L’industrie de la cybersécurité et notamment le domaine de la réponse à incident est un milieu où fleurit toutes sortes d’acronymes. Il est si simple de s’y perdre. Norme, directive, loi, processus… revenons sur les définitions de 6 sigles couramment utilisés dans la conformité et que nul ne devrait ignorer.
ISO 27001, NIS, LPM, NIST CSF, PCI-DSS, NC, la conformité en 6 acronymes
La norme ISO 27001, publiée en 2005 et révisée en 2013, a été élaborée par le système spécialisé de la normalisation mondiale que sont l’ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale). Vous comprenez alors pourquoi elle est également connue sous le sigle ISO/IEC 27001:2013. Cette norme internationale de référence définit le système de management de la sécurité de l’information (SMSI) à mettre en place au sein de l’organisation. Elle fournit un cadre à l’organisation pour l’aider à mettre en œuvre, maintenir et améliorer en continue le SMSI de l’entreprise.
L’ISO 27001 est suffisamment générique pour s’adapter à tout type d’organisation, quelle que soit sa taille, sa nature ou son secteur d’activité. Son objectif est de mettre en place les mesures de protection nécessaire au maintien de la confidentialité des informations de votre organisation, de leur disponibilité ainsi que de leur intégrité.
Cette norme traite ainsi la sécurité par la gestion des risques. Les 252 exigences de cette norme concernent notamment les domaines suivants :
- la réglementation avec la protection des données à caractère personnel
- la gouvernance liée à la sécurité de l’information et la stratégie de gouvernance des données
- la sécurité des ressources matériels (infrastructures, réseaux et systèmes informatiques)
- les ressources humaines (organisation et responsabilité du personnel, politique de sécurité du système d’information, sensibilisation à la cybersécurité…)
- la sécurité physique (accès aux bâtiments ou à l’infrastructure informatique)
- le développement et maintenance de systèmes et de logiciels
- la continuité d’activité (PCA, PRA…)
Une entreprise qui applique correctement l’ensemble des exigences de la norme ISO 27001 peut se faire certifier par un auditeur qualifié. La certification ISO 27001 est un gage de confiance sur la conservation des données et leur sécurité. En plus d’être un atout commercial (de plus en plus d’appels d’offres exigent un ensemble de certification), elle met votre organisation dans une dynamique d’amélioration continue de la sécurité du système d’information.
LPM, la loi de programmation militaire française
En France, la Loi de Programmation Militaire (LPM) est un texte voté régulièrement depuis les années 1960. Tous les 4 à 6 ans, cette loi fixe le programme des dépenses militaires. La LPM 2014-2019 comporte un volet “cyber” renforcé et initie le cadre législatif des Opérateurs d’Importance Vitale (OIV), les responsabilisant sur la sécurisation de leurs systèmes d’information d’importance vitale (SIIV).
Dernière version en date, la LPM 2019-2025, érige la cybersécurité en axe d’effort prioritaire. Augmentation des effectifs experts en cybersécurité, protection des systèmes d’armes et des SI dès la phase conception, renforcement des capacités du Centre d’analyse et de lutte informatique défensive (CALID), des SOC des armées… sont les mesures phares de ce texte.
NIS, la directive européenne de cybersécurité
La Directive NIS (Network and Information Security) est un acte législatif fondateur de la cybersécurité à l’échelle de l’Europe. Adoptée en 2016 par le Parlement européen, cette directive nécessite une transposition législative au niveau national. Selon l’ANSSI, en charge de ce projet : « Cette directive vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des États membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la nation, pour faire face collectivement aux risques de cyberattaques. ».
L’un des points majeurs de cette directive est d’élever le niveau de cybersécurité des États membres au travers de la mise en place de CSIRT (Computer Security Incident Response Team) nationaux.
Le second objectif du texte est d’augmenter la collaboration transfrontalière. C’est en partageant l’information et en travaillant ensemble que l’Europe fera face aux cyber menaces.
