Risk Management Framework (RMF) : Vue d’ensemble

Conformité et réglementation

Le Risk Management Framework (cadre de gestion des risques) est un ensemble de critères visant à sécuriser les systèmes informatiques du gouvernement américain. Dans ce guide, nous allons présenter le RMF et sa mise en œuvre.

Initialement développé par le département de la Défense (DoD) des États-Unis, le RMF a été adopté par les autres systèmes d’information fédéraux du pays en 2010. Aujourd’hui, le National Institute of Standards and Technology (NIST) maintient les normes NIST et offre une base solide pour toute stratégie de sécurité des données. Le RMF s’appuie sur plusieurs cadres de gestion des risques précédents et comprend plusieurs processus et systèmes indépendants. Il exige que les entreprises mettent en place des systèmes de gouvernance des données sécurisés et effectuent une modélisation des menaces afin d’identifier les zones de cyber-risque. Dans ce guide, nous allons vous présenter tout ce que vous devez savoir sur le RMF. Nous allons décomposer les éléments du cadre en plusieurs sections :

Que comprend le Risk Management Framework ?

Le concept général de « gestion des risques » et celui de « cadre de gestion des risques » peuvent sembler assez similaires, mais il est important de comprendre la distinction entre les deux. Le processus de gestion des risques est spécifiquement détaillé par le NIST dans plusieurs cadres subsidiaires. Le plus important, appelé « NIST SP 800-37 Rev.1 », définit le RMF comme une procédure en 6 étapes permettant de concevoir un processus de sécurité des données adapté aux nouveaux systèmes informatiques ; il indique les bonnes pratiques et procédures que chaque agence fédérale doit suivre lors de la mise en place d’un nouveau système. Outre le document principal SP 800-37, le RMF s’appuie sur des documents supplémentaires : SP 800-30, SP 800-53, SP 800-53A et SP 800-137.

  • NIST SP 800-30, intitulé Guide for Conducting Risk Assessments, présente la manière dont la gestion des risques s’inscrit dans le cycle de développement du système (SDLC), et décrit comment procéder à des évaluations des risques et atténuer ces derniers.
  • NIST SP 800-37 traite du Risk Management Framework lui-même et contient une grande partie des informations que nous allons aborder dans la suite de ce guide.
  • Enfin, NIST SP 800-39, intitulé Managing Information Security Risk, définit l’approche multi-niveaux de la gestion des risques à l’échelle de l’organisation, essentielle pour obtenir la conformité avec le RMF.

Les 5 composantes de la gestion des risques

les composantes du Risk Management Framework Lorsque vous débutez avec le RMF, il peut être utile de diviser les exigences de gestion des risques en différentes catégories. Ces catégories permettent de travailler à l’obtention d’un système efficace de gestion des risques, depuis l’identification des risques les plus critiques auxquels vous êtes confrontés jusqu’à la manière dont vous les atténuerez.

Identification des risques

La première partie du RMF, et sans doute la plus importante, consiste à identifier les risques. Selon le NIST, « les facteurs de risque typiques comprennent les menaces, les vulnérabilités, l’impact, la probabilité, et les conditions de prédisposition. » Au cours de cette étape, vous réaliserez un brainstorming pour identifier tous les risques possibles et imaginables dans l’ensemble de vos systèmes, puis vous les classerez par ordre de priorité sur la base de différents facteurs :

  • Les menaces sont des événements susceptibles de nuire à l’organisation par intrusion, destruction ou divulgation.
  • Les vulnérabilités sont des faiblesses dans les systèmes informatiques, la sécurité, les procédures et les contrôles qui peuvent être exploitées par des acteurs mal intentionnés (internes ou externes).
  • L’impact est une mesure de la gravité du préjudice que subirait l’organisation si une vulnérabilité était exploitée ou une menace exécutée.
  • La probabilité est une mesure du facteur de risque basée sur la probabilité d’une attaque contre une vulnérabilité spécifique.
  • Les conditions de prédisposition sont un facteur spécifique au sein de l’organisation qui augmente ou diminue l’impact ou la probabilité qu’une vulnérabilité entre en jeu.

Mesure et évaluation des risques

Une fois que vous avez identifié les menaces, les vulnérabilités, l’impact, la probabilité et les conditions de prédisposition, vous pouvez calculer et classer les risques auxquels votre organisation doit faire face.

Atténuation des risques

Les entreprises prennent la liste de classement précédente et commencent à envisager comment atténuer les menaces, de la plus importante à la plus mineure. À un endroit donné de la liste, l’entreprise peut décider que les risques inférieurs à ce niveau ne valent pas la peine d’être traités, soit parce qu’il y a peu de chances que ces menaces soient exploitées, soit parce qu’il y a trop de menaces plus importantes à gérer immédiatement pour intégrer les menaces mineures au plan de travail.

