Framework de sécurité : lequel choisir ?

Back to all articles

NIST 800-53, CIS V7, MITRE D3FEND… Les spécialistes de la sécurité et du risk management se trouvent face à un large panel de frameworks de sécurité, rendant complexe le choix de celui qui sera le plus adapté à leur contexte. Celui-ci est d’autant plus crucial, que les équipes de sécurité font face à une charge de travail élevée, au sein d’un écosystème complexe et qu’il s’agit de concentrer les efforts de tous vers une même direction afin de garantir leur efficacité.

Un framework de sécurité est un ensemble complet et structuré de processus, de standards, pour la gestion de la sécurité et des risques d’une organisation. Il fournit une structure pour organiser les mesures de sécurité afin de s’assurer qu’ils sont complets et cohérents. Les entreprises peuvent ainsi mieux identifier, évaluer et gérer les risques de cybersécurité qui pèsent sur elles. Cette approche proactive participe au renforcement de la sécurité globale. De plus, certains frameworks sont particulièrement reconnus dans le milieu de la cybersécurité, ce qui peut apporter une crédibilité, voire un avantage concurrentiel à certaines entreprises ou être tout bonnement obligatoire pour travailler avec un client ou répondre à un appel d’offre.

Selon l’organisme qui en est à l’origine, le framework de sécurité est appelé directive, standard, norme, référentiel… Dans cet article, nous avons rassemblé tous ces éléments sous une seule et même appellation : framework de sécurité.

Tous n’ont pas le même objectif. Certains ont une portée plutôt opérationnelle : on cherche à mettre en place des mesures pour bâtir la stratégie de cybersécurité de l’organisation, à certifier un niveau dans ce domaine, à être en conformité avec la législation d’un pays… Certains remplissent plutôt un but de gouvernance, car ils s’appuient sur la mise en place de politiques au sein de l’organisation pour élever le niveau de résilience.

Enfin, si le choix de certains frameworks est laissé aux entreprises, d’autres sont obligatoires à un niveau national (ce sera le cas de NIS2, qui, en tant que directive européenne, formule des mesures obligatoires qui devront être appliquées au niveau national par les entités concernées) ou encore de CMMC (obligatoire pour les entreprises et les organisations de l’industrie de défense américaine). Comment choisir le framework de cybersécurité qui correspond le mieux à son contexte ?

Cet article est dédié aux frameworks de sécurité pris en charge par la plateforme Citalid, que vous trouverez classés par ordre alphabétique :

• CIS v7
• CIS v8
• CMMC
• Guide d’hygiène informatique (ANSSI)
• IEC 62443
• ISO/IEC 2013
• ISO/IEC 2022
• Microsoft Secure Score
• MITRE D3fend
• NESA
• NIST CSF
• NIST 800-53

Consulter l’e-book

CIS v7 et v8

Qu’est-ce que c’est ?

Les frameworks CIS Critical Security Controls sont développés depuis 2008 par le Center for Internet Security, une organisation à but non lucratif qui propose notamment des études à destination des professionnels de l’informatique. Ils ont été conçus pour être le point de départ d’une démarche de cybersécurité pour les organisations. Pour cela, ils proposent trois niveaux de séries de mesures, appelés « groupes d’implémentation », adaptés à la taille et à la maturité de l’organisation :

• Groupe d’implémentation 1 (IG1) : il est destiné aux entreprises de petite taille, sans expertise dans le domaine de la cybersécurité et dont le niveau de sensibilité est bas ;
• Groupe d’implémentation 2 (IG2, en cumulation avec les mesures de IG1) : il correspond aux organisations qui disposent d’une équipe informatique et dont les données peuvent être sensibles, qui est soumise à des exigences en termes de conformité, et dont une attaque est susceptible de générer une interruption d’activité et des problèmes de relations publiques ;
• Groupe d’implémentation 3 (IG3, en cumulation avec IG1 et IG2) : celui-ci est adapté aux organisations qui disposent de professionnels de cybersécurité, issus de disciplines variées, dont les données posent un problème de sensibilité et de criticité, qui sont concernées par une mise en conformité réglementaire et dont une cyberattaque est susceptible d’impacter une partie de la supply chain.

Quels sont ses avantages ?

