Vous trouverez ici de l'aide pour comprendre comment choisir le bon Framework .
Dans le graphique ci-dessous, vous trouverez différents Framework infosec, leur spécialisation et l’étendue de leur couverture.
Par où commencer ?
– Les organisations doivent tenir compte du nombre de contrôles et de leur profil de risque.
– Plus le Framework auquel vous choisissez de vous aligner est robuste, plus la couverture de vos politiques et normes l’est aussi.
– Définissez vos exigences “indispensables” et “souhaitables”.
– Ces deux considérations se rejoignent pour répondre aux décisions de “conformité ou sécurité”.
Important à savoir – “L’analogie entre Coke et Pepsi”.
Quelle boisson gazeuse a le meilleur goût ? En général, c’est une question de préférences personnelles. Il en va de même pour le NIST et l’ISO.
Que pouvez-vous faire maintenant ?
– Parlez à votre service juridique et à votre service des achats, identifiez les réglementations et les obligations contractuelles.
– Discutez avec vos pairs du secteur
– Déterminez vos ressources disponibles
– Évaluez votre stratégie commerciale et informatique et vérifiez l’adoption nécessaire.
– Comprenez les exigences de votre client
– Identifier vos propres exigences
– Comprendre les principes de base et les différences
– Parlez à un expert
Hypothèse générale
NIST CSF < ISO 27001/2 < NIST 800-53
En Europe (et surtout en Allemagne), TISAX et BSI Grundschutz jouent également un rôle important. Il en va de même pour des lois comme IT-SIG 2.0 (une loi sur les infrastructures critiques) qui renvoie à des cadres individuels en fonction de votre secteur.
Dernières réflexions
Je commence cette semaine “conformité et cadres” par une brève comparaison des normes. Si les clients veulent commencer à suivre une norme mais ne savent pas laquelle choisir, nous commençons généralement par un atelier.
Ce qui est vraiment important, c’est votre feuille de route pour les 2 à 5 prochaines années. Au fur et à mesure que des cadres sont ajoutés, nous recommandons de commencer directement avec un outil (ou au moins une matrice) qui vous permet de faire des références croisées entre les normes. Sinon, nous voyons souvent des “îles” se développer (par exemple, le GDPR est séparé de la stratégie ISO 27001).
Quelle est votre norme préférée ?
P.S. : Il n’y a pas de bonne ou mauvaise norme, nous devons tous commencer quelque part. En général, la norme ISO est plus large que les autres normes axées sur la “cyber”.
