Speaker #0Bonjour mamie, bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à des gens qui n'y comprennent rien. Bonjour et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Connaissez-vous l'histoire de la carte de Piri Reis ? En 1929, on découvre dans le palais de Topkaki, à Istanbul, un fragment de carte marine datant de 1513, dessinée par l'amiral ottoman Piri Reis. Cette carte représente avec une précision stupéfiante les côtes de l'Amérique du Sud, de l'Afrique de l'Ouest, et même, selon certaines interprétations, les contours de l'Antarctique. Alors que ce continent ne sera officiellement découvert qu'en 1820. Ce qui est fascinant avec cette carte, c'est qu'elle est compilée à partir de nombreuses sources différentes. Des cartes arabes, des cartes portugaises, des cartes héritées de Christophe Colomb lui-même, et probablement d'autres sources encore plus anciennes. Piri Reis n'a pas exploré toutes ces terres personnellement, il a fait quelque chose de bien plus malin. Il a pris les meilleures cartes disponibles, chacune avec ses forces et ses faiblesses, et il les a combinés pour créer une représentation du monde plus complète qu'aucune carte individuelle ne pouvait l'offrir. Et c'est exactement ce que nous devons faire en cybersécurité quand on parle de référentiel de contrôle. Il n'existe pas une seule carte parfaite du territoire de la cybersécurité. Il existe de nombreuses cartes, chacune dessinée avec des objectifs différents, une échelle différente, un niveau de détail différent. Et le vrai défi, pour un responsable de la sécurité, c'est de comprendre ces différentes cartes, leurs forces, leurs limites, et les combiner intelligemment pour naviguer dans son propre contexte. Alors aujourd'hui je vous propose un grand tour d'horizon des principaux référentiels de contrôle en cybersécurité. On va les comparer, on va voir ce qui les distingue, ce qui les rapproche, et surtout, on va essayer de comprendre quand utiliser lequel. Mais avant toute chose, il faut se poser la question de qu'est-ce qu'un référentiel de contrôle au juste. Avant de plonger dans le comparatif, prenons un moment pour comprendre ce qu'on entend par référentiel de contrôle. Un référentiel, c'est un cadre structuré, un ensemble de recommandations, d'exigences ou de bonnes pratiques organisées de manière logique pour vous aider à protéger votre système d'information. Imaginez que vous deviez construire une maison. Vous pourriez le faire à l'instinct en posant des briques au hasard et en espérant que ça tienne. Ou vous pourriez suivre les plans d'un architecte, respecter des normes de construction, utiliser des matériaux certifiés. Le référentiel, c'est votre plan d'architecture pour la cybersécurité. Un contrôle quant à lui, C'est une mesure concrète que vous mettez en place pour réduire un risque. Ça peut être technique, comme installer un pare-feu ou chiffrer vos données. Ça peut être organisationnel, comme définir une politique de mot de passe ou organiser des formations. Ça peut être physique, comme sécuriser l'accès à votre seul serveur. Le référentiel organise tous ces contrôles dans une structure cohérente et vous aide à ne rien oublier. Et croyez-moi, dans le domaine de la cybersécurité, il y a beaucoup de choses qu'on ne peut pas oublier. La surface d'attaque d'une organisation moderne est immense. Postes de travail, serveurs, applications web, services cloud, objets connectés, accès distants, terminaux mobiles, fournis sortières. Sans un cadre structuré, vous allez inévitablement laisser des trous dans votre défense. Le référentiel est là pour vous éviter ça. Maintenant, entrons dans le vif du sujet. Le NIS Cyber Security Framework est la boussole universelle. Si vous ne deviez connaître qu'un seul référentiel, ce serait probablement celui-là.
Speaker #0On finit par cocher des cases plutôt que de réduire des risques. Comparé au NIST CSF, l'ISO 27000 est plus prescriptif et plus structuré. Le CSF donne une carte flexible. L'ISO 27000 vous donne un système de management complet avec des exigences précises. Les deux sont complémentaires. Beaucoup d'organisations utilisent le NIST CSF pour structurer leur stratégie et l'ISO 27000 pour la formaliser et la certifier. Il y a un point important à signaler. L'ISO 27000 fonctionne sur des principes de la déclaration d'applicabilité. Vous n'êtes pas obligé d'implémenter les 93 mesures de l'ISO 27002, vous devez les examiner une par une, justifier lesquelles vous appliquez et lesquelles vous n'appliquez pas, expliquer pourquoi. C'est une approche par les risques, vous ne mettez en place que les