Accueil de l'Académie
Blogs
Les 7 principales normes, cadres et lois en matière de sécurité de l'information expliqués
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Les 7 principales normes, cadres et lois en matière de sécurité de l'information expliqués

Collection ISO 27001
Les 7 principales normes, cadres et lois en matière de sécurité de l'information expliqués
Collection NIS2
Les 7 principales normes, cadres et lois en matière de sécurité de l'information expliqués
Cyberday blog
Les 7 principales normes, cadres et lois en matière de sécurité de l'information expliqués

De nombreux cadres de sécurité de l'information et de cybersécurité sont disponibles pour aider les organisations à élaborer leurs propres plans de sécurité de l'information. Nombre d'entre eux sont déjà pris en charge par Cyberday.

Les cadres de sécurité de l'information sont de plusieurs types : normes internationales, programmes locaux, règlements ou directives de l'UE, législations sectorielles, catalogues de critères propres à une organisation ou autres ensembles de meilleures pratiques en matière de sécurité.

Voici des informations clés sur certaines des normes de sécurité de l'information les plus populaires.

Dernière mise à jour : 4.3.2024

Norme ISO 27001

La norme ISO/IEC 27001 est une norme internationale de gestion de la sécurité de l'information. Elle détaille les exigences relatives à l'établissement, à la mise en œuvre, au maintien et à l'amélioration continue d'un système de gestion de la sécurité de l'information (SGSI), dont l'objectif est d'aider les organisations à rendre plus sûrs les actifs informationnels qu'elles détiennent.

La norme ISO 27001 souligne l'importance de l'identification et de l'évaluation des risques liés à la sécurité de l'information. Les organismes sont tenus de mettre en œuvre des processus de gestion des risques afin d'identifier les menaces potentielles, d'évaluer leur impact et d'élaborer des stratégies d'atténuation appropriées.

La norme ISO 27001 encourage également une culture d'amélioration continue de la sécurité de l'information. Un suivi régulier, une évaluation des performances et des examens périodiques aident les organismes à s'adapter à l'évolution des menaces et à renforcer l'efficacité de leur SMSI.

Structure de l'ISO 27001

22 exigences de l'encadrement supérieur en matière de gestion de la sécurité de l'information

  • 4. Contexte de l'organisation
  • 5. Le leadership
  • 6. Planification
  • 7. Ressources
  • 8. Fonctionnement
  • 9. Évaluation des performances
  • 10. Amélioration

93 contrôles pour la mise en œuvre de la sécurité de l'information

  • 5. Contrôles organisationnels (par exemple, gestion des actifs, relations avec les fournisseurs, continuité)
  • 6. Contrôle des personnes
  • 7. Contrôles physiques
  • 8. Contrôles technologiques (par exemple, gestion des vulnérabilités, gestion des incidents, développement sécurisé, configuration sécurisée)

Spécialités ISO 27001

  • Publié à l'origine en 2005, révisé en 2013 et plus récemment en 2022.
  • Une norme de référence : connue dans le monde entier, de nombreuses autres lois, cadres, etc. se réfèrent à l'ISO 27001.
  • Certification disponible et nombreuses sociétés d'audit accréditées dans plusieurs pays
  • De nombreuses normes étendues sont disponibles (ISO 27017 (sécurité des nuages), ISO 27018 (confidentialité des nuages), ISO 27701 (gestion de la confidentialité), ISO 27799 (industrie de la santé), ISO 27031 (reprise après sinistre), ISO 27040 (sécurité du stockage)).

DORA (Digital Operational Resilience Act)

Avant la loi DORA, les institutions financières géraient les principales catégories de risque opérationnel principalement par l'allocation de capital, mais elles ne géraient pas toutes les composantes de la résilience opérationnelle.

Après la loi DORA, ils doivent également respecter les règles relatives à la protection, à la détection, au confinement, à la récupération et aux capacités de réparation en cas d'incidents liés aux TIC. La loi DORA fait explicitement référence aux risques liés aux TIC et fixe des règles concernant la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience opérationnelle et la surveillance des risques liés aux TIC par des tiers.

Le DORA reconnaît que les incidents liés aux TIC et un manque de résilience opérationnelle peuvent compromettre la solidité de l'ensemble du système financier, même s'il existe un capital "adéquat" pour les catégories de risque traditionnelles.

Structure de DORA

Le DORA comprend 41 exigences au total. Les chapitres II à VI contiennent l'essentiel du contenu destiné aux organisations d'utilisateurs finaux.

