Modèle d'auditAudit de conformité NIST cybersecurity framework
Sécurité
Une évaluation de la maturité cybersécurité adaptée du NIST et du CMMI.
1. IDENTIFICATION (ID)
1. Gestion des actifs (ID.GA)
1.1. ID.GA-1 : Les dispositifs et systèmes physiques de l'organisation sont inventoriés
Références : CIS CSC 1 | COBIT 5 BAI09.01, BAI09.02 | ISA 62443-2-1:2009 4.2.3.4 | ISA 62443-3-3:2013 SR 7.8 | ISO/IEC 27001:2013 A.8.1.1, A.8.1.2 | NIST SP 800-53 Rev. 4 CM-8, PM-5
1.2. ID.GA-2 : Les plateformes et applications logicielles de l'organisation sont inventoriées
Références : CIS CSC 2 | COBIT 5 BAI09.01, BAI09.02, BAI09.05 | ISA 62443-2-1:2009 4.2.3.4 | ISA 62443-3-3:2013 SR 7.8 | ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1 | NIST SP 800-53 Rev. 4 CM-8, PM-5
1.3. ID.GA-3 : La communication organisationnelle et les flux de données sont cartographiés
Références : CIS CSC 12 | COBIT 5 DSS05.02 | ISA 62443-2-1:2009 4.2.3.4 | ISO/IEC 27001:2013 A.13.2.1, A.13.2.2 | NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8
1.4. ID.GA-4 : Les systèmes d'information externes sont catalogués
Références : CIS CSC 12 | COBIT 5 APO02.02, APO10.04, DSS01.02 | ISO/IEC 27001:2013 A.11.2.6 | NIST SP 800-53 Rev. 4 AC-20, SA-9
1.5. ID.GA-5 : Les ressources (par exemple, le matériel, les dispositifs, les données, le temps, le personnel et les logiciels) sont classées par ordre de priorité en fonction de leur classification, de leur criticité et de leur valeur commerciale
Références : CIS CSC 13, 14 | COBIT 5 APO03.03, APO03.04, APO12.01, BAI04.02, BAI09.02 | ISA 62443-2-1:2009 4.2.3.6 | ISO/IEC 27001:2013 A.8.2.1 | NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6
1.6. ID.GA-6 : Définition des rôles et des responsabilités en matière de cybersécurité pour l'ensemble du personnel et les parties prenantes tierces (fournisseurs, clients, partenaires, etc.)
Références : CIS CSC 17, 19 | COBIT 5 APO01.02, APO07.06, APO13.01, DSS06.03 | ISA 62443-2-1:2009 4.3.2.3.3 | ISO/IEC 27001:2013 A.6.1.1 | NIST SP 800-53 Rev. 4 CP-2, PS-7, PM-11
2. Environnement professionnel (ID.EA)
2.1. ID.EA-1 : Le rôle de l'organisation dans la chaîne d'approvisionnement est identifié et communiqué
Références : COBIT 5 APO08.01, APO08.04, APO08.05, APO10.03, APO10.04, APO10.05 | ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2 | NIST SP 800-53 Rev. 4 CP-2, SA-12
2.2. ID.EA-2 : La place de l'organisation dans les infrastructures critiques et dans son secteur d'activité est identifiée et communiquée
Références : COBIT 5 APO02.06, APO03.01 | ISO/IEC 27001:2013 Clause 4.1 | NIST SP 800-53 Rev. 4 PM-8
2.3. ID.EA-3 : Les priorités de la mission, des objectifs et des activités de l'organisation sont établies et communiquées
Références : COBIT 5 APO02.01, APO02.06, APO03.01 | ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6 | NIST SP 800-53 Rev. 4 PM-11, SA-14
2.4. ID.EA-4 : Les dépendances et les fonctions critiques pour la prestation des services essentiels sont établies
Références : COBIT 5 APO10.01, BAI04.02, BAI09.02 | ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3 | NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, SA-14
2.5. ID.EA-5 : Les exigences en matière de résilience pour soutenir la fourniture de services essentiels sont établies pour tous les états d'exploitation (par exemple, en cas de contrainte/attaque, pendant le rétablissement, les opérations normales)
Références : COBIT 5 BAI03.02, DSS04.02 | ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2, A.17.2.1 | NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA-14
3. Gouvernance (ID.GV)
3.1. ID.GV-1 : La politique de cybersécurité de l'organisation est établie et communiquée
Références : CIS CSC 19 | COBIT 5 APO01.03, APO13.01, EDM01.01, EDM01.02 | ISA 62443-2-1:2009 4.3.2.6 | ISO/IEC 27001:2013 A.5.1.1 | NIST SP 800-53 Rev. 4 -1 controls from all security control families
3.2. ID.GV-2 : Les rôles et les responsabilités en matière de cybersécurité sont coordonnés et alignés avec les rôles internes et les partenaires externes