contrôles pertinents dans votre contexte, mais cette justification elle-même doit être documentée, ce qui ajoute un travail administratif supplémentaire. Il faut aussi mentionner que la famille de l'ISO 27000 ne se limite pas à l'ISO 27001 et l'ISO 27002. Il existe toute une galaxie de normes complémentaires. L'ISO 27005 pour la gestion des risques, l'ISO 27017 et l'ISO 27018 pour la sécurité du cloud, l'ISO 270701 pour la protection de la vie privée. C'est un écosystème complet, mais aussi un investissement conséquent pour les organisations qui souhaitent s'y conformer intégralement. Le NIST SP 800-53, c'est l'encyclopédie des contrôles. Là, on passe à quelque chose de beaucoup plus détaillé. Le NIST SP 800-53, dans sa révision 5, est un catalogue de plus de 1000 contrôles de sécurité et de confidentialité, répartis en 20 familles. C'est l'encyclopédie, le dictionnaire exhaustif de tout ce que vous pourriez mettre en place pour sécuriser un système d'information. Les familles de contrôle couvrent absolument tout. Contrôle d'accès, sensibilisation et formation, on en a d'ailleurs parlé dans l'épisode précédent, audite et responsabilité, gestion de la configuration, planification de la continuité, identification et authentification, réponse aux incidents, maintenance, protection des médias, protection physique, évaluation des risques, et j'en passe. La force du 800-53, c'est sa granularité. Si vous avez besoin de savoir exactement quel contrôle mettre en place pour un système donné, c'est la référence ultime. Chaque contrôle est détaillé avec des améliorations optionnelles pour augmenter le niveau de sécurité. Mais cette exhaustivité est aussi son talon d'Achille. Avec plus de 1000 contrôles, c'est difficile à appréhender pour quelqu'un qui débute. C'est un peu comme si vous donnait un dictionnaire de 2000 pages pour écrire une lettre. Vous avez tous les mots dont vous avez besoin, mais encore faut-il savoir lesquels choisir et comment les assembler. En pratique, le NIS SP 800-53 est surtout utilisé par les agences fédérales américaines et par les organisations qui travaillent avec le gouvernement américain. Mais son influence est mondiale, car beaucoup d'autres référentiels s'en inspirent ou s'y réfèrent. Le CIS Control est quant à lui un guide de survie pragmatique. Si le NIST SP 800-53 est une encyclopédie, les contrôles du CIS sont plutôt un guide de survie. Développé par le Centre for Internet Security, il propose 18 contrôles prioritaires, classés par ordre d'importance. L'idée est brillante dans sa simplicité. Plutôt que de vous noyer dans une centaine de contrôles, on vous dit lesquels mettre en place en premier. Le CIS analyse les attaques les plus courantes, et à identifier les contrôles qui offrent le meilleur rapport effort-protection. Les CIS Controls sont organisés en trois groupes d'implémentation. Le groupe IG1, c'est l'hygiène de base. C'est ce que toutes les organisations, même la plus petite, devraient mettre en place. On parle d'inventaire des actifs matériels et logiciels, la gestion des vulnérabilités, de configuration de sécurité, de gestion de comptes et des accès. Le groupe IG2 ajoute des contrôles pour les organisations de taille moyenne avec des données sensibles. Et le groupe IG3 correspond aux organisations les plus matures qui doivent faire face à des menaces sophistiquées. C'est particulièrement adapté pour les PME qui n'ont pas les moyens de se lancer dans un programme ISO 27000 ou d'implémenter l'intégralité du NIST SP800-53. Avec les contrôles du CIS, vous pouvez commencer petit et progresser graduellement. La limite, c'est que les contrôles du CIS restent très orientés technologie. Ils sont excellents pour les contrôles techniques, mais moins développés pour les aspects organisationnels, juridiques ou humains de la cybersécurité. Un autre point fort des contrôles CIS, c'est qu'ils sont régulièrement mis à jour en fonction des évolutions des menaces. La version 8, sortie en 2021, a par exemple intégré les enjeux du cloud et du travail à distance, reflétant la réalité des environnements informatiques modernes. Et pour chaque contrôle, le CIS fournit des sous-contrôles très concrets avec des indicateurs mesurables, par exemple pour l'inventaire des actifs matériels, On vous dit exactement ce qui doit être inventorié, à quelle fréquence et comment vérifier si c'est bien fait. C'est du pratique, du concret, du terrain. Les CIS publient également les CIS Benchmarks, des guides de configuration sécurisés extrêmement détaillés pour des centaines de technologies spécifiques. Vous utilisez Windows