mesures organisationnelles et de 13 mesures techniques et procédurales (20% des mesures de sécurité pour 80% des bénéfices). Certifiable (CyberSecure Canada).Février 2020 (v1.2)
NIST Cyber Security Framework (CSF)
National Institute of Standards and Technology (US)
Référence pour mesurer la maturité des mesures et leur alignement sur les objectifs organisationnels. 108 contrôles et 5 fonctions logiques (Identifier, Détecter, Protéger, Répondre, Récupérer).Avril 2018 (V1.1)
ANSSI Guide d’hygiène informatique
Agence nationale de la SSI (France)
Ouvrage contenant 42 mesures d’hygiène informatique essentielles divisées en 9 catégories. Non mis à jour.Janvier 2017

Choisir votre référentiel en cybersécurité

Le choix d’un cadre de référence de mesures de sécurité doit d’abord se faire selon le secteur et les exigences réglementaires applicables. Si c’est votre cas, vous devez l’utiliser. Toutefois, pour la majorité des organisations, je recommande le NIST Cyber Security Framework (CSF). Il est complet, compréhensible et très bien aligné avec les autres normes et exigences de conformité. L’approche en 5 domaines est très logique:

  • Comprendre ce que l’on doit protéger (Identifier)
  • Mettre en place des mesures de protection (Protéger)
  • Surveiller et anticiper (Détecter)
  • Gérer les incidents de sécurité (Répondre)
  • Savoir quoi faire si les choses devaient mal se passer (Récupérer).

Mon approche

Mon cadre de référence est basé sur NIST CSF et ISO 27002:2022. La nouvelle version de la norme ISO 27002:2022 – Sécurité de l’information, cybersécurité et protection de la vie privée – Mesures de sécurité de l’information, a été publiée en février 2022. Le nombre de mesures a été réduit à 93. Elles sont structurées en 3 types (préventif, détectif, correctif) et en 5 concepts (identifier, protéger, détecter, répondre et récupérer). Cette structure correspond exactement aux domaines NIST CSF.

Il m’arrive de fusionner ou simplifier certaines mesures pour ajuster le cadre de référence à la réalité de mes clients. J’ajoute un niveau de détail en utilisant des référentiels plus prescriptifs. Je recommande le CIS Top 18 qui détaille les mesures de sécurité.

Référentiels simplifiés

Pour les PME/PMI, il existe des guides de bonnes pratiques, notamment produits par l’Australie (Essential 8), la Nouvelle-Zélande (Critical 10), le Canada (Baseline Security Controls) ou les États-Unis (Cyber Essentials). Les mesures sont à jour, concises et très utiles aux plus petites structures. Les guides de l’ANSSI en France (les 12 questions ou 42 mesures) sont écrits dans un style rédactionnel. Elles sont donc plus difficile à traduire en mesures concrètes.

Référentiels plus avancés

Lorsqu’il s’agit de structurer les opérations de sécurité défensive pour des organisations plus matures, j’utilise MITRE D3FEND. Ce cadre est aligné en tant que réponse à MITRE ATT&CK qui est une référence du domaine. Le nouveau référentiel MITRE ENGAGE est basé sur une approche contre-offensive qui est réservée à aux entreprises les plus avancées dans leurs opérations de cyber défense.

Pour ce qui est des niveaux de maturité, j’utilise le guide de l’Agence Européenne pour la Cybersécurité (ENISA NCAF). Il contient une description précise et très recherchée de la maturité et des capacités. Bien que ce document s’applique aux États membres de l’UE, j’utilise la méthodologie très rigoureuse pour formaliser les évaluations de maturité en sécurité.

À retenir

Il existe de nombreux référentiels en cybersécurité. Alors, il est important d’en sélectionner un qui s’adapte à la taille de votre structure et à vos besoins.

Les commentaires sont fermés.