Il existe de nombreux framework dans le domaine cyber, deux d’entres eux restent plus largement cités : ISO27001 et NIST CSF (CyberSecurity Framework).
ISO 27001 et NIST CSF sont deux cadres de cybersécurité avec un chevauchement significatif. Ils contribuent efficacement à une posture de sécurité plus forte. Cependant, la manière dont ils abordent la protection des données est distincte pour chaque cadre.
L’ISO 27001 est une norme internationale visant à améliorer les systèmes de gestion de la sécurité de l’information d’une organisation. Cette norme est reconnue internationalement comme l’un des moyens les plus efficaces de maintenir la sécurité de l’information. Il détaille les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement le système de gestion de la sécurité de l’information (ISMS) d’une organisation. Selon l’ISO 27001, la sécurité de l’information comprend trois éléments clés :
- Confidentialité : L’information est rendue disponible uniquement aux utilisateurs autorisés.
- Intégrité : L’information est précise et complète.
- Disponibilité : Les utilisateurs autorisés ont accès à l’information quand ils en ont besoin1.
L’ISO 27001 a deux étapes de certification. La première est l’audit interne, qui vise à vérifier si tous les contrôles de sécurité requis ont été mis en place. La deuxième est l’audit de certification externe, qui vise à démontrer l’efficacité du système de gestion de la sécurité de l’information (ISMS)
NIST CSF, d’autre part, aide à gérer et réduire les risques de cybersécurité pour les réseaux et les données. Il a été créé par le National Institute of Standards and Technology (NIST) aux États-Unis. Il s’agit d’un cadre volontaire destiné aux entreprises de toutes tailles qui cherchent à gérer et à réduire les risques de cybersécurité pour leur infrastructure informatique.
Le NIST CSF est composé de cinq fonctions : Identifier, Protéger, Détecter, Répondre et Récupérer. Chaque fonction a des catégories spécifiques et des sous-catégories qui décrivent les résultats spécifiques. Le NIST CSF est flexible et peut être adapté aux besoins spécifiques d’une organisation.
En termes de différences, les deux cadres ont une portée différente. L’ISO 27001 est plus large et couvre toutes les formes d’informations sécurisées, tandis que le NIST CSF est plus spécifiquement axé sur la cybersécurité. De plus, l’ISO 27001 est une norme de certification, tandis que le NIST CSF est un cadre de référence volontaire.
Dans le cas des organisations qui commencent tout juste à construire leur programme de cybersécurité, il est généralement recommandé de commencer par NIST CSF. Cela aide à dresser un tableau clair de l’état de leur programme de cybersécurité, après quoi ils peuvent développer un processus plus sécurisé à mesure qu’ils se développent et travaillent vers la certification ISO 27001.
Sources:
- https://www.onetrust.com/blog/iso-27001-vs-nist-cybersecurity-framework/
- https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf-vs-scf