Les frameworks CIS peuvent être cumulés avec un framework NIST (voir ci-après) pour une meilleure gestion des risques et sont reconnus au niveau mondial. Ce sont d’ailleurs des frameworks que l’on rencontre très souvent car ils peuvent être appliqués par des organisations de tous secteurs et de toutes tailles. Les lignes directrices de ces frameworks concernent plutôt la défense et l’atténuation du risque cyber que la mise en conformité. Néanmoins, le groupe CIS a effectué un grand nombre de cartographies de leurs frameworks vers d’autres référentiels, aidant grandement les organisations à connaître leur niveau de sécurité, que ce soit sur d’autres frameworks ou sur des obligations légales (RGPD, PCI DSS).

Quels sont ses inconvénients ?

La conformité avec ce framework de sécurité nécessite beaucoup de temps, d’efforts et d’investissements financiers, en particulier pour les petites organisations dont les ressources sont limitées. Il peut parfois être considéré comme trop complexe (153 mesures à appliquer) et pas assez spécifique à un secteur donné, ce qui implique que tous les contrôles de sécurité compris ne sont pas forcément pertinents à l’activité de votre organisation. Enfin l’obtention et le maintien de la conformité à un cadre de sécurité peuvent entraîner des coûts liés à la formation, aux mises à jour technologiques et, éventuellement, à des audits par des tiers.

Pour en savoir plus, cliquez ici.

CMMC

Qu’est-ce que c’est ?

Initiales de « Cybersecurity Maturity Model Certification », le CMMC est un framework de sécurité permet d’évaluer le niveau de maturité des organisations en matière de protection des informations non classifiées. Il fonctionne par tubes. Il est particulièrement adapté aux entreprises de la BITD.

Selon le niveau de sensibilité des informations manipulées et la caractéristique des processus de transmission des données, l’organisation est tenue de mettre en œuvre un certain nombre de normes de cybersécurité plus ou moins avancées. Ce framework permet au Département de la Défense américain de vérifier la mise en œuvre de celles-ci et il peut être demandé à certains sous-traitants travaillant avec lui d’obtenir un niveau spécifique une fois le framework CMMC complètement mis en place, qui est parfois l’une des conditions pour valider un contrat commercial.

Qu’est-ce que ce framework peut apporter à mon organisation ?

Ce framework de sécurité est en train de devenir une exigence standard pour les entrepreneurs et les sous-traitants de la défense aux Etats-Unis. Si vous avez des interactions commerciales avec ce secteur, ce framework peut être un atout pour vous, en vous apportant à la fois crédibilité et avantage concurrentiel.

Quels sont ses inconvénients ?

Toutefois, ce framework contient un nombre de mesures assez conséquent, ce qui peut potentiellement impacter l’activité quotidienne de votre entreprise. Comme beaucoup d’autres frameworks, il suppose un suivi continu afin de pouvoir conserver un bon niveau de cybersécurité. Enfin, il requiert un certain niveau de maturité défensive préalable et il n’est pas conseillé aux petites entreprises car il peut être un frein à leur collaboration ou à l’obtention de contrats avec d’autres entités, en raison du nombre de mesures et de leur rigidité, qui peut être ressentie par les partenaires.

Existe-t-il une version plus récente ?

Une version 2.0 de ce framework est disponible, et dispose de trois niveaux d’application en fonction de l’avancement en cybersécurité de l’organisation : fondamental, avancé et expert. Chaque niveau est aligné avec les normes proposées par le framework NIST (voir paragraphe dédié) et selon le profil de l’organisation, elle peut être tenue d’appliquer 17 à 110 bonnes pratiques de cybersécurité, voire d’adopter le framework NIST SP 800-172 pour celles qui seront concernées par le niveau expert.

Pour en savoir plus, cliquez ici.

Guide d’hygiène de l’ANSSI

Le guide d’hygiène de l’ANSSI comporte 42 mesures, qui peuvent être mis en place pour initier la stratégie de cybersécurité de l’entreprise. Il constitue un socle commun minimum pour la protection des informations des organisations françaises. Une fois toutes les mesures mises en place, on peut considérer que l’organisation est capable d’interagir avec ses partenaires et de servir ses clients en respectant l’intégrité et la confidentialité des informations qui les concernent.

Particulièrement recommandé aux jeunes entreprises qui souhaiteraient effectuer un premier pas en termes de stratégie de sécurité, il est assez simple à mettre en place et convient à la plupart des secteurs d’activité. Deux niveaux de sécurité sont disponibles afin de s’adapter au niveau de maturité de l’entreprise, permettant à certaines entreprises d’aller plus loin par rapport à ce qui est prévu par l’ANSSI. Bien sûr, dans le cadre d’une progression de la démarche de résilience de l’organisation, on peut le cumuler avec d’autres frameworks de sécurité.