  • Gestion des risques liés aux TIC (articles 5 à 16)
  • Gestion, classification et signalement des incidents liés aux TIC (articles 17 à 23)
  • Essais de résilience opérationnelle numérique (articles 24 à 27)
  • Gestion des risques liés aux TIC pour les tiers (articles 28 à 44)
  • Dispositions relatives à l'échange d'informations (article 45)

Spécialités de DORA

  • Règlement de l'UE
  • S'applique à partir du 17 janvier 2025
  • Affecte les entités financières telles que les banques, les compagnies d'assurance ou les sociétés d'investissement , ainsi que leurs chaînes d'approvisionnement.

Directive NIS2

La directive NIS2 (Network and Information Systems Directive 2) est le nouveau cadre réglementaire de l'UE pour la sécurité de l'information dans les industries importantes.

Elle place la barre plus haut pour les normes de sécurité de l'information, étend le champ d'application du NIS original, introduit des activités de contrôle strictes pour la conformité, ainsi que des sanctions potentielles en cas d'infraction. L'objectif est de mieux protéger l'infrastructure d'information de l'Europe.

Il est particulièrement important de noter que la NIS2 ne se contente pas de fixer des normes de cybersécurité organisationnelle, mais qu'elle rend les cadres supérieurs responsables de leur respect. La négligence ou un engagement insuffisant à l'égard de ces réglementations pourrait avoir des répercussions juridiques importantes. Si vous ne faites pas preuve de diligence dans la mise en œuvre de mesures de cybersécurité robustes conformes aux normes NIS2, la direction générale peut être tenue personnellement responsable de toute défaillance de sécurité qui en résulterait.

Structure du NIS2

Dans le texte intégral du NIS2, seul le chapitre IV énumère les exigences pour les organisations d'utilisateurs finaux.

Le chapitre IV intitulé "Mesures de gestion du risque de cybersécurité et obligations de déclaration" comprend les articles suivants :

  • 20 - Gouvernance: Souligne le rôle de l'encadrement supérieur en tant que responsable de la mise en œuvre des mesures de sécurité de l'information.
  • 21 - Mesures de gestion des risques liés à la cybersécurité: Liste des domaines de sécurité de l'information pour lesquels les organisations doivent avoir documenté et mis en œuvre des mesures.
  • 22 - Évaluations coordonnées au niveau de l'Union des risques de sécurité des chaînes d'approvisionnement critiques
  • 23 - Obligations de signalement: Liste des exigences relatives à la notification des incidents aux autorités et aux utilisateurs des services.
  • 24 - Utilisation des systèmes de certification européens en matière de cybersécurité
  • 25 - Normalisation

La NIS 2 exige que les organisations aient documenté et mis en œuvre des mesures dans les domaines suivants de la sécurité de l'information :

  • Gestion des risques et sécurité des systèmes d'information
  • Gestion des incidents et rapports
  • Enregistrement et détection des incidents
  • Continuité des activités et sauvegardes
  • Sécurité et surveillance de la chaîne d'approvisionnement
  • Acquisition et développement de systèmes sécurisés
  • Évaluation de l'efficacité des mesures de sécurité
  • Pratiques et formation en matière d'hygiène cybernétique
  • Cryptage
  • Sécurité des ressources humaines
  • Contrôle d'accès
  • Gestion des actifs
  • Authentification multifactorielle (AMF)

Spécialités NIS2

  • Directive européenne
  • Le NIS2 entrera en vigueur le 18 octobre 2024.
  • Industries spécifiées dans le champ d'application
  • L'effet de la chaîne d'approvisionnement s'étend aux fournisseurs importants des organisations NIS2.

NIST CSF (1.1)

Le cadre de cybersécurité du NIST (CSF) est un ensemble de bonnes pratiques et de recommandations en matière de cybersécurité formulées par le National Institute of Standards and Technology (NIST) des États-Unis.

Le CCA présente un ensemble de recommandations et de normes qui permettent aux organisations d'être mieux préparées à l'identification et à la détection des cyber-attaques, et fournit également des lignes directrices sur la manière de répondre, de prévenir et de se remettre d'un cyber-incident.

Le NIST CSF est largement considéré comme la norme de référence pour l'élaboration d'un programme de cybersécurité.

Structure du CSF de NIST

Le CSF du NIST comprend un total de 108 exigences. Ces exigences sont classées en 5 fonctions principales : Identifier (ID), Protéger (PR), Détecter (DE), Répondre (RS) et Récupérer (RC).