Références : CIS CSC 19 | COBIT 5 APO01.02, APO10.03, APO13.02, DSS05.04 | ISA 62443-2-1:2009 4.3.2.3.3 | ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1 | NIST SP 800-53 Rev. 4 PS-7, PM-1, PM-2
3.3. ID.GV-3 : Les exigences légales et réglementaires en matière de cybersécurité, y compris les obligations relatives à la vie privée et aux libertés civiles, sont comprises et gérées
Références : CIS CSC 19 | COBIT 5 BAI02.01, MEA03.01, MEA03.04 | ISA 62443-2-1:2009 4.4.3.7 | ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3, A.18.1.4, A.18.1.5 | NIST SP 800-53 Rev. 4 -1 controls from all security control families
3.4. ID.GV-4 : Les processus de gouvernance et de gestion des risques tiennent compte des risques liés à la cybersécurité
4. Évaluation des risques (ID.ER)
4.1. ID.ER-1 : Les vulnérabilités des actifs sont identifiées et documentées
4.2. ID.ER-2 : Les renseignements sur les cybermenaces sont reçus à partir de forums et de sources de partage d'informations
4.3. ID.ER-3 : Les menaces, tant internes qu'externes, sont identifiées et documentées
4.4. ID.ER-4 : Les impacts potentiels sur les entreprises et les probabilités sont identifiés
4.5. ID.ER-5 : Les menaces, les vulnérabilités, les probabilités et les impacts sont utilisés pour déterminer les risques
4.6. ID.ER-6 : Les réponses aux risques sont identifiées et classées par ordre de priorité
5. Stratégie de gestion des risques (ID.GR)
5.1. ID.GR-1 : Les processus de gestion des risques sont établis, gérés et acceptés par les parties prenantes de l'organisation
5.2. ID.GR-2 : La tolérance de l'organisation au risque est déterminée et clairement exprimée
5.3. ID.GR-3 : La détermination de la tolérance au risque de l'organisation est éclairée par son rôle dans l'analyse des risques spécifiques aux infrastructures critiques et aux secteurs
6. Gestion des risques liés à la chaîne d'approvisionnement (ID.CA)
6.1. ID.CA-1 : Les processus de gestion des risques liés à la chaîne d'approvisionnement sont identifiés, établis, évalués, gérés et acceptés par les parties prenantes de l'organisation
6.2. ID.CA-2 : Les fournisseurs et les partenaires tiers de systèmes d'information, de composants et de services sont identifiés, classés par ordre de priorité et évalués à l'aide d'un processus d'évaluation des risques de la chaîne d'approvisionnement cybernétique
6.3. ID.CA-3 : Les contrats avec les fournisseurs et les partenaires tiers sont utilisés pour mettre en œuvre des mesures appropriées conçues pour atteindre les objectifs du programme de cybersécurité de l'organisation et du plan de gestion des risques de la chaîne d'approvisionnement cybernétique
6.4. ID.CA-4 : Les fournisseurs et les partenaires tiers sont régulièrement évalués à l'aide d'audits, de résultats de tests ou d'autres formes d'évaluation pour confirmer qu'ils respectent leurs obligations contractuelles
6.5. ID.CA-5 : La planification et les tests d'intervention et de reprise sont effectués avec les fournisseurs et les prestataires tiers
2. PROTECTION (PR)
1. Gestion des identités, authentification et contrôle d'accès (PR.AC)
1.1. PR.AC-1 : Les identités et les justificatifs d'identité sont émis, gérés, vérifiés, révoqués et audités pour les dispositifs, utilisateurs et processus autorisés
1.2. PR.AC-2 : L'accès physique aux actifs est géré et protégé
1.3. PR.AC-3 : L'accès à distance est géré
1.4. PR.AC-4 : Les permissions et les autorisations d'accès sont gérées en intégrant les principes du moindre privilège et de la séparation des tâches
1.5. PR.AC-5 : L'intégrité du réseau est protégée (par exemple, la séparation du réseau, la segmentation du réseau)
1.6. PR.AC-6 : Les identités sont prouvées et liées aux justificatifs et affirmées dans les interactions
1.7. PR.AC-7 : Les utilisateurs, les dispositifs et les autres actifs sont authentifiés (par exemple, à un ou plusieurs facteurs) en fonction du risque de la transaction (par exemple, les risques pour la sécurité et la vie privée des individus et les autres risques organisationnels)