Rapports et suivi des risques

Le RMF requiert que les organisations tiennent à jour une liste des risques connus et surveillent ces risques pour assurer la conformité aux directives. Les statistiques sur les fuites de données indiquent que de nombreuses entreprises ne signalent toujours pas la totalité des attaques réussies qu’elles ont subies, ce qui pourrait avoir un impact sur leurs pairs.

Gouvernance des risques

Enfin, toutes les étapes ci-dessus doivent être codifiées dans un système de gouvernance des risques.

Les 6 étapes du Risk Management Framework (RMF)

liste des étapes du Risk Management Framework D’une manière très générale, le RMF exige des entreprises qu’elles identifient à quels risques au niveau des données et des systèmes elles sont exposées, pour mettre en œuvre des mesures d’atténuation appropriées. Le RMF décompose ces objectifs en six étapes interconnectées, mais séparées.

1. Catégorisation des systèmes d’information

  • Utilisez les normes NIST pour catégoriser les informations et les systèmes afin de pouvoir fournir une évaluation précise des risques de ces systèmes.
  • Le NIST vous indique quels types de systèmes et d’informations sont à inclure,
  • et quel niveau de sécurité vous devez mettre en œuvre selon la catégorisation.

Références : FIPS Publication 199, Standards for Security Categorization of Federal Information and Information Systems ; Special Publication 800-60 Rev. 1 (Volume 1Volume 2), Guide for Mapping Types of Information and Information Systems to Security Categories

2. Sélection des contrôles de sécurité

Sélectionnez les contrôles de sécurité appropriés dans la publication 800-53 du NIST afin de « faciliter une approche plus cohérente, comparable et reproductible pour la sélection et la spécification des contrôles de sécurité des systèmes ». Références : Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations. Note de l’éditeur : La version actualisée de la 800-53 entre en vigueur le 23 septembre 2021. Tenez-vous informés.

3. Mise en œuvre des contrôles de sécurité

Mettez en place les contrôles que vous avez choisis à l’étape précédente et documentez tous les processus et procédures nécessaires à leur fonctionnement. Références : Plusieurs publications incluent les bonnes pratiques pour mettre en œuvre des contrôles de sécurité. Consultez cette page pour les retrouver.

4. Évaluation des contrôles de sécurité

Assurez-vous que les contrôles de sécurité que vous avez mis en place fonctionnent comme il se doit afin de limiter les risques pour vos opérations et vos données.

5. Autorisation des systèmes d’information

Chaque contrôle de sécurité fonctionne-il correctement afin de réduire le risque pour l’entreprise ? Si oui, le contrôle concerné sur le système concerné est autorisé. Félicitations ! Références : Special Publication 800-37 Rev. 2 Risk Management Framework for Information Systems et Organizations: A System Life Cycle Approach for Security and Privacy

6. Surveillance des contrôles de sécurité

Surveillez et évaluez en permanence l’efficacité des contrôles de sécurité, et apportez des modifications en cours de fonctionnement pour garantir l’efficacité de ces systèmes. Documentez tout changement, effectuez régulièrement une analyse d’impact et informez les responsables désignés de l’état des contrôles de sécurité. Références : Special Publication 800-37 Rev. 2 Risk Management Framework for Information Systems et Organizations: A System Life Cycle Approach for Security and Privacy

Quels sont les avantages d’un cadre de gestion des risques efficace pour une entreprise ?

Bien que le RMF soit exigé pour les entreprises travaillant avec le gouvernement américain, la mise en œuvre d’un système efficace de gestion des risques peut profiter à toutes les entreprises. L’objectif ultime de la mise en conformité du RMF est la création d’un système de gouvernance des données et des actifs qui assurera une protection complète contre tous les cyber-risques auxquels vous êtes confrontés. Plus précisément, le développement d’un cadre pratique de gestion des risques offrira à une entreprise plusieurs avantages spécifiques :

Protection des actifs

Un cadre de gestion des risques efficace donnera la priorité à la compréhension des risques auxquels votre entreprise est confrontée afin de prendre les mesures nécessaires pour protéger vos actifs et votre entreprise. Cela signifie qu’un cadre complet de gestion des risques vous aidera à protéger vos données et vos actifs.

Gestion de la réputation

La gestion de la réputation est un élément essentiel des pratiques commerciales modernes, et limiter les conséquences néfastes des cyberattaques fait partie intégrante de la protection de votre réputation. Les consommateurs américains sont de plus en plus conscients de l’importance de la protection des données, et pas seulement parce que les lois américaines sur la protection de la vie privée sont de plus en plus strictes. Une fuite de données porte atteinte à la réputation de votre entreprise. Un cadre efficace de gestion des risques peut aider les entreprises à analyser rapidement les lacunes des contrôles au niveau de l’entreprise et à élaborer une feuille de route pour réduire ou éviter les risques de réputation.

