Chapitre 8 — Frameworks NIST, ISO & Audits
Les frameworks de sécurité fournissent une structure pour gérer les risques. Ce module couvre NIST CSF, NIST SP 800-series, ISO 27001/27002 et les processus d'audit.
Mémorisez ! NIST CSF = 5 fonctions : Identifier → Protéger → Détecter → Répondre → Récupérer. Mémo : "I Protect Defending Rapidly Recovering". CSF 2.0 (2024) ajoute une 6ème fonction : Gouverner.
| Fonction | Objectif | Exemples |
|---|---|---|
| Identifier (ID) | Comprendre les actifs, risques, et contexte | Inventaire actifs, évaluation risques, politiques |
| Protéger (PR) | Contrôles de protection préventifs | IAM, formation, maintenance, chiffrement |
| Détecter (DE) | Identifier les événements de sécurité | SIEM, IDS, surveillance continue |
| Répondre (RS) | Réagir aux incidents détectés | Plan de réponse aux incidents, analyse, mitigation |
| Récupérer (RC) | Restaurer les opérations normales | BCP, DR, communication post-incident |
- NIST SP 800-53 : Security and Privacy Controls — catalogue complet de contrôles de sécurité pour les systèmes d'information fédéraux. Base du framework RMF (Risk Management Framework).
- NIST SP 800-171 : Protecting Controlled Unclassified Information — exigences de sécurité pour les contractants fédéraux.
- NIST SP 800-63 : Digital Identity Guidelines — recommandations pour l'authentification, les mots de passe, et la gestion des identités. Favorise les passphrases longues sur la complexité.
- NIST SP 800-61 : Computer Security Incident Handling Guide — guide de réponse aux incidents. 4 phases : Préparation → Détection/Analyse → Confinement/Éradication/Récupération → Post-incident.
- NIST SP 800-30 : Guide for Conducting Risk Assessments — méthodologie d'évaluation des risques.
- NIST RMF (Risk Management Framework) : processus en 7 étapes pour la gestion du risque : Préparer → Catégoriser → Sélectionner → Implémenter → Évaluer → Autoriser → Surveiller.
- ISO 27001 : norme internationale pour les Systèmes de Management de la Sécurité de l'Information (SMSI). Certification possible après audit. Exigences (Shall) : obligatoires pour la certification.
- ISO 27002 : guide pratique des contrôles de sécurité. Complément à ISO 27001 — fournit les lignes directrices de mise en œuvre. Pas de certification ISO 27002 directe.
- ISMS (Information Security Management System) : système de management qui utilise une approche PDCA (Plan-Do-Check-Act) pour améliorer continuellement la sécurité.
- SOC 2 : rapport d'audit sur les contrôles de sécurité des prestataires de services. Basé sur les Trust Services Criteria (TSC) : Sécurité, Disponibilité, Intégrité, Confidentialité, Vie privée. SOC 2 Type I = point dans le temps. SOC 2 Type II = sur une période (6-12 mois).
Astuce Examen
ISO 27001 = certification que l'organisation a un SMSI (quoi). ISO 27002 = guide sur comment implémenter les contrôles (comment). Un fournisseur peut être "conforme ISO 27001" (certifié) mais "suit ISO 27002" sans certification. SOC 2 Type II est plus solide que Type I car il couvre une période de temps.
- Audit interne : réalisé par l'équipe de sécurité ou audit interne de l'organisation. Objectif : vérifier la conformité aux politiques internes. Moins coûteux, mais moins objectif.
- Audit externe : réalisé par un tiers indépendant. Nécessaire pour les certifications (ISO 27001, SOC 2). Plus objectif, plus coûteux.
- Audit de conformité : vérifier que l'organisation respecte une réglementation (GDPR, HIPAA, PCI-DSS).
- Évaluation de la configuration : vérifier que les systèmes respectent les baselines de sécurité (CIS Benchmarks, STIGs).
- Revue de code : SAST (statique) ou DAST (dynamique) pour identifier les vulnérabilités dans les applications.
- Attestation : déclaration formelle par laquelle une entité confirme la conformité. Peut être auto-attestée ou tierce partie.