2. Sensibilisation et formation (PR.SF)
2.1. PR.SF-1 : Tous les utilisateurs sont informés et formés
2.2. PR.SF-2 : Les utilisateurs privilégiés comprennent leurs rôles et responsabilités
2.3. PR.SF-3 : Les parties prenantes tierces (par exemple, les fournisseurs, les clients, les partenaires) comprennent leurs rôles et responsabilités
2.4. PR.SF-4 : Les cadres supérieurs comprennent leurs rôles et responsabilités
2.5. PR.SF-5 : Le personnel chargé de la sécurité physique et de la cybersécurité comprend ses rôles et responsabilités
3. Sécurité des données (PR.DS)
3.1. PR.DS-1 : Les data-at-rest sont protégées
3.2. PR.DS-2 : Les data-at-transit sont protégées
3.3. PR.DS-3 : Les actifs sont gérés de manière formelle tout au long de leur retrait, de leur transfert et de leur disposition
3.4. PR.DS-4 : Une capacité adéquate pour assurer la disponibilité est maintenue
3.5. PR.DS-5 : Des protections contre les fuites de données sont mises en place
3.6. PR.DS-6 : Des mécanismes de contrôle d'intégrité sont utilisés pour vérifier l'intégrité des logiciels, des microprogrammes et des informations
3.7. PR.DS-7 : Le ou les environnements de développement et de test sont séparés de l'environnement de production
3.8. PR.DS-8 : Les mécanismes de contrôle d'intégrité sont utilisés pour vérifier l'intégrité du matériel
4. Processus et procédures de protection de l'information (PR.PI)
4.1. PR.PI-1 : Une configuration de base des systèmes de contrôle des technologies de l'information/de l'industrie est créée et maintenue en intégrant les principes de sécurité (par exemple, le concept de fonctionnalité minimale)
4.2. PR.PI-2 : Un cycle de vie de développement de système pour gérer les systèmes est mis en œuvre
4.3. PR.PI-3 : Des processus de contrôle des changements de configuration sont en place
4.4. PR.PI-4 : Des sauvegardes de l'information sont effectuées, maintenues et testées
4.5. PR.PI-5 : La politique et les règlements concernant l'environnement physique d'exploitation des biens de l'organisation sont respectés
4.6. PR.PI-6 : Les données sont détruites conformément à la politique
4.7. PR.PI-7 : Les processus de protection sont améliorés
4.8. PR.PI-8 : L'efficacité des technologies de protection est partagée
4.9. PR.PI-9 : Des plans d'intervention (réponse aux incidents et continuité des activités) et des plans de reprise (reprise après incident et reprise après sinistre) sont en place et gérés
4.10. PR.PI-10 : Les plans d'intervention et de récupération sont testés
4.11. PR.PI-11 : La cybersécurité est prise en compte dans les pratiques de ressources humaines (par exemple, le déprovisionnement, la sélection du personnel)
4.12. PR.PI-12 : Un plan de gestion des vulnérabilités est élaboré et mis en œuvre
5. Maintenance (PR.MA)
5.1. PR.MA-1 : L'entretien et la réparation des biens de l'organisation sont effectués et consignés, avec des outils approuvés et contrôlés
5.2. PR.MA-2 : La télémaintenance des biens de l'organisation est approuvée, consignée et effectuée de manière à empêcher tout accès non autorisé
6. Technologie de protection (PR.TP)
6.1. PR.TP-1 : Les enregistrements d'audit/log sont déterminés, documentés, mis en œuvre et revus conformément à la politique
6.2. PR.TP-2 : Les supports amovibles sont protégés et leur utilisation est limitée conformément à la politique
6.3. PR.TP-3 : Le principe de la moindre fonctionnalité est incorporé en configurant les systèmes de manière à ne fournir que les capacités essentielles
6.4. PR.TP-4 : Les réseaux de communication et de contrôle sont protégés
6.5. PR.TP-5 : Des mécanismes (par exemple, sécurité intégrée, répartition de la charge, échange à chaud) sont mis en œuvre pour répondre aux exigences de résilience dans des situations normales et défavorables
3. DÉTECTION (DE)
1. Anomalies et événements (DE.AE)
1.1. DE.AE-1 : Une base de référence des opérations du réseau et des flux de données attendus pour les utilisateurs et les systèmes est établie et gérée
