Bulletin

Le National Institute of Standards and Technology publie un projet de mise à jour du cadre de cybersécurité et sollicite la participation de l’industrie

Temps de lecture 8 minutes
S'inscrire
Partager

Aperçu

Technologies, médias et télécommunications

En août 2023, le National Institute of Standards and Technology (le « NIST ») a publié la première version publique de son cadre de cybersécurité très attendu (le « CSF »). Initialement publié en 2014 (version désormais appelée « CSF 1.0 »), le CSF aide les organisations à comprendre « les caractéristiques de leur approche de la gestion des risques de cybersécurité » en déterminant leur tolérance au risque ainsi que les exigences opérationnelles afin d’atteindre les objectifs de cybersécurité. À l’heure actuelle, sept mois après la publication d’un document de réflexion présentant les mises à jour proposées, le NIST a publié une version provisoire intitulée « Draft CSF 2.0 » qui représente l’aboutissement d’un examen exhaustif et de l’intégration des commentaires de la communauté recueillis sur plus d’un an. La version finale du CSF 2.0 devrait être publiée au cours du premier semestre de 2024.

Draft CSF 2.0 – Élargissement de la portée et accent mis sur la gouvernance organisationnelle et la gestion des risques

Voici les trois mises à jour les plus notables du Draft CSF 2.0 :

  • Élargissement de la portée : Le Draft CSF 2.0 ne porte plus principalement sur la protection de l’« infrastructure essentielle » aux États-Unis, ce qui signifie que le cadre a été élargi pour fournir des conseils de cybersécurité à toutes les organisations, peu importe leur type ou leur taille, ainsi que pour refléter l’utilisation importante et internationale du cadre, notamment au Canada.
  • Accent mis sur la gouvernance organisationnelle : Le CSF 1.0 décrit les principaux piliers d’un programme de cybersécurité réussi et exhaustif, lequel se traduit par l’usage de cinq fonctions fondamentales, soit : identifier, protéger, détecter, réagir et rétablir. Le Draft CSF 2.0 ajoute une sixième fonction, « gouverner », qui porte sur la manière dont une organisation peut prendre et mener à bien ses propres décisions afin de renforcer sa stratégie de cybersécurité. Le Draft CSF 2.0 souligne par ailleurs que la cybersécurité est une source importante de risque pour les entreprises et que la haute direction doit en tenir compte au même titre, notamment, que les risques juridiques et financiers. Le Draft CSF 2.0 indique que pour faire preuve de vigilance, la direction doit assurer : « la détermination des priorités et de la tolérance au risque de l’organisation, des clients et de la société au sens large; l’évaluation des risques liés à la cybersécurité et de leurs conséquences; l’élaboration de politiques et de procédures; et la compréhension des rôles et des responsabilités dans le domaine de la cybersécurité ».
  • Gestion des risques relatifs à la chaîne d’approvisionnement organisationnelle : Le Draft CSF 2.0 reconnaît qu’il est de plus en plus important pour les organisations d’élargir leurs compétences et de mettre en œuvre des pratiques visant à identifier les risques liés à cybersécurité, à les évaluer et à y réagir, et ce, à chaque étape de la chaîne d’approvisionnement. C’est pourquoi il contient une nouvelle section 3.5 qui porte exclusivement sur la gestion des risques relatifs à la chaîne d’approvisionnement en matière de cybersécurité (la « C-SCRM »), laquelle est décrite comme un « processus systématique de gestion de l’exposition aux risques liés à la cybersécurité dans l’ensemble des chaînes d’approvisionnement et l’élaboration de stratégies, de politiques, de processus et de procédures d’intervention appropriés ». Le Draft CSF 2.0 indique que l’objectif principal de la C-SCRM est « d’étendre les considérations appropriées relatives à la gestion des risques liés à la cybersécurité pour qu’elles s’appliquent aux tiers, aux chaînes d’approvisionnement et aux produits et services que les organisations acquièrent, le tout, en fonction du caractère critique des fournisseurs et de l’évaluation des risques ».

Ce que cela signifie pour les organisations cherchant à renforcer ou à améliorer leurs pratiques en matière de cybersécurité

Comme la valeur des données en tant qu’actifs commerciaux ne cesse de croître, les organisations devront faire face à une augmentation importante des menaces et des risques liés à la cybersécurité et, par conséquent, à une plus grande exposition aux risques juridiques et financiers. Une publication récente du Centre canadien pour la cybersécurité révèle que la cybercriminalité organisée constitue l’une des plus grandes menaces à la sécurité nationale et à la prospérité économique du Canada et que dans les prochaines années, des cybercriminelles et cybercriminels motivés par l’appât du gain « continueront presque certainement de cibler [les données des] organisations attrayantes dans les secteurs des infrastructures essentielles au Canada et partout dans le monde ».