Pour en savoir plus, cliquez ici.

IEC 62443

Qu’est-ce que c’est ?

IEC 62443 a été développé par l’International Society of Automation (ISA), puis approuvé par la Commission Electrotechnique Internationale (IEC). Il s’agit d’une série internationale de normes sur les “Réseaux de communication industriels – Sécurité informatique des réseaux et des systèmes“, créée au début des années 2000.

Ce framework de sécurité est composé de 4 niveaux :

• Généralités ;
• Organisation : policies et procédures ;
• Systèmes ;
• Produits.

Quels sont ses avantages ?

IEC 62443 est adapté aux environnements industriels, pour lesquels les mesures et les contrôles de sécurité sont particulièrement pertinents. Il est reconnu au niveau mondial, ce qui permet aux entreprises qui le mettent en place d’acquérir une certaine crédibilité. Grâce à une approche basé sur les risques, il permet de prioriser les mesures de sécurité et couvre différents aspects de la cybersécurité industriels, c’est-à-dire les politiques, les processus et les mesures techniques.

Quels sont ses inconvénients ?

Toutefois, il nécessite une bonne connaissance préalable des principes de la cybersécurité et des processus industriels, puisque les équipes IT et OT vont devoir collaborer pour mettre en place les mesures préconisées par le framework et effectuer les contrôles.

Pour en savoir plus, cliquez ici.

ISO/IEC 27001

Qu’est-ce que c’est ?

ISO/IEC 27001 est le framework de sécurité le plus connu et le plus utilisé. Publié pour la première fois en 2005, il sert à certifier les organisations dans leur démarche de cybersécurité.  Il fait partie de la suite ISO 27000, une liste de recommandations des meilleures pratiques en management de la sécurité de l’information.

Quels sont les avantages et les inconvénients d’ISO-27001 2013 ?

ISO-27001 2013 est la version la plus largement utilisée par les organisations, au niveau international. Elle comporte des mesures plus détaillées et plus spécifiques, qui peuvent fournir davantage d’orientations et d’assurance en matière de sécurité de l’information. Toutefois, elle est également plus complexe et plus rigide, ce qui peut rendre plus difficile l’adaptation à l’évolution de l’environnement commercial et technologique. Elle est également moins alignée sur les autres normes de gestion ISO, ce qui peut poser des problèmes d’intégration et de cohérence.

Quels sont les avantages et les inconvénients d’ISO-27001 2022 ?

Quant à ISO-27001 2022, il s’agit d’une version est plus moderne et plus souple, ce qui peut faciliter son adaptation et sa mise en œuvre pour différentes organisations et différents scénarios. Elle comporte des contrôles moins nombreux et plus simples, réduisant alors la charge et le coût de la cybersécurité. Elle est également plus alignée sur d’autres normes de gestion ISO, permettant ainsi de faciliter son intégration et sa cohérence. Cependant, elle est également moins mature et moins testée, à ce jour.

Pour en savoir plus, cliquez ici.

Microsoft Secure Score

Qu’est-ce que c’est ?

Microsoft Secure Score est un framework de sécurité qui a été développé pour répondre aux besoins des services de Microsoft 365.

Quels sont ses avantages ?

Très simple à mettre en place, il est automatisé et il génère des métriques de sécurité quantifiables, ce qui facilite le suivi de l’application des mesures. Il dispense des recommandations personnalisées, ce qui lui permet de s’adapter au système d’information de l’entreprise. Il priorise les contrôles de sécurité. De plus, il repose sur un système de scoring, ce qui rend plus accessible la mise en place du framework.

A-t-il des inconvénients ?

Néanmoins, il n’est que partiel car il n’est adapté qu’aux services de Microsoft 365, dont il dépend, et ne couvre pas tous les aspects de la cybersécurité.

Pour en savoir plus, cliquez ici.

MITRE D3FEND

Qu’est-ce que c’est ?

MITRE D3FEND est un framework lancé par la MITRE Corporation, une organisation privée à but non lucratif dont la mission est de conseiller l’US Air Force en termes d’ingénierie et sur des sujets techniques en général. Le département spécialisé en cybersécurité de la NSA a participé à la création de MITRE D3FEND (« Detection, Denial and Disruption Framework Empowering Network Defense »), lancé en 2021. Il est encore aujourd’hui au stade expérimental.

