Le cadre de cybersécurité du NIST est une méthodologie structurée pour atténuer les

risques en matière de sécurité informatique. Il guide les organisations dans l'évaluation

de leurs capacités actuelles, l'établissement d'objectifs de sécurité et la hiérarchisation
des investissements nécessaires pour atteindre ces objectifs. En structurant les
procédures internes de gestion des risques, il permet également de fournir une
assurance de conformité réglementaire vérifiable. Les cadres comme celui-ci sont
essentiels car ils évitent aux organisations de développer leurs programmes de sécurité
sans orientation, en s'appuyant sur les meilleures pratiques générales de gouvernance
de la sécurité informatique.

Il existe plusieurs cadres différents, chacun classant les activités de cybersécurité et les
contrôles de manière légèrement différente. Bien que ces cadres ne soient pas
réglementaires au sens strict, ils représentent les normes de facto en matière de
sécurité informatique et sont souvent associés à des programmes de certification pour
assurer la compétence du personnel et des consultants.

Le cadre de cybersécurité du NIST se concentre exclusivement sur la sécurité

informatique plutôt que sur les services informatiques généraux. Initialement développé
pour le gouvernement américain, il peut être adapté à diverses organisations et
contextes internationaux. En plus de ce cadre, le NIST publie également des normes
telles que les Normes fédérales de traitement de l'information (FIPS) et des guides
consultatifs via ses Publications spéciales, qui sont largement utilisés comme
références dans l'industrie de la sécurité informatique, y compris par les professionnels
certifiés CompTIA Security.

✓ ISO (Organisation internationale de normalisation) ISO 27000

L'ISO (Organisation internationale de normalisation) a établi une série de normes de

sécurité de l'information, connue sous le nom de 27K, en collaboration avec la CEI
(Commission électrotechnique internationale). Cette série comprend plusieurs normes
importantes, dont la norme ISO 27001 pour la sécurité de l'information. Initialement
publiée en 2005 et révisée en 2013, ISO 27001 définit les exigences pour établir, mettre
en œuvre, maintenir et améliorer un système de management de la sécurité de
l'information au sein d'une organisation. Contrairement au cadre du NIST qui est
librement accessible, ISO 27001 doit être achetée pour être utilisée.

En plus de ISO 27001, la série 27K comprend d'autres normes spécifiques telles que ISO
27002, qui classe les contrôles de sécurité, ISO 27017 qui traite de la sécurité en nuage,
ISO 27018 qui aborde la protection des données personnelles dans le cloud, et ISO
27701 qui se concentre sur la protection de la vie privée en lien avec le traitement des
informations personnelles. Ces normes offrent un cadre détaillé et reconnu à l'échelle
internationale pour aider les organisations à gérer et à renforcer leur sécurité de
l'information selon les meilleures pratiques établies.

✓ ISO 31K

La norme ISO 31K est un cadre global pour la gestion des risques d'entreprise (MCE),
différent de la norme ISO 27K qui se concentre sur la cybersécurité. Publiée comme une
série complémentaire, ISO 31K offre des lignes directrices détaillées pour évaluer et
gérer les risques dans divers domaines stratégiques au-delà de la cybersécurité. Cela
inclut les aspects financiers, le service à la clientèle, la compétitivité et la responsabilité
juridique. En fournissant des meilleures pratiques pour les évaluations de risques, ISO
31K aide les organisations à identifier, évaluer et traiter efficacement les risques
potentiels dans leurs opérations globales.

✓ Alliance pour la sécurité du cloud (CSA)

La Cloud Security Alliance (CSA), une organisation à but non lucratif, produit diverses
ressources pour aider les fournisseurs de services en nuage (CSP) à garantir des
plateformes sécurisées. Ces ressources sont également précieuses pour les
consommateurs d'informatique en nuage lors de l'évaluation et de la sélection de
services. Leurs principales publications comprennent :

1. **Guide de sécurité** : Ce document résume les meilleures pratiques pour répondre

aux défis uniques des environnements en nuage, en adaptant les contrôles de sécurité
traditionnels aux besoins spécifiques du cloud.
2. **Architecture de référence d'entreprise** : Fournit une méthodologie et des outils
pour aider les CSP à concevoir des solutions cloud sécurisées. Cette architecture
couvre plusieurs domaines critiques tels que la gestion des risques, l'infrastructure
cloud, les applications et les services.

3. **Matrice de contrôle de l'informatique en nuage** : Offre des contrôles spécifiques

et des lignes directrices d'évaluation destinées à être mises en œuvre par les CSP. Pour
les consommateurs de services cloud, cette matrice constitue une référence pour
négocier des contrats et des accords, en garantissant un niveau de sécurité de base que
les CSP doivent respecter.

En résumé, la CSA joue un rôle crucial en fournissant des standards et des directives
pour renforcer la sécurité des services cloud, bénéficiant ainsi à la fois aux fournisseurs
et aux utilisateurs finaux dans un environnement numérique de plus en plus complexe.

✓ CADRE SSAE

Les Déclarations sur les Normes relatives aux Fiançailles (SSAE), développées par
l'American Institute of Certified Public Accountants (AICPA), sont des spécifications
d'audit visant à garantir aux consommateurs que les fournisseurs de services
respectent des normes professionnelles élevées. Cette certification concerne
notamment les fournisseurs de services en nuage et tout autre service hébergé ou tiers.

Sous le SSAE No. 18, il existe plusieurs niveaux de rapports :

1. **SOC2 (Service Organization Control)** : Évalue les contrôles internes mis en place
par le prestataire de services pour assurer la conformité aux Critères de services de
confiance (CTS) lors du stockage et du traitement des données des clients. Les critères
évaluent la sécurité, la confidentialité, l'intégrité, la disponibilité et la protection de la
vie privée des biens. Un rapport SOC2 de type I évalue la conception du système, tandis
qu'un rapport de type II évalue l'efficacité continue de l'architecture de sécurité sur une
période de 6 à 12 mois. Ces rapports sont détaillés et destinés à être partagés avec des
auditeurs, des régulateurs et des partenaires clés selon des accords stricts de non-
divulgation.
2. **SOC3** : Rapport moins détaillé certifiant la conformité avec SOC2. Les rapports
SOC3 peuvent être distribués plus librement et sont destinés à un usage plus général.

En résumé, les SSAE fournissent une assurance aux consommateurs sur la sécurité et la
fiabilité des services offerts par les prestataires, en particulier dans le domaine critique
de la gestion des données sensibles et privées.

Les guides de configuration des bancs et de la sûreté complètent les cadres en offrant
des directives détaillées pour la mise en œuvre des services informatiques. Alors que
les cadres fournissent une vue d'ensemble stratégique, ces guides se concentrent
spécifiquement sur le déploiement sécurisé des serveurs et des applications. Leur
objectif est de définir des repères et des méthodologies précises pour garantir que les
systèmes sont configurés de manière sécurisée, alignés sur les meilleures pratiques et
les normes de sécurité pertinentes. Ces guides sont essentiels pour assurer une mise
en œuvre appropriée des politiques de sécurité au niveau opérationnel et technique des
infrastructures informatiques.

✓ Center for Internet Security (CIS)

Le Center for Internet Security (CIS) est une organisation à but non lucratif, fondée en
partie par le SANS Institute, qui se consacre à améliorer la sécurité informatique à
travers diverses initiatives. Ils publient les Critical Security Controls (Centre de sécurité
critiques), qui fournissent des lignes directrices essentielles pour renforcer la sécurité
des systèmes informatiques.

Le CIS offre la CIS RAM (Méthode d'évaluation des risques) pour évaluer de manière
exhaustive la posture de sécurité d'une organisation. En plus des contrôles critiques, le
CIS élabore des benchmarks pour la conformité avec divers cadres et programmes de
sécurité comme PCI DSS, NIST 800-53, SOX et ISO 27000. Ces benchmarks couvrent
une gamme étendue de produits informatiques tels que Windows, macOS, Linux, Cisco,
ainsi que les serveurs Web, les bases de données, et VMware ESXi.
 ✓ configuration optimale des systèmes d'exploitation (OS) et des plateformes
réseau

La configuration optimale des systèmes d'exploitation (OS) et des plateformes réseau

implique l'application de meilleures pratiques définissant les paramètres et les
contrôles nécessaires pour chaque rôle spécifique, comme les stations de travail
clients, les serveurs d'authentification, les routeurs, pare-feu, serveurs web et
applications, entre autres.

Les fournisseurs offrent des guides, modèles et outils pour configurer et valider le
déploiement de divers appareils réseau, systèmes d'exploitation, serveurs web et bases
de données. Les configurations de sécurité varient en fonction du fournisseur, de
l'appareil et de la version, et sont souvent disponibles via les portails de support des
fournisseurs ou trouvables facilement via des moteurs de recherche.

Plusieurs organisations émettent des directives détaillées pour les déploiements

standards et fournissent des évaluations et conseils pour les déploiements de produits
tiers. Le Cyber Exchange du Département de la Défense propose des guides techniques
de mise en œuvre (STIG) pour le durcissement de divers logiciels et matériels. De
même, le programme des listes de contrôle nationaux (NCP) du NIST fournit des listes et
des repères pour une gamme variée de systèmes d'exploitation et d'applications,
contribuant ainsi à renforcer la sécurité des infrastructures informatiques contre les
menaces potentielles.

Pour faciliter la conformité, le CIS-CAT (Configuration Assessment Tool) est utilisé en

conjonction avec des scanners de vulnérabilité automatisés pour évaluer la conformité
aux critères établis, renforçant ainsi la sécurité des environnements informatiques
contre les menaces potentielles.

✓ Serveur d’application

Dans les architectures d'application client/serveur, une partie de l'application réside sur
un logiciel client installé sur un matériel distinct, interagissant avec une application
serveur via un réseau. Les attaques peuvent cibler le code du client, le serveur
d'application ou le canal réseau entre les deux. Outre les défis de codage, les
applications doivent prendre en compte les problèmes de sécurité liés à la plate-forme.
Le logiciel client peut s'exécuter sur un hôte partagé avec d'autres applications,
augmentant ainsi le risque d'exposition à des logiciels malveillants. Il est essentiel de ne
pas faire confiance au code côté client et de mettre en œuvre des vérifications
rigoureuses côté serveur pour valider les entrées conformément aux attentes prévues,
minimisant ainsi les risques de sécurité associés aux architectures client/serveur.

✓ Application serveur WEB

Une application web utilise une architecture client/serveur standard exploitant des
technologies existantes comme HTTP/HTTPS et les navigateurs web pour simplifier le
développement. Elle est construite avec du code s'exécutant à la fois côté client et côté
serveur, souvent organisée en une architecture à plusieurs niveaux où la logique
d'application et le stockage de données sont séparés. Les applications modernes
peuvent adopter des architectures distribuées avancées telles que les microservices et
les architectures sans serveur.

L'Open Web Application Security Project (OWASP) est une communauté en ligne à but
non lucratif qui offre des ressources cruciales pour le développement sécurisé des
applications web. Ils publient la liste des 10 principaux risques de sécurité des
applications et ont développé des outils comme le Zed Attack Proxy et la Juice Shop
pour faciliter la compréhension et la pratique des tests de pénétration ainsi que la
gestion des problèmes de sécurité des applications.