Le National Institute of Standards and Technology (le « NIST ») a publié un document de réflexion présentant des mises à jour importantes de son cadre de cybersécurité (le « CSF »). Initialement publié en 2014 (version appelée « CSF 1.0 »), le CSF a été conçu pour aider les organisations à comprendre « les caractéristiques de leur approche de la gestion des risques de cybersécurité » en déterminant leur tolérance au risque ainsi que les exigences opérationnelles afin d’atteindre les objectifs de cybersécurité. Le CSF a été mis à jour en 2018 (« CSF 1.1 »). Par l’entremise de son document de réflexion, le NIST procède maintenant à un examen complet du cadre afin de le mettre à jour et de créer le « CSF 2.0 ».
Le Centre canadien pour la cybersécurité (le « CCC ») – la source unifiée de conseils et de soutien spécialisés du gouvernement du Canada en matière de cybersécurité pour les activités liées aux infrastructures essentielles et le secteur privé – recommande le CSF comme mécanisme potentiel pour renforcer la cybersécurité organisationnelle. Sur sa page « En route vers la sécurité d’entreprise », le CCC indique que le CSF est largement adopté dans l’industrie et que certains clients qui externalisent des services informatiques recherchent la conformité au CSF parmi la panoplie de cadres de cybersécurité reconnus par l’industrie et pouvant être utilisés pour créer un solide programme de sécurité de l’information.
Document de réflexion CSF 2.0 – Mises à jour importantes proposées
Le document de réflexion présente les mises à jour importantes qui pourraient être apportées au CSF. Le NIST indique que certaines des propositions représentent des « changements structurels plus importants qui pourraient avoir une incidence sur la compatibilité » avec la version actuelle du cadre. Notant que l’élaboration du CSF 2.0 est « itérative », le NIST recueille les commentaires des secteurs privé et public depuis la publication d’une demande de renseignements au début de l’année 2022. Le document de réflexion a d’ailleurs été créé à partir des commentaires recueillis jusqu’à présent. Le document de réflexion ne traite pas nécessairement tous les aspects qui pourraient être mis à jour dans le CSF 2.0.
Les mises à jour importantes proposées dans le document de réflexion sont les suivantes :
- Section 1 : Modifier le titre et le texte du CSF pour refléter l’utilisation prévue par toutes les organisations – À l’origine, le CSF a été conçu en mettant l’accent sur les risques de cybersécurité liés aux « infrastructures essentielles », mais il a été utilisé par un éventail plus vaste d’organisations depuis sa création. Le NIST propose des modifications qui tiendront compte de cette utilisation « par toutes les organisations ».
- Section 3 : Indications à jour et plus précises concernant la mise en œuvre du cadre – Le CSF 2.0 comprendra « des descriptions plus simples et plus générales des éléments clés du cadre [...] [ainsi que] des mappages et des liens vers des ressources du NIST et d’autres organisations relativement à la cybersécurité ». Ceci pourrait également comprendre l’ajout « d’exemples de mise en œuvre pour les sous-catégories du CSF » afin de fournir « des exemples théoriques de mise en œuvre d’activités et de processus concis et pragmatiques permettant d’atteindre les objectifs ».
- Section 4 : Ajout d’une nouvelle « fonction de gouvernance » – Le NIST propose d’élargir les cinq fonctions du cadre, soit « l’identification, la protection, la détection, la réponse et la récupération », à l’ensemble d’une organisation, y compris à la chaîne d’approvisionnement, et d’ajouter une nouvelle fonction : la « gouvernance ». L’accent mis sur l’importance de la gouvernance en matière de cybersécurité peut inclure « la détermination des priorités et de la tolérance au risque de l’organisation, des clients et de la société au sens large; l’évaluation des risques et des conséquences; l’élaboration de politiques et de procédures; et la compréhension des rôles et des responsabilités dans le domaine de la cybersécurité ».
- Section 5 : Souligner l’importance de la gestion des risques liés à la chaîne d’approvisionnement en matière de cybersécurité – Le NIST souligne que la gestion des risques liés à la chaîne d’approvisionnement était un point central dans les mises à jour antérieures et que, depuis, « une attention accrue a été accordée à l’élaboration de directives visant à accroître la confiance à l’égard des produits et services technologiques ». Par conséquent, le NIST entend « faire ressortir clairement l’importance pour les organisations de cerner, d’évaluer et de gérer les risques, tant internes qu’externes » en incluant de nouveaux objectifs de gestion des risques liés à la chaîne d’approvisionnement.
- Section 6 : Exemples de mesure et d’évaluation – Observant que la mesure des résultats varie en fonction du contexte organisationnel, le NIST indique qu’il n’existe « aucune approche unique pour mesurer et évaluer la mise en œuvre du CSF ». Le CSF 2.0 permettra vraisemblablement d’évaluer les capacités en matière de cybersécurité, et comprendra des exemples illustrant comment les organisations se sont servi du cadre. Voici des exemples proposés dans le document de réflexion : « Quelle est la meilleure façon de communiquer la posture de l’organisation en matière de cybersécurité à des publics non spécialisés? » et « Comment une organisation comprend-elle sa posture en matière de cybersécurité, en prenant en considération tous ses systèmes? »
Une occasion pour toutes les organisations
On ne saurait trop insister sur l’importance du CSF 2.0. La cybersécurité représente l’un des risques d’entreprise les plus importants pour toute organisation. Étant donné que les normes et les cadres de cybersécurité sont souvent utilisés pour déterminer si les organisations ont respecté leurs obligations légales en matière de protection des données (p. ex., en vertu des lois sur la protection des données) ou si elles se sont acquittées de leur devoir de diligence en matière de protection des renseignements, le CSF 2.0 aura également une incidence sur l’exposition des organisations aux risques sur le plan juridique.
Les organisations qui cherchent à renforcer leur sécurité d’entreprise ou à utiliser le CSF comme norme industrielle ont la possibilité d’influencer l’orientation de ce cadre important. Les organisations qui donnent des contrats ou des contrats de sous-traitance à des entités publiques au Canada (en particulier le gouvernement fédéral) seront particulièrement intéressées par ce processus, car de nombreuses entités du secteur public exigent que leurs entrepreneurs et sous-traitants respectent les normes du NIST.
Le NIST recueille des commentaires au sujet de son document de réflexion jusqu’au 3 mars 2023.
Dans les mois qui suivront la période de consultation, le NIST publiera un projet de cadre de cybersécurité 2.0 pour examen public. Le NIST organise également un atelier virtuel sur la cybersécurité concernant le CSF 2.0 qui se tiendra le 15 février 2023.
Les groupes Technologies de l’information et Protection des renseignements personnels, vie privée et cybersécurité de Fasken continueront à suivre l’évolution du CSF et d’autres normes et cadres importants en matière de cybersécurité, et à fournir des mises à jour à cet égard.
