Une fois que votre organisation a élaboré un plan général pour s'attaquer à ses problèmes de cybersécurité et de gestion des risques liés à la confidentialité, il a besoin d'outils de pointe particuliers pour faire de ce plan une réalité. Les experts en sécurité informatique et en confidentialité du National Institute of Standards and Technology (NIST) ont la réponse avec une boîte à outils mise à jour de garanties pour protéger les opérations et les actifs d'une organisation, ainsi que la vie privée des individus.

NIST Draft Special Publication (SP) 800-53 Révision 5, Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations, est un recueil de centaines de mesures spécifiques pour renforcer les systèmes, composants et services qui sous-tendent les entreprises du pays, le gouvernement et les infrastructures essentielles. L'une des publications phares du NIST sur la gestion des risques, le document subit sa première mise à jour en sept ans, et l'agence accepte les commentaires du public sur le projet jusqu'au 15 mai, 2020.

La publication offre des garanties pour tous les types de plateformes, des ordinateurs à usage général aux systèmes de contrôle industriels et aux appareils de l'Internet des objets (IoT). Ses outils sont destinés à un large public de spécialistes, des experts en sécurité aux développeurs de systèmes en passant par les fournisseurs de cloud computing.

« Notre objectif est de rendre les systèmes d'information dont nous dépendons plus résistants aux cyberattaques, " a déclaré Ron Ross du NIST, l'un des auteurs de la publication. "Nous voulons limiter les dégâts de ces attaques lorsqu'elles se produisent, rendre les systèmes cyber-résilients, et en même temps protéger la sécurité et la confidentialité des informations."

Les garde-fous, ou "contrôles" comme on les appelle dans le titre, se présentent sous différentes formes, des solutions techniques (comme le cryptage) aux stratégies opérationnelles (comme les plans de réponse aux incidents de cyberattaque) aux approches de gestion (comme la réalisation d'une évaluation des risques). Tout à fait, la publication organise des centaines de contrôles en 20 groupes connexes.

L'utilisation de ces contrôles est obligatoire dans les systèmes d'information fédéraux, mais les contrôles peuvent être adaptés et mis en œuvre de manière sélective au sein de n'importe quelle organisation. Avec d'autres publications de soutien du NIST, le catalogue est conçu pour aider les organisations fédérales à identifier les contrôles nécessaires pour satisfaire aux exigences de sécurité et de confidentialité de la loi fédérale sur la gestion de la sécurité de l'information (FISMA), la loi sur la protection de la vie privée de 1974, Office of Management and Budget Policies et certaines normes fédérales de traitement de l'information (FIPS).

Comment une organisation peut-elle intégrer ce catalogue dans ses efforts plus larges pour accroître la sécurité et la confidentialité ? Ross a déclaré que la première étape consiste à évaluer les risques auxquels une organisation est confrontée à l'aide d'outils tels que le cadre de gestion des risques du NIST, Cadre de cybersécurité et cadre de confidentialité. Grâce à l'utilisation de ces cadres, l'organisation peut identifier où elle a besoin de garanties, puis il peut se tourner vers le catalogue pour trouver des solutions spécifiques.

« Une organisation peut utiliser ce catalogue avec toute approche de gestion des risques, " a déclaré Ross. " Nous référençons d'autres publications du NIST pour la commodité des lecteurs, mais nous l'avons conçu pour être agnostique."

La cinquième révision contient un certain nombre d'améliorations par rapport aux versions précédentes du SP 800-53 :

• Une intégration complète de la confidentialité dans les commandes. Alors que dans les éditions précédentes, la vie privée a été consignée dans une annexe, ici les champs font partie du catalogue unifié, ce qui devrait faciliter la vie des utilisateurs du NIST Privacy Framework.
• Une nouvelle famille de contrôles de la chaîne d'approvisionnement. La chaîne d'approvisionnement est l'un des aspects les plus vulnérables du commerce mondial, et sa protection a été l'objectif d'autres efforts récents du NIST. Les éditions précédentes avaient un seul contrôle de la chaîne d'approvisionnement, mais la Révision 5 dispose d'une famille complète de commandes dédiées (Chapitre 3.20).
• Nouveau, des contrôles de pointe, tels que ceux qui prennent en charge la cyber-résilience et la conception de systèmes sécurisés, tous basés sur les dernières données sur les menaces et les cyberattaques.

La mise à jour est nécessaire pour aider les organisations à maintenir leurs défenses face à un paysage de menaces en constante évolution.

"La révision 5 est importante parce que les menaces, les vulnérabilités et la technologie évoluent au quotidien, " dit Dominic Cussatt, sous-secrétaire adjoint principal et directeur adjoint de l'information pour le ministère des Anciens Combattants. "Il est essentiel pour nous que les contrôles restent à jour et agiles."

Le NIST prévoit une webdiffusion à l'avenir pour aider à présenter aux utilisateurs les garanties de la collection.

"Nous pensons qu'il s'agit d'un ensemble de contrôles de classe mondiale, " a déclaré Ross. " Il offre le plus grand nombre de garanties pour protéger les actifs critiques que nous utilisons tous les jours. "

Cette histoire est republiée avec l'aimable autorisation du NIST. Lisez l'histoire originale ici.