Protection de la propriété intellectuelle

Presque toutes les entreprises possèdent des biens intellectuels qui doivent être protégés, et un cadre de gestion des risques s’applique autant à ces biens qu’à vos données et actifs. Si vous vendez, proposez, distribuez ou fournissez un produit ou un service qui vous donne un avantage concurrentiel, vous êtes exposé à un éventuel vol de propriété intellectuelle. Un cadre de gestion des risques permet de se protéger contre les pertes potentielles d’avantages concurrentiels, d’opportunités commerciales, et même contre les risques juridiques.

Analyse de la concurrence

Enfin, le développement d’un cadre de gestion des risques peut avoir des répercussions bénéfiques sur le fonctionnement fondamental de votre entreprise. En cataloguant les risques auxquels vous êtes confronté et en prenant des mesures pour les atténuer, vous recueillerez également une multitude d’informations précieuses sur le marché dans lequel vous opérez, et ces informations à elles seules peuvent vous donner un avantage concurrentiel par rapport à vos pairs.

Comment Varonis peut-il vous aider à être conforme ?

La réglementation NIST et le RMF (ce qui représente en fait un grand nombre de normes et réglementations de conformité en matière de sécurité des données) ont trois domaines en commun :

  • Identifier vos données et systèmes sensibles ou exposés à un risque (notamment les utilisateurs, droits, dossiers, etc.) ;
  • Protéger ces données, gérer les accès et limiter la surface exposée à un risque ;
  • Surveiller et détecter ce qui arrive à ces données, qui y accède et identifier les comportements suspects ou activités inhabituelles au niveau des fichiers.

La plateforme Varonis de sécurité des données permet aux agences fédérales de gérer (et automatiser) un grand nombre des exigences et recommandations du RMF. DatAdvantage et le Data Classification Engine identifient les données sensibles conservées dans les dépôts de données centraux et cartographient les droits des utilisateurs, groupes et dossiers afin que vous puissiez déterminer où se trouvent vos données sensibles et qui peut y accéder. Savoir qui a accès à vos données est un aspect clé de la phase d’évaluation des risques, définie dans NIST SP 800-53. L’analyse de la sécurité des données aide à satisfaire les exigences de NIST SP 800-53 en matière de surveillance permanente de vos données : Varonis analyse des milliards d’événements à partir de l’activité d’accès aux données, du VPN, du DNS, à partir des proxies et d’Active Directory, et élabore automatiquement des profils comportementaux pour chaque utilisateur et chaque appareil. Les modèles de menace alimentés par l’apprentissage automatique identifient de manière proactive les comportements anormaux et les menaces potentielles comme les ransomwares, les malwares, les attaques par force brute et les menaces internes. NIST SP
800-137 établit des directives de protection des données et exige que l’agence fédérale applique un modèle de moindre privilège. DatAdvantage intervient là où les utilisateurs ont un accès dont ils n’ont peut-être plus besoin. L’Automation Engine peut nettoyer les autorisations et supprimer automatiquement les groupes d’accès global. DataPrivilege rationalise les autorisations et la gestion des accès en désignant les propriétaires de données et en automatisant les évaluations des droits. Malgré sa complexité au premier abord, le Risk Management Framework est finalement une approche logique et sans fioritures des bonnes pratiques de sécurité des données ; découvrez sans tarder comment Varonis peut vous aider à respecter les directives RMF de NIST SP 800-37.

Le mot de la fin

Veiller à être en conformité avec le RMF n’est pas seulement une exigence pour les entreprises qui travaillent avec le gouvernement américain. Si vous mettez en œuvre efficacement une stratégie d’évaluation et de gouvernance des risques, ce cadre peut également vous apporter de nombreux avantages opérationnels. Vos processus RMF doivent être principalement axés sur l’intégrité des données, car les menaces qui pèsent sur les données sont probablement les plus critiques auxquelles votre entreprise est confrontée. C’est pourquoi nous avons conçu notre suite logicielle Varonis avec des fonctionnalités qui vous permettent d’implémenter rapidement et efficacement un processus d’évaluation et de gouvernance des risques.

Jeff Petters

Jeff Petters

Jeff travaille sur les ordinateurs depuis que son père a ramené à la maison un IBM PC 8086 avec un système de double disques durs. La recherche et l'écriture sur la sécurité des données est le travail de ses rêves.

Avatar

Adrien Rahmati-Georges

Ancien étudiant en informatique, diplômé de l'Ecole de Guerre Economique en Risques, Sûreté Internationale et Cybersécurité. Spécialisé en droit du numérique, Adrien travaille chez Varonis en tant que Coordinateur Marketing pour la région EMEA. Il vous fournit ici du contenu français et allemand, écrit par nos incroyables auteurs Varonis !

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.