Server ? Il y a un benchmark. MySQL ? Il y a un benchmark. AWS ? Même chose. Ces guides sont gratuits et constituent une mine d'or pour les équipes techniques chargées du durcissement des systèmes, dont on a parlé dans l'épisode sur le hardening. Les référentiels sectoriels sont des cartes spécialisées pour des territoires particuliers. Au-delà de ces référentiels généralistes, Il existe des référentiels spécifiques à certains secteurs d'activité. C'est logique, les risques ne sont pas les mêmes selon que vous êtes une banque, un hôpital ou une usine. Dans le secteur financier, on trouve par exemple DORA, le Digital Operational Resilience Act, un règlement européen entré en application en janvier 2025. DORA impose aux institutions financières des exigences strictes en matière de gestion des risques TIC, des tests de résilience, de gestion des incidents et de surveillance des prestataires. C'est un cadre contraignant. avec des vraies sanctions en cas de non-conformité. Là où les référentiels comme le NISS SF ou l'ISO 27000 sont volontaires, DORA est obligatoire. Vous n'avez pas le choix. Dans le même esprit, PCI DSS, le Payment Card Industry Data Security Standard, est incontournable pour toute organisation qui traite des données de carte bancaire. Dans sa version 4, il impose 12 exigences couvrant la segmentation des réseaux, le chiffrement, le contrôle d'accès et les tests d'intrusion réguliers. Si vous acceptez les paiements par carte, Vous devez être conforme à PCI DSS. Point final. Pour le secteur industriel, le standard IEC 62443 est la référence pour la cyber-sécurité des systèmes industriels, ce qu'on appelle l'OT pour Operational Technology. C'est crucial dans l'énergie, les transports, la production manufacturière, bref, partout où des systèmes informatiques pilotent des processus physiques. Les enjeux sont différents. Ici, une cyber-attaque peut avoir des conséquences physiques, voire même des vies en danger. Et puis, au niveau européen, la directive NIS II élargit considérablement le périmètre des organisations soumises à des obligations de cybersécurité. Elle distingue les entités essentielles et importantes, impose des mesures de gestion des risques et des obligations de notification d'incidents. C'est un tournant réglementaire majeur qui va toucher des milliers d'organisations qui n'étaient jusqu'ici soumises à aucune obligation spécifique en cybersécurité. Ce qui est intéressant dans ces cadres réglementaires, c'est qu'ils ne réinventent pas la roue. DORA, par exemple, s'appuie largement sur les concepts du NIS-CSF et de l'ISO 27001. NIS 2 fait référence à des standards existants comme base pour les mesures de cybersécurité. Autrement dit, si vous avez déjà un programme de sécurité structuré avec des référentiels connus, la conformité réglementaire devient beaucoup plus facile à atteindre. C'est un argument de plus pour ne pas attendre que la réglementation vous tombe dessus pour agir. Il existe d'autres référentiels complémentaires, comme ceux pour mesurer le risque ou comprendre les attaques. Il y a deux autres catégories de référentiels qui méritent notre attention, même s'ils ne sont pas des référentiels de contrôle au sens strict. D'abord, les référentiels d'analyse de risque. EBIO CRM, développée par l'ANSI, est la méthode de référence en France. Elle propose cinq ateliers structurés pour identifier les sources de risque, construire des scénarios d'attaques stratégiques et opérationnelles, et définir les mesures de traitement. C'est un outil puissant pour prioriser ses actions de sécurité. Dans un registre différent, Le FAIR, F-A-I-R, pour Factor Analysis of Information Risk, est le seul modèle standardisé pour quantifier le risque cyber en termes financiers. Combien vous coûterait une violation des données ? Quel est le retour sur investissement de tel ou tel contrôle de sécurité ? FAIR vous aide à répondre à ces questions en euros et en dollars. Et c'est un argument extrêmement puissant quand vous devez convaincre votre direction d'investir dans la cybersécurité. Parler en termes de risque financier, ça parle beaucoup plus qu'un tableau de conformité avec des cases vertes et rouges. Ensuite, il y a les référentiels qui vous aident à comprendre l'attaque. Maitre Attack est devenu incontournable. C'est la base de connaissance des tactiques, techniques et procédures utilisées par les vrais attaquants. Concrètement, Maitre Attack vous permet de répondre à la question « Est-ce que mes contrôles sont efficaces contre les techniques réellement utilisées par les groupes d'attaquants qui pourraient me cibler ? » C'est un changement de perspective fondamental. Au lieu de partir d'une liste de contrôles théoriques, vous partez de la réalité des attaques et vous vérifiez que vos défenses sont adaptées. C'est comme si, au lieu de fortifier votre château au hasard, vous étudiez d'abord les techniques d'assaut de vos ennemis pour savoir exactement où renforcer vos murs. Dans le même esprit, la Cyber Kill Chain de Lockheed Martin décrit les 7 étapes typiques d'une cyberattaque, de la reconnaissance initiale jusqu'à l'exfiltration de données. C'est un modèle moins granulaire que le micro-attaque, mais il a l'avantage d'être plus intuitif. Il est très utile pour sensibiliser les décideurs non techniques, car il raconte une histoire cohérente. Voici comment un attaquant procède. étape par étape, et voici où nous pouvons intervenir pour briser la chaîne. Comment choisir ? Alors face à tous ces référentiels, comment s'y retrouver ? C'est la question à un million d'euros, et la réponse va peut-être vous frustrer. Il n'y a pas de meilleur référentiel universel. Le bon choix dépend de votre contexte. Si vous êtes une PME qui débite en cybersécurité, commencez par le CIS Control Group IG1. C'est le point d'entrée le plus accessible et le plus pragmatique. Vous mettrez en place une hygiène de base solide sans vous noyer dans la complexité. Si vous avez besoin d'une vision stratégique pour structurer votre programme de cybersécurité, le NISSAS FV2 est votre meilleur allié. Ces six fonctions vous donnent un cadre clair pour organiser vos efforts et communiquer avec votre direction. Si vous avez besoin d'une certification reconnue internationalement, typiquement parce que vos clients ou partenaires l'exigent, alors l'ISO 27001 est le chemin naturel. Le coût et les efforts sont significatifs, mais le retour en termes de crédibilité est réel. Si vous travaillez dans un secteur régulier, vous n'avez souvent pas le choix. Banque et Assurance, DORA, Paiement par carte, PCI DSS, Industrie, IEC 62443, Opérateur de services essentiels en Europe, NIS 2, le cadre réglementaire s'impose à vous. Si vous avez besoin d'un niveau de détail technique très poussé, Le NIST SP 800-53 est la référence, mais garde-le comme catalogue de références plutôt que comme checklist à implémenter de A à Z. Et surtout, rappelez-vous que ces référentiels ne sont pas mutuellement exclusifs. Au contraire, les organisations les plus matures les combinent. Par exemple, vous pourriez utiliser le NIST ASF comme cadre stratégique, l'ISO 27001 pour la gouvernance et la certification, les contrôles CIS pour prioriser vos actions techniques, et BiocRM pour votre analyse de risque. et Mitre Attack pour valider l'efficacité de vos contrôles. Chaque référentiel apporte une pièce différente du puzzle. Un piège classique que je vois souvent, c'est de vouloir tout faire en même temps. Une organisation qui découvre l'univers des référentiels de contrôle se trouve submergée par l'ampleur de la tâche. Il faut résister à la tentation de tout implémenter d'un coup. Commencez par un référentiel, maîtrisez-le, puis élargissez progressivement. ROM ne s'est pas construite en un jour, et votre programme de cybersécurité non plus. Un autre piège, c'est de confondre conformité et sécurité. J'insiste là-dessus parce que c'est fondamental. Être conforme à un référentiel ne suffit pas à être sécurisé. Un référentiel, c'est un guide, pas une garantie. Vous pouvez avoir coché toutes les cases de votre checklist ISO 27000 et avoir une faille béante dans votre architecture parce que personne n'a pensé à tester un scénario d'attaque spécifique. Le référentiel vous aide à structurer votre démarche, mais il ne remplace ni l'intelligence humaine, ni la vigilance quotidienne, ni la capacité à s'adapter face à des menaces qui, elles, n'ont aucun référentiel à respecter. Enfin, n'oubliez jamais l'importance de la communication. Quel que soit le référentiel que vous choisissez, vous devrez le communiquer à votre direction, à vos équipes, à vos partenaires. Le NIST CSF est excellent pour ça, grâce à ses six fonctions intuitives. Les O27000 parlent aux clients et aux auditeurs. Les contrôles du CIS parlent aux équipes techniques. FAIR parle aux directeurs financiers. Choisissez le langage adapté à votre audience. Quelles sont les tendances actuelles ? Il y a quelques tendances fortes qui façonnent l'évolution de ces référentiels. La première, c'est la convergence. On voit de plus en plus d'initiatives de mapping entre les référentiels. Le NIST lui-même publie des correspondances entre le CSF, l'ESP800-53 et d'autres standards. Des