Le NIST affirme que la préparation est la clé du cadre de gestion des risques

Le NIST affirme que la préparation est la clé du cadre de gestion des risques

Imaginez que vous ayez été chargé de construire une pyramide. Les matériaux de construction et les outils ont été sélectionnés, des systèmes de taille de blocs et des opérations de pose de blocs sont en cours, un processus d’évaluation est en place pour garantir l’alignement correct des blocs de la pyramide, l’entrepreneur général est prêt à autoriser les différents lots de travaux, et le champion du projet et le contractant surveillent les détails du projet.

Soudain, quelqu’un crie: «Qu’en est-il de toutes les activités préparatoires?» Le projet a-t-il identifié des rôles et responsabilités clés? La tolérance au risque a-t-elle été spécifiée et une stratégie de risque choisie (par exemple, des blocs inégaux ou endommagés)? Une évaluation des risques a-t-elle été réalisée avant toute activité de construction (par exemple, des sables mouvants)? Existe-t-il un processus de surveillance continu du début à la fin?

Cet exemple nous aide à comprendre à quel point l’étape de préparation de la gestion des risques est importante.

En décembre 2018, l’Institut national des normes et de la technologie (NIST) a officiellement dévoilé la deuxième révision de son cadre de gestion des risques (RMF). Dans le communiqué de presse ci-joint, le NIST a souligné les modifications qui rendent le RMF plus utile pour les organisations qui le mettent en pratique, notamment pour améliorer la communication et la gouvernance des cyber-risques, pour intégrer les risques d’atteinte à la vie privée dans le processus du RMF et pour activités de gestion des risques dans l’ensemble de l’organisation pour améliorer la valeur fournie par le processus de gestion des risques. Comment le NIST a-t-il accompli ces améliorations? Avec l’ajout d’une septième étape: Préparer

Dans sa justification de la nouvelle étape, le NIST a déclaré qu’il était nécessaire de «mettre en place des processus de gestion des risques liés à la sécurité et à la confidentialité plus efficaces, efficients et plus rentables». Voyons en quoi consiste l’étape de préparation, qui en est responsable et les avantages que les organisations peuvent attendre de franchir cette étape supplémentaire.

Préparez-vous: une nouvelle étape critique dans le RMF du NIST

L’étape de préparation veille à ce que des activités de gestion des risques globales de haut niveau et essentielles soient menées afin de guider le reste des étapes et d’optimiser la valeur du processus de gestion des risques. En particulier, le cadre de gestion des risques indique que l’étape de préparation améliore la communication entre les hauts responsables informatiques / sécurité / vie privée et les cadres supérieurs, tant au niveau mission / métier (stratégique) qu’au niveau des propriétaires de système (opérationnels).

Le NIST a ajouté que cette nouvelle étape permet de réduire la complexité en identifiant et en éliminant les activités de gestion des risques n’ayant pas d’impact effectif sur la sécurité et la confidentialité. Ceci est accompli en identifiant, en hiérarchisant et en mettant l’accent sur les actifs de grande valeur (HVA), et en déployant des mesures appropriées d’atténuation des risques. Pour le NIST, l’étape de préparation est essentielle pour la consolidation, l’optimisation et la normalisation des contrôles de gestion des risques dans l’infrastructure informatique et technologique.

Qui devrait être impliqué dans l’étape de préparation? Dans un document d’accompagnement, le NIST précisait les principales responsabilités du chef d’agence, du responsable de l’information, du responsable de la gestion des risques et des responsables de la sécurité et de la protection de la vie privée. Celles-ci vont de la supervision de l’ensemble du processus de gestion des risques à la surveillance et à l’examen de l’efficacité du processus et des contrôles mis en place.

Tâches clés et résultats

La valeur fournie par l’étape de préparation devient claire lorsque nous examinons la liste des tâches et des résultats qu’elle comprend. Nous nous concentrerons sur un sous-ensemble de ces tâches et résultats clés afin de souligner leur pertinence et leur valeur particulières.

  • Rôles de gestion des risques (P-1) – Cette tâche particulière permet de s’assurer que l’organisation a bien identifié les personnes clés et précisé leurs rôles et leurs responsabilités dans le processus de gestion des risques. Cela inclut l’examen et le traitement des conflits d’intérêts potentiels (par exemple, une personne en charge d’un processus et l’audit / l’autorisation de ce même processus). Cette tâche est liée à l’activité de gouvernance (ID.GV) du cadre de cybersécurité du NIST (NIST).
  • Stratégie de gestion des risques (P-2) – À ce stade, l’organisation a précisé son niveau de tolérance au risque et a défini une stratégie particulière pour la voie à suivre. Cette stratégie doit inclure les menaces, les hypothèses, les contraintes, les priorités et les compromis qui seront utilisés lors de la prise de décisions et lors de la détermination des domaines dans lesquels investir. Cette tâche est liée à la gestion des risques (ID.RM) et à la chaîne d’approvisionnement du NIST CSF. (ID.SC) activités.
  • Évaluation du risque organisationnel (P-3) – Même si le concept d’évaluation du risque était déjà présent dans la version précédente du CGR, il était principalement axé sur les questions tactiques et opérationnelles. L’ajout d’une évaluation des risques au niveau de l’organisation garantit que la direction, le DSI et les responsables de la sécurité et de la confidentialité sont tous sur la même page. Il aide également l’organisation dans ses efforts de hiérarchisation en se concentrant sur les actifs de grande valeur. Cette tâche est liée à l’activité d’évaluation des risques (ID.RA) du NIST CSF.
  • Stratégie de surveillance continue (P-7) – Cette tâche indique la manière dont les évaluations en cours seront effectuées et à quelle fréquence. L’objectif est de rapprocher l’organisation de la «gestion des risques en temps quasi réel» afin de permettre une réponse rapide et efficace aux changements dans le paysage des risques ou à l’efficacité des contrôles. Cette tâche se connecte à l’élément de surveillance continue (DE.CM) NIST CSF.
Commencez votre processus de gestion des risques par la préparation

Bien que le NIST ait insisté sur le fait que les étapes de son cadre ne doivent pas nécessairement être exécutées dans l’ordre, il est clair que l’exécution de l’étape de préparation fait apparaître les décisions et paramètres clés indispensables à la mise en œuvre d’un processus efficace de gestion des risques. En substance, l’ajout de l’étape permet d’élever la valeur du cadre de gestion des risques de tactique et opérationnel à organisationnel et stratégique.

Pour les nouveaux adoptants du RMF NIST, l’étape de préparation est un endroit logique et nécessaire pour commencer. Pour les organisations qui ont déjà implémenté un processus basé sur RMF, veillez à ajouter l’étape Preparer dans le cadre de votre prochaine itération. Vous en tirerez une valeur stratégique.