MITRE D3FEND est une base de connaissances organisée principalement sous forme de graphe, permettant d’améliorer la stratégie de cyberdéfense de l’entreprise. Il se veut être une sorte de catalogue de techniques défensives de cybersécurité et de leurs relations avec les techniques offensives/adversaires. Il est composé de trois éléments : un graphe de connaissances qui résume les méthodes défensives, une série d’interfaces utilisateur pour accéder à ces données et une façon de mettre en correspondance ces mesures défensives avec MITRE ATT&CK, axé sur les techniques des cyberattaquants.

L’objectif principal de D3FEND est de participer à la standardisation du vocabulaire utilisé pour décrire les techniques des cyberattaquants. Mais il a deux usages principaux reconnus par MITRE, qui sont l’analyse de fonctionnalités de produits de sécurité et grâce à une passerelle avec ATT&CK, la détermination de la façon dont ces produits mettent leurs fonctionnalités en application.

Quels sont les avantages et les inconvénients de MITRE D3FEND ?

MITRE D3FEND se cumule donc avec ATT&CK, ce qui est à la fois un avantage et un inconvénient puisque sa mise en place implique de bien connaître ces deux frameworks. Toutefois, il permet une démarche proactive puisqu’il offre des conseils pratiques aux organisations et il favorise la collaboration entre les utilisateurs, qui sont encouragés à partager leurs idées, leurs expériences et leurs bonnes pratiques pour améliorer leur stratégie défensive. Néanmoins, ce framework de sécurité peut être insuffisant car il ne couvre pas tous les scénarios d’attaque et qu’il ne prend pas suffisamment en compte les menaces émergentes, ce qui peut fragiliser la capacité d’anticipation de l’entreprise.

Pour en savoir plus, cliquez ici.

NESA

NESA est un framework reconnu par les pouvoirs publics des Émirats Arabes Unis. Il couvre le risk management, la réponse à incident et les contrôles de sécurité, et il correspond principalement aux normes de sécurités attendues des infrastructures critiques. Nous recommandons ce framework de sécurité si vous avez des activités commerciales avec ce pays, car il est particulièrement aligné sur les normes nationales.

Pour en savoir plus, cliquez ici.

NIST CSF et NIST 800-53

Qu’est-ce que c’est ?

Les frameworks de sécurité NIST CSF et NIST 800-53 sont publiés par National Institute of Standards and Technology, une agence du département américain du commerce. Ils sont issus la loi « Cybersecurity Enhancement Act » votée par le Congrès américain en 2014.

Quels sont les avantages et les inconvénients de NIST CSF ?

NIST CSF est un framework de sécurité internationalement reconnu, qui permet d’instaurer un langage commun au sein de l’organisation pour mettre en place des mesures de cybersécurité. Document constitué de 48 pages de mesures à mettre en place, il est très orienté vers la réduction du risque cyber au sein de l’organisation. Il est simple de le cumuler avec d’autres standards de sécurité, ce qui permet d’optimiser sa protection, car il est moins prescriptif que d’autres frameworks et reste très personnalisable.

Son inconvénient principal réside dans le fait qu’il est difficile à intégrer pour de petites entreprises ou organisations, en raison de sa complexité mais aussi parce qu’il s’appuie fortement sur l’évaluation des risques, processus particulièrement complexe.

Quels sont les avantages et les inconvénients de NIST 800-53 ?

NIST 800-53 est considéré comme un framework adaptable et complet. Aux Etats-Unis, il est reconnu et utilisé au niveau gouvernemental, mais aussi dans diverses industries, ce qui peut permettre un gain de crédibilité pour les organisations qui choisissent de l’adopter. Cependant, il a été conçu pour le système d’information fédéral américain, ce qui signifie que toutes les mesures ne sont pas adaptées aux organisations qui décident de l’appliquer. Le niveau de personnalisation de ce framework est également difficile à estimer et il faut une certaine mesure sur ce point pour qu’il reste efficace. Enfin, on ne peut pas dire qu’il soit très facile à intégrer, car il est composé d’un très grand nombre de mesures.

Pour en savoir plus, cliquez ici.

Vous avez désormais toutes les clés pour choisir le ou les frameworks qui correspondent le mieux à votre activité et à vos ressources. Et si vous amélioriez votre niveau de maturité défensive grâce à une solution de quantification du risque cyber ?

Previous article ->