1.2. DE.AE-2 : Les événements détectés sont analysés pour comprendre les cibles et les méthodes d'attaque
1.3. DE.AE-3 : Les données d'événements sont collectées et corrélées à partir de sources et de capteurs multiples
1.4. DE.AE-4 : L'impact des événements est déterminé
1.5. DE.AE-5 : Des seuils d'alerte d'incidents sont établis
2. Surveillance continue de la sécurité (DE.SC)
2.1. DE.SC-1 : Le réseau est surveillé pour détecter les événements potentiels de cybersécurité
2.2. DE.SC-2 : L'environnement physique est surveillé pour détecter les événements potentiels de cybersécurité
2.3. DE.SC-3 : L'activité du personnel est surveillée pour détecter les événements potentiels de cybersécurité
2.4. DE.SC-4 : Un code malveillant est détecté
2.5. DE.SC-5 : Un code mobile non autorisé est détecté
2.6. DE.SC-6 : L'activité des fournisseurs de services externes est surveillée pour détecter les événements potentiels de cybersécurité
2.7. DE.SC-7 : La surveillance du personnel, des connexions, des dispositifs et des logiciels non autorisés est effectuée
2.8. DE.SC-8 : Des analyses de vulnérabilité sont effectuées
3. Processus de détection (DE.DP)
3.1. DE.DP-1 : Les rôles et les responsabilités en matière de détection sont bien définis pour assurer la responsabilisation
3.2. DE.DP-2 : Les activités de détection sont conformes à toutes les exigences applicables
3.3. DE.DP-3 : Les processus de détection sont testés
3.4. DE.DP-4 : Les informations relatives à la détection d'événements sont communiquées
3.5. DE.DP-5 : Les processus de détection sont améliorés en permanence
4. RÉPONSE (RS)
1. Planification de la réponse (RS.RP)
1.1. RS.RP-1 : Le plan d'intervention est exécuté pendant ou après un incident
2. Communications (RS.CO)
2.1. RS.CO-1 : Le personnel connaît ses rôles et l'ordre des opérations lorsqu'une intervention est nécessaire
2.2. RS.CO-2 : Les incidents sont signalés conformément aux critères établis
2.3. RS.CO-3 : Les informations sont partagées conformément aux plans d'intervention
2.4. RS.CO-4 : La coordination avec les parties prenantes se fait conformément aux plans d'intervention
2.5. RS.CO-5 : Le partage volontaire d'informations se fait avec des parties prenantes externes afin d'obtenir une meilleure connaissance de la situation en matière de cybersécurité
3. Analyse (RS.AN)
3.1. RS.AN-1 : Les notifications des systèmes de détection sont examinées
3.2. RS.AN-2 : L'impact de l'incident est compris
3.3. RS.AN-3 : L'expertise médico-légale est réalisée
3.4. RS.AN-4 : Les incidents sont classés par catégories conformément aux plans d'intervention
3.5. RS.AN-5 : Des processus sont établis pour recevoir, analyser et répondre aux vulnérabilités divulguées à l'organisation par des sources internes et externes (par exemple, des tests internes, des bulletins de sécurité ou des chercheurs en sécurité)
4. Atténuation (RS.AT)
4.1. RS.AT-1 : Les incidents sont maîtrisés
4.2. RS.AT-2 : Les incidents sont atténués
4.3. RS.AT-3 : Les vulnérabilités nouvellement identifiées sont atténuées ou documentées comme des risques acceptés
5. Améliorations (RS.AM)
5.1. RS.AM-1 : Les plans d'intervention intègrent les leçons apprises
5.2. RS.AM-2 : Les stratégies de réponse sont mises à jour
5. REPRISE (RC)
1. Planification de la reprise (RC.RP)
1.1. RC.RP-1 : Le plan de reprise est exécuté pendant ou après un incident de cybersécurité
2. Améliorations (RC.AM)
2.1. RC.AM-1 : Les plans de reprise intègrent les leçons apprises
2.2. RC.AM-2 : Les stratégies de reprise sont mises à jour
3. Communications (RC.CO)
3.1. RC.CO-1 : Les relations publiques sont gérées
3.2. RC.CO-2 : La réputation est rétablie après un incident
3.3. RC.CO-3 : Les activités de reprise sont communiquées aux parties prenantes internes et externes ainsi qu'aux équipes de direction et de gestion
Créé le:17/09/2022
Mis à jour le :30/07/2024
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :
Nombre d'utilisations :5