Les organisations canadiennes utilisent déjà le CSF afin d’établir les normes de cybersécurité et de les intégrer aux contrats conclus avec les fournisseurs. Le CSF leur fournit d’ailleurs un langage commun pour la communication des exigences aux fournisseurs. Les principes de cybersécurité définis dans le Draft CSF 2.0 aideront les organisations canadiennes, tant à l’intérieur qu’à l’extérieur des secteurs des infrastructures essentielles, en leur proposant des stratégies qui réduisent les risques liés à la cybersécurité et assurent le respect des obligations légales et réglementaires en matière de protection des données. Les besoins d’une organisation en matière de cybersécurité dépendent de facteurs internes et externes, et les organisations qui s’efforcent de respecter les normes du secteur exigeront de plus en plus que les politiques et les procédures en matière de cybersécurité des entrepreneurs et des sous-traitants correspondent au CSF.

Il est important de noter que les organisations qui agissent à titre d’entrepreneurs ou de sous-traitants pour le gouvernement fédéral devraient se familiariser avec ce processus étant donné qu’il y a de bonnes chances qu’ils doivent se conformer au NIST.

Prochaines étapes – Le NIST accueille les commentaires sur le Draft CSF 2.0

Les organisations qui utilisent déjà le CSF dans leur programme de cybersécurité, qui cherchent à améliorer leur cybersécurité ou qui envisagent d’adopter le CSF en raison des exigences ou des attentes du secteur/de l’industrie peuvent contribuer à l’avancement de ce cadre important et influent. Le NIST accepte les commentaires des intervenants sur le Draft CSF 2.0 jusqu’au 4 novembre 2023 et prévoit publier la version finale du CSF 2.0 en 2024.

Les groupes Technologies de l’information et Protection des renseignements personnels, vie privée et cybersécurité de Fasken suivent activement l’évolution du CSF et d’autres normes et cadres pertinents en matière de cybersécurité, et fournissent leur expertise à cet égard.

Contactez les auteurs

Pour plus d'informations ou pour discuter d'un sujet, veuillez nous contacter.

Contactez les auteurs

Auteurs

  • Alex Cameron, Associé | Cochef, Protection des renseignements confidentiels, vie privée et cybersécurité, Toronto, ON, +1 416 865 4505, acameron@fasken.com
  • Paul Burbank, Avocat, Toronto, ON | Ottawa, ON, +1 416 865 4427, pburbank@fasken.com
  • Isabelle Savoie, Avocate, Toronto, ON, +1 416 943 8993, isavoie@fasken.com
  • Marcia Mills, Associée | Cochef, Sécurité nationale, Ottawa, ON | Toronto, ON, +1 613 696 6881, mmills@fasken.com
  • Andrew S. Nunes, Associé | COCHEF TECHNOLOGIES, MÉDIAS ET TÉLÉCOMMUNICATIONS, Toronto, ON, +1 416 865 4510, anunes@fasken.com
Alex Cameron, Associé | Cochef, Protection des renseignements confidentiels, vie privée et cybersécurité Alex Cameron Associé | Cochef, Protection des renseignements confidentiels, vie privée et cybersécurité Toronto, ON +1 416 865 4505
Paul Burbank Avocat Toronto, ON Ottawa, ON +1 416 865 4427
+1 613 696 6900
Isabelle Savoie Toronto Lawyer Isabelle Savoie Avocate Toronto, ON +1 416 943 8993
Marcia Mills Ottawa Lawyer Marcia Mills Associée | Cochef, Sécurité nationale Ottawa, ON Toronto, ON +1 613 696 6881
+1 416 943 8928
Andrew S. Nunes, Associé | COCHEF TECHNOLOGIES, MÉDIAS ET TÉLÉCOMMUNICATIONS Andrew S. Nunes Associé | COCHEF TECHNOLOGIES, MÉDIAS ET TÉLÉCOMMUNICATIONS Toronto, ON +1 416 865 4510

Solutions connexes

Industries

Domaines de pratique

Marchés

    Vous pourriez être intéressé par...

    • Le droit d’auteur à l’ère de l’intelligence artificielle générative : Comment protéger les actifs créatifs d’une entreprise, 23/10/2023
    • La CAI publie un guide très attendu sur l’évaluation des facteurs relatifs à la vie privée, 26/09/2023
    • Questions d’immigration que soulèvent les opérations commerciales, 14/09/2023
    deux personnes travaillant dans le Bureau Bulletin Le droit d’auteur à l’ère de l’intelligence artificielle générative : Comment protéger les actifs créatifs d’une entreprise Le droit d’auteur à l’ère de l’intelligence artificielle générative : comment protéger les actifs créatifs d’une entreprise. En savoir plus
    La CAI publie un guide très attendu sur l’évaluation des facteurs relatifs à la vie privée Bulletin La CAI publie un guide très attendu sur l’évaluation des facteurs relatifs à la vie privée En septembre 2023, la CAI a publié un guide d’accompagnement en matière d’évaluation des facteurs relatifs à la vie privée. En savoir plus
    People gathering for business event Bulletin Questions d’immigration que soulèvent les opérations commerciales Les diverses questions d’immigration que soulèvent les opérations commerciales, les règles relatives à la conformité des employeurs et les conséquences possibles en cas de non-conformité. En savoir plus

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire