(RMF) Présentation du Risk Management Framework

RMF

Le Risk Management Framework (RMF) est un ensemble de critères qui précisent comment les systèmes informatiques du gouvernement des États-Unis doivent être structurés, sécurisés et surveillés. Émis initialement par le Ministère de la défense (DoD), le RMF a été adopté par les autres systèmes d’information fédéraux du pays en 2010.

Aujourd’hui, le RMF est géré par le National Institute of Standards and Technology (NIST), et constitue une base solide pour toute stratégie de sécurité des données, où que vous soyez dans le monde. Nous allons donc détailler celle-ci.

Qu’est-ce que le Risk Management Framework (RMF) ?

L’article « NIST SP 800-37 Rev.1 » définit le RMF comme étant une procédure en 6 étapes permettant de déterminer l’architecture et de concevoir un processus de sécurité des données adapté aux nouveaux systèmes informatiques, et conseillant des meilleures pratiques et procédures que chaque agence fédérale doit suivre lors de la mise en place d’un nouveau système. Outre le document principal SP 800-37, le RMF s’appuie sur des documents supplémentaires : SP 800-30, SP 800-53, SP 800-53A et SP 800-137.

Étapes du Risk Management Framework (RMF)

Voici une illustration du processus RMF en 6 étapes. Prenez-en connaissance et consultez la présentation qui suit détaillant chacune des étapes.

risk management framework steps RMF

Étape 1 : catégorisation du système d’information

Le propriétaire du système d’information affecte un rôle de sécurité au nouveau système informatique en fonction de la mission et des objectifs métier. Le rôle de sécurité doit être cohérent avec la stratégie de gestion des risques de l’organisation.

Étape 2 : sélection des contrôles de sécurité

Les contrôles de sécurité du projet sont sélectionnés et approuvés par la direction parmi un choix de contrôles communs, et complétés par des contrôles hybrides ou spécifiques au système. Les contrôles de sécurité sont les processus matériels, logiciels et techniques requis pour satisfaire les besoins d’assurance minimum mis en évidence par l’évaluation des risques. Au cours de cette étape, l’agence doit également mettre en place des plans de surveillance continue du nouveau système.

Étape 3 : mise en œuvre des contrôles de sécurité

Consiste principalement à mettre en application l’étape 2. À la fin de cette étape, l’agence doit avoir documenté et prouvé que les besoins d’assurance minimum sont satisfaits et démontré qu’elle a utilisé avec pertinence les méthodologies d’ingénierie de sécurité et de système d’information.

Étape 4 : évaluation des contrôles de sécurité

Un organisme d’évaluation indépendant examine et approuve les contrôles de sécurité mis en œuvre à l’étape 3. Si nécessaire, l’agence corrige toute lacune ou faiblesse identifiée par l’organisme d’évaluation, puis documente le plan de sécurité en conséquence.

Étape 5 : autorisation du système d’information

L’agence doit présenter une proposition d’autorisation afin d’évaluer et déterminer les risques. L’agent d’autorisation soumet alors la décision d’autorisation à toutes les parties concernées.

Étape 6 : surveillance des contrôles de sécurité

L’agence continue de surveiller les contrôles de sécurité en place et de les actualiser en fonction des modifications apportées au système ou à l’environnement. L’agent transmet régulièrement des rapports sur la sécurité du système et, au besoin, corrige toute faiblesse.

Comment Varonis peut-il vous aider dans les problématiques de conformité ?

La réglementation NIST et le RMF (ce qui représente en fait un grand nombre de normes et réglementations de conformité en matière de sécurité des données) ont trois domaines en commun :

  • Identifier vos données et systèmes sensibles ou exposés à un risque (notamment les utilisateurs, droits, dossiers, etc.) ;
  • Protéger ces données, gérer les accès et limiter la surface exposée à un risque ;
  • Surveiller et détecter ce qui arrive à ces données, qui y accède et identifier les comportements suspects ou activités inhabituelles au niveau des fichiers.

La plate-forme de sécurité des données Varonis permet aux agences fédérales mais également aux autres organisations de gérer (et automatiser) un grand nombre des pratiques préconisées par les réglementations de conformité en matière de sécurité des données.

DatAdvantage et Data Classification Engine identifient les données sensibles conservées dans les dépôts de données centraux et cartographient les droits des utilisateurs, groupes et dossiers afin que vous puissiez déterminer où se trouvent vos données sensibles et qui y accède.
Savoir qui a accès à vos données est un aspect clé de la phase d’évaluation des risques, définie dans NIST SP 800-53.

L’analyse de la sécurité des données aide à satisfaire les exigences de NIST SP 800-53 afin de surveiller en permanence vos données : Varonis analyse les données surveillées en les comparant à des douzaines de modèles de menace qui vous avertissent des ransomwares, malwares, problèmes de configuration, attaques internes, etc.

NIST SP 800-137 fournit des directives de protection des données et exige que l’agence applique un modèle de moindre privilège. DatAdvantage, Automation Engine, et DataPrivilege rationalisent la gestion des droits et des accès et offrent un moyen plus simple de mettre en place un modèle de moindre privilège et d’automatiser le nettoyage des droits.

Malgré sa complexité au premier abord, le Risk Management Framework est fondamentalement une approche logique et sans fioritures des bonnes pratiques de sécurité des données – découvrez sans tarder comment Varonis peut vous aider à respecter les directives RMF de NIST SP 800-37 et plus de réglementations encore !