La fonction d'identification (ID) couvre les aspects de sécurité suivants :

  • Gestion des actifs
  • Environnement des entreprises
  • Gouvernance
  • Évaluation des risques
  • Stratégie de gestion des risques
  • Gestion des risques de la chaîne d'approvisionnement

La fonction de protection (PR) couvre les aspects de sécurité suivants :

  • Gestion de l'identité, authentification et contrôle d'accès
  • Sensibilisation et formation
  • Sécurité des données
  • Processus et procédures de protection de l'information
  • Maintenance
  • Technologie proactive

La fonction de détection (DE) couvre les aspects de sécurité suivants :

  • Anomalies et événements
  • Contrôle continu de la sécurité
  • Processus de détection

La fonction de réponse (RS) couvre les aspects de sécurité suivants :

  • Planification de la réponse
  • Communications
  • Analyse
  • Atténuation
  • Améliorations

La fonction de récupération (RC) couvre les aspects de sécurité suivants :

  • Plan de redressement
  • Améliorations
  • Communications

Spécialités du NIST CSF

  • Considéré comme une référence pour la mise en place d'un programme de cybersécurité, en particulier sur le marché nord-américain.
  • De nombreux autres cadres ont adopté la division des fonctions essentielles du NIST CSF : Identifier-Protéger-Détecter-Répondre-Récupérer
  • Le NIST a également publié des catalogues plus techniques de contrôles de sécurité et de protection de la vie privée, par exemple NIST SP 800-53 et NIST SP 800-171.
  • Initialement publié en 2014, mis à jour en avril 2018 (v1.1)

NIST CSF (2.0)

Le NIST CSF sera mis à jour au début de l'année 2024.

Principaux changements

  • Introduction d'une sixième fonction essentielle "Gouverner" pour mettre l'accent sur les exigences liées à la gouvernance
  • Des orientations explicites s'adressent aux organisations de toutes tailles, de tous secteurs et de tous niveaux de maturité.
  • Objectif : permettre aux petites entreprises d'utiliser le cadre de manière efficace

Modèle de maturité des capacités de cybersécurité (C2M2)

Le modèle de maturité des capacités de cybersécurité (C2M2) aide les organisations à évaluer leurs capacités en matière de cybersécurité et à optimiser leurs investissements dans ce domaine.

Bien que le ministère américain de l'énergie et le secteur de l'énergie en général aient dirigé le développement du C2M2 et se soient fait les champions de son adoption, toute organisation, quels que soient sa taille, son type ou son secteur d'activité, peut utiliser le modèle pour évaluer, hiérarchiser et améliorer ses capacités en matière de cybersécurité.

Structure C2M2

Le C2M2 est un vaste cadre comprenant un total de 356 exigences (ou pratiques, comme ils les appellent) réparties en trois niveaux de maturité différents.

Le niveau 1 comprend 56 exigences, le niveau 2 222 et le niveau 3 356.

Le contenu du cadre est divisé en

  • ASSET: 5 sections et 23 exigences relatives à la gestion des actifs, des changements et des configurations
  • MENACES: 3 sections et 19 exigences relatives à la gestion des menaces et des vulnérabilités
  • RISQUE: 5 sections et 23 exigences relatives à la gestion des risques
  • ACCÈS: 4 sections et 25 exigences relatives à la gestion des identités et des accès
  • SITUATION: 4 sections et 16 exigences relatives à la connaissance de la situation
  • RÉPONSE: 5 sections et 32 exigences relatives à la réponse aux événements et incidents et à la continuité des opérations.
  • TIERCES PARTIES: 3 sections et 14 exigences relatives à la gestion du risque pour les tiers
  • EFFECTIFS: 5 sections et 19 exigences relatives à la gestion des effectifs
  • ARCHITECTURE: 6 sections et 36 exigences relatives à l'architecture de cybersécurité
  • PROGRAMME: 3 sections et 15 exigences relatives à la gestion des programmes de cybersécurité

Spécialités du C2M2

  • répartit toutes ses pratiques en trois MIL (niveaux de maturité) distincts afin de permettre aux organisations de calculer et de comparer leur propre niveau de maturité en matière de cybersécurité.
  • Des applications nationales du cadre C2M2 ont été créées (par exemple, en Finlande, sous le nom de Kybermittari).
  • Les MIL et la répartition des exigences selon qu'elles sont entièrement / largement / partiellement / non mises en œuvre permettent de calculer votre maturité relative et de la comparer à celle d'autres organisations.

CIS Critical Security Controls v8 (CIS 18)

Les contrôles de sécurité critiques du Center for Internet Security (CIS) (anciennement connus sous le nom de SANS Top 20) constituent un ensemble de mesures de protection prioritaires visant à atténuer les cyberattaques les plus répandues contre les systèmes et les réseaux.