Enfin, la directive fixe également une série d’exigences en matière de sécurité des réseaux et de l’information pour les opérateurs de services essentiels (OSE) et pour les fournisseurs de services numériques. Chaque Etat doit alors constituer la liste des secteurs qu’il considère comme “essentiels”, tels que l’énergie, le transport, l’eau, la santé, ou bien encore le secteur financier. En France, cette directive s’inscrit dans la continuité de la LPM 2014-2019 et la mise en place des OIV (Opérateurs d’Importance Vitale).
Face à l’augmentation des menaces cyber, l’Union Européenne souhaite davantage de sécurité et prépare une révision de cette directive. La NIS V2.0 ne vise pas une augmentation des règles de sécurité, mais une extension du périmètre d’application des règles de sécurité. D’après les déclarations de Guillaume Poupard, Directeur Général de l’ANSSI en juin 2022, le nombre d’acteurs dits “essentiels” serait alors multiplié par 10.
NIST CSF, le cadre américain de cybersécurité
Aux Etats-Unis, le National Institute of Standards and Technology (NIST) publie en 2014 le CSF (CyberSecurity Framework) à destination des organisations du secteur privé ayant des infrastructures critiques afin de les guider dans la gestion de leur cybersécurité. Ce “cadre pour l’amélioration de la cybersécurité des infrastructures critiques” est le résultat d’un travail conjoint entre le gouvernement américain, le milieu universitaire et les industries privées. Largement déployé dans le monde, ce framework se compose de normes, de guides et de bonnes pratiques[1].
Les 5 fonctions principales de ce cadre sont définis par des verbes d’actions, de la reconnaissance à la résolution :
- Identifier : il s’agit de développer une compréhension organisationnelle (les systèmes, les actifs, les données…) pour gérer les risques de cybersécurité.
- Protéger : il désigne les mesures de protection à élaborer et mettre en œuvre pour garantir la sécurité des services critiques de l’organisation.
- Détecter : il se réfère à l’identification des événements de cybersécurité.
- Répondre : il définit les actions à mettre en place concernant un incident de cybersécurité détecté.
- Récupérer : il établit les activités appropriées à actionner pour maintenir les plans de résilience et pour restaurer ce qui aurait été altéré suite à un incident de cybersécurité.
L’objectif de ces fonctions est de fournir une vue stratégique des risques de cybersécurité qui pourrait se produire au sein d’une organisation.
A ces fonctions s’ajoutent une vingtaine de catégories (gestion de risque, maintenance, gouvernance, …) et près d’une centaine de sous-catégories issues de références à d’autres normes comme l’ISO 27001. S’adaptant à tout type d’entreprises, ce cadre a l’avantage de présenter l’information facilement.
PCI-DSS, la protection des transactions bancaires
PCI-DSS (Payment Card Industry Data Security Standard) est l’acronyme qui désigne l’ensemble des politiques et des procédures de sécurité des données applicables à l’industrie des cartes de paiement.
Elle comporte 12 exigences principales, regroupées dans 6 groupes appelés «objectifs de contrôle».
La première version du PCI-DSS a été publiée fin 2004, et est régulièrement mise à jour. L’objectif de cette norme est la protection des transactions par cartes de crédit, de débit et de paiement. Elle vise également à empêcher l’utilisation abusive des informations personnelles des titulaires de cartes.
La conformité à la norme PCI-DSS est d’ailleurs exigée pour toutes les cartes bancaires. Cette norme internationale est aujourd’hui développée par un conglomérat de 5 acteurs (MasterCard, Visa, American Express, Discover Card et JCB).
NC, le hors cadre de la conformité
Parler de conformité serait un non sens sans évoquer le sigle NC pour Non Conformité. Par définition, une non-conformité consiste à ne pas respecter une règle en vigueur. C’est donc un dysfonctionnement dans un processus, un service ou bien encore un produit, relatif à une exigence initiale. Le non-respect d’une réglementation ou d’une norme peut être qualifié de NC majeure ou NC mineure en fonction des mesures correctives à mettre en place pour rétablir la conformité.
Et Baptiste David, Head of PreSales & Delivery chez Tenacy est très clair sur le sujet :
[1] version française : https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018fr.pdf