ObjectifCyber

Chapitre 8 — Frameworks NIST, ISO & Audits

Les frameworks de sécurité fournissent une structure pour gérer les risques. Ce module couvre NIST CSF, NIST SP 800-series, ISO 27001/27002 et les processus d'audit.

Mémorisez ! NIST CSF = 5 fonctions : Identifier → Protéger → Détecter → Répondre → Récupérer. Mémo : "I Protect Defending Rapidly Recovering". CSF 2.0 (2024) ajoute une 6ème fonction : Gouverner.
FonctionObjectifExemples
Identifier (ID)Comprendre les actifs, risques, et contexteInventaire actifs, évaluation risques, politiques
Protéger (PR)Contrôles de protection préventifsIAM, formation, maintenance, chiffrement
Détecter (DE)Identifier les événements de sécuritéSIEM, IDS, surveillance continue
Répondre (RS)Réagir aux incidents détectésPlan de réponse aux incidents, analyse, mitigation
Récupérer (RC)Restaurer les opérations normalesBCP, DR, communication post-incident

Astuce Examen

ISO 27001 = certification que l'organisation a un SMSI (quoi). ISO 27002 = guide sur comment implémenter les contrôles (comment). Un fournisseur peut être "conforme ISO 27001" (certifié) mais "suit ISO 27002" sans certification. SOC 2 Type II est plus solide que Type I car il couvre une période de temps.

1. Les 5 fonctions du NIST CSF sont :

NIST CSF = Identify → Protect → Detect → Respond → Recover (IPD-RR). Mémo : chaque initiale dans l'ordre. CSF 2.0 (2024) ajoute Govern (Gouverner) comme 6ème fonction transversale. Ces fonctions ne sont pas séquentielles — elles sont exercées simultanément.

2. NIST SP 800-63 fournit des recommandations sur :

NIST SP 800-63 (Digital Identity Guidelines) = recommandations sur l'authentification. Favorise les passphrases longues (12+ caractères) sur la complexité forcée. Recommande contre les resets de mots de passe périodiques sans raison de compromission. Définit les niveaux d'assurance AAL1/AAL2/AAL3.

3. La différence entre ISO 27001 et ISO 27002 est :

ISO 27001 = "quoi faire" (exigences, certification possible après audit). ISO 27002 = "comment le faire" (guide pratique des contrôles). Une organisation peut être certifiée ISO 27001 mais il n'existe pas de certification ISO 27002 à proprement parler.

4. Un rapport SOC 2 Type II diffère d'un rapport SOC 2 Type I en ce qu'il :

SOC 2 Type I = photographie à un instant T (les contrôles sont en place). Type II = film sur 6-12 mois (les contrôles fonctionnent effectivement). Type II est plus rigoureux et plus valorisé par les clients. Pour les prestataires SaaS/cloud, SOC 2 Type II est souvent exigé par les clients entreprise.

5. NIST SP 800-53 est principalement :

NIST SP 800-53 = "Security and Privacy Controls for Information Systems and Organizations". Catalogue exhaustif de contrôles organisés en familles (AC=Access Control, AU=Audit, CA=Assessment, CM=Configuration, etc.). Obligatoire pour les systèmes fédéraux US (FISMA). Très détaillé : des centaines de contrôles.

6. Le NIST RMF (Risk Management Framework) comprend combien d'étapes ?

NIST RMF = 7 étapes : 1-Préparer, 2-Catégoriser (FIPS 199), 3-Sélectionner les contrôles (SP 800-53), 4-Implémenter, 5-Évaluer, 6-Autoriser (ATO = Authority to Operate), 7-Surveiller. Processus cyclique pour la gestion continue du risque des systèmes d'information.

7. Un audit de sécurité externe est préférable à un audit interne principalement parce qu'il :

Audit externe = tiers indépendant = objectivité. Requis pour les certifications ISO 27001, SOC 2, PCI-DSS QSA. L'auditeur externe n'a pas de biais organisationnel et peut identifier des problèmes que l'équipe interne n'a pas voulu escalader. Plus coûteux mais plus crédible auprès des clients et régulateurs.

8. Dans le NIST CSF, la fonction "Récupérer" (Recover) inclut :

Recover (Récupérer) = restaurer les opérations après un incident. Inclut : Recovery Planning (plans de reprise documentés), Improvements (leçons apprises pour améliorer les plans), Communications (informer les parties prenantes et le public). Correspond au BCP/DR en pratique.

9. L'approche PDCA (Plan-Do-Check-Act) est associée à :

PDCA = cycle d'amélioration continue de Deming. ISO 27001 l'applique au SMSI : Plan (définir les objectifs et processus), Do (implémenter), Check (surveiller et mesurer), Act (améliorer). Ce cycle itératif garantit que le SMSI s'améliore continuellement plutôt que d'être statique.

10. NIST SP 800-61 couvre :

NIST SP 800-61 = Computer Security Incident Handling Guide. 4 phases : 1-Préparation (politiques, équipes, outils), 2-Détection & Analyse (identifier et comprendre l'incident), 3-Confinement, Éradication & Récupération, 4-Activités post-incident (rapport, leçons apprises). Standard de l'industrie pour la réponse aux incidents.