outils permettent de montrer qu'un contrôle de l'ISO 27002 correspond à tel contrôle du CIS, qui correspond à telle exigence PCI DSS. L'objectif est d'éviter de refaire le travail à chaque fois qu'un nouveau référentiel s'applique à nouveau. La deuxième tendance, c'est le passage d'une logique de conformité à une logique d'efficacité. Pendant longtemps, l'objectif était de cocher des cases. Aujourd'hui, on se rend compte que la conformité ne garantit pas la sécurité. Vous pouvez être parfaitement conforme sur le papier ou vous faire pirater le lendemain. Les référentiels les plus récents, comme NISSAS FV2, insistent de plus en plus sur la mesure de l'efficacité réelle des contrôles, notamment par les exercices de simulation, de red teaming ou de tests de résilience. La troisième tendance, c'est l'intégration de la protection de la vie privée. Les réglementations comme RGPD en Europe ont rendu indissociable la cybersécurité et la protection des données personnelles. Le NIST SP 800-53 intègre désormais des contrôles de confidentialité et comme on l'a vu dans l'épisode précédent avec le NIST SP 800-50, les programmes de formation couvrent les deux disciplines simultanément. On ne peut plus penser l'un sans l'autre. Enfin, la quatrième tendance, c'est l'automatisation de la conformité. Avec l'infrastructure Ascode, le cloud computing et les outils de monitoring continu, il devient possible de vérifier en temps réel la conformité de votre système avec les contrôles définis. Plus besoin d'attendre un audit annuel pour découvrir que quelque chose est dérivé. Comme on en a parlé dans l'épisode sur la ordining, l'automatisation est la clé pour maintenir un niveau de sécurité constant dans le temps. Des plateformes comme OSCAL, le format standardisé du NIST pour décrire les contrôles de sécurité de manière lisible par les machines, ouvrent la voie à une conformité véritablement automatisée. On passe d'un monde où la conformité est mesurée par des audits ponctuels, souvent une à deux fois par an, à un monde où il est vérifié en continu, en temps réel. C'est un changement de paradigme aussi important que le passage de la photographie argentique à la photographie numérique. La boucle de rétroaction devient quasi instantanée. Revenons à Piri Reis et sa carte. Ce qui fait sa valeur, ce n'est pas qu'elle soit parfaite, elle ne l'est pas. Certaines proportions sont erronées, certaines cotes sont approximatives, mais elle est remarquablement utile parce qu'elle combine les meilleures connaissances disponibles en une représentation cohérente. Et savez-vous ce qui est le plus remarquable dans la démarche de Piri Reis ? Il a su reconnaître qu'aucune de ces sources n'était suffisante à elle seule. Les cartes arabes étaient excellentes pour la Méditerranée, mais lacunaires pour l'Atlantique. Les cartes portugaises couvraient bien les côtes africaines, mais ignoraient l'intérieur des terres. En croisant ces sources imparfaites, Piri Reis a produit quelque chose de bien supérieur à chacune d'entre elles individuellement. C'est le pouvoir de la synthèse, de la combinaison et de la complémentarité. C'est exactement ce que vous devez faire avec les référentiels de contrôle en cybersécurité. Ne cherchez pas le référentiel parfait, il n'existe pas. Prenez les meilleures cartes disponibles, comprenez leurs forces et leurs limites, et combinez-les pour créer votre propre représentation de votre territoire de risque. Et comme Piri Reis qui mettait à jour ses cartes au fil de ses voyages et de ses découvertes, mettez à jour votre programme de cybersécurité en permanence. Les menaces évoluent, les technologies changent, les réglementations se multiplient. Votre carte d'aujourd'hui ne sera plus exacte demain. C'est un travail continu, un voyage sans fin. Mais c'est aussi ce qui rend cette discipline passionnante. Alors la prochaine fois que quelqu'un vous demande quel est le meilleur référentiel de cybersécurité, répondez-lui comme le cartographe du XVIe siècle. Ça dépend de là où vous voulez aller, de ce que vous cherchez, et des mers que vous devez traverser. Le bon référentiel, c'est celui qui vous aide à naviguer dans votre propre réalité. Encore merci d'avoir écouté cet épisode de la cybersécurité expliquée à ma grand-mère. N'hésitez pas à le liker, à le partager avec d'autres et à en parler autour de vous. Si vous êtes sur Spotify, vous pouvez... vous pouvez aussi donner votre avis et proposer des sujets qui vous semblent pertinents. Mais surtout, n'oubliez pas, pour certains, la cybersécurité est un enjeu d'une mort, c'est bien plus sérieux que ça.