Les contrôles CIS adoptent une approche assez technique de la sécurité de l'information et peuvent être appliqués avec succès parallèlement à des cadres plus liés à la gestion de la sécurité, comme ISO 27001 ou NIST CSF, afin de renforcer les protections techniques.

Au fil des ans, les contrôles CIS ont évolué pour devenir une communauté internationale de personnes et d'institutions volontaires qui partagent leurs connaissances sur les cybermenaces, en identifient les causes profondes et les traduisent en actions défensives.

CIS Structure des contrôles

Les 18 contrôles couverts par les contrôles SID sont des fonctions de sécurité de très haut niveau, qui sont ensuite divisées en exigences réelles (appelées sauvegardes).

Les contrôles CIS comprennent un total de 163 exigences (c'est-à-dire des sauvegardes).

18 Les contrôles CIS sont les suivants :

  • 01 - Inventaire et contrôle des actifs de l'entreprise (5 garanties)
  • 02 - Inventaire et contrôle des logiciels (7 garanties)
  • 03 - Protection des données: Identifier et classer les données. Traiter, conserver et éliminer les données en toute sécurité. (14 garanties)
  • 04 - Configuration sécurisée des biens et des logiciels de l'entreprise (12 garanties)
  • 05 - Gestion des comptes: Attribuer et gérer les autorisations relatives aux informations d'identification des comptes d'utilisateurs. (6 garanties)
  • 06 - Gestion du contrôle d'accès: Créer, attribuer, gérer et révoquer des autorisations d'accès en toute sécurité. (8 garanties)
  • 07 - Gestion continue des vulnérabilités (7 garanties)
  • 08 - Gestion des journaux d' audit (12 garanties)
  • 09 - Protections du courrier électronique et du navigateur web (7 garanties)
  • 10 - Défenses contre les logiciels malveillants (7 mesures de sauvegarde)
  • 11 - Récupération des données: Pratiques pour restaurer les actifs de l'entreprise dans le champ d'application à un état antérieur à l'incident et à un état de confiance. (5 garanties)
  • 12 - Gestion des infrastructures de réseau (8 garanties)
  • 13 - Surveillance et défense du réseau (11 garanties)
  • 14 - Sensibilisation à la sécurité et formation aux compétences (9 garanties)
  • 15 - Gestion des prestataires de services (7 garanties)
  • 16 - Sécurité des logiciels d'application: Gérer le cycle de vie de la sécurité des logiciels développés ou acquis afin de prévenir les faiblesses. (14 garanties)
  • 17 - Gestion des réponses aux incidents (19 garanties)
  • 18 - Tests de pénétration (5 garanties)

Spécialités CIS Controls

  • La première version des contrôles CIS a été publiée en 2008. La dernière mise à jour (version 8) a été publiée en 2021.
  • Groupes de mise en œuvre (IG): Les contrôles CIS sont divisés en trois groupes de mise en œuvre distincts, un peu comme des niveaux. L'IG1 est défini comme la "cyberhygiène essentielle" et les mesures de protection ultérieures s'appuient sur cette définition.
  • Cartographie: Les contrôles CIS sont joliment mis en correspondance avec les cadres de conformité communs, tels que ISO 27001 et NIST CSF, afin de garantir l'alignement et de rendre visibles les objectifs communs.
Rédigé par
Aleksi Pulkkanen
4.3.2024
@
apulkkanen
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Partager l'article

Autres contenus similaires de Academy

Blogs

Les 10 non-conformités les plus fréquentes lors des audits ISO 27001

Les audits et les non-conformités poussent les organisations à l'amélioration continue. Mais avant votre première certification ISO 27001, il est bon de connaître les non-conformités les plus courantes, afin de les éviter lors de votre audit de certification.
18.2.2025

J'ai reçu une demande d'entretien pour un audit ISO 27001 - à quoi dois-je m'attendre ?

Dans ce blog, nous parlerons de l'importance de la participation des employés dans le processus d'entretien d'audit, des raisons pour lesquelles les auditeurs apprécient les points de vue des employés, et nous examinerons les questions qui peuvent être posées lors d'un entretien ISO 27001.
13.2.2025

Liste de contrôle de la conformité et de la certification ISO 27001

Vous souhaitez vous assurer que vous répondez aux exigences de la norme ISO 27001 ? Cette liste de contrôle présente des étapes clés clairement ordonnées qui guident votre organisation dans la mise en place d'un SMSI et la mise en conformité avec la norme ISO 27001.
6.2.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuRésumés hebdomadaires d'informationsS'abonner à l'AcadémieLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité