Exploration du NIST Cybersecurity Framework
Même dans les périodes difficiles, le Cybersecurity Framework constitue un outil précieux pour la cyberdéfense. Aux côtés d’experts en cybersécurité, nous vous en disons plus sur cet instrument et vous en faisons découvrir de nouveaux aspects.
31 juillet 2025,texte Andreas Heer, image: Swisscom 4 min
Les professionnels de la cybersécurité et les CISO n’ont actuellement pas le temps de souffler. Comme le montre le Swisscom Cybersecurity Threat Radar, les entreprises doivent non seulement se protéger contre les menaces connues telles que les ransomwares, mais aussi faire sans cesse face à de nouvelles formes d’attaque visant d’autres cibles ou étant basées sur des schémas différents, comme pour les attaques DDoS. Pour y parvenir, elles peuvent constamment s’appuyer sur le NIST Cybersecurity Framework (CSF), selon lequel la cyberdéfense est un cycle permanent composé de cinq phases:
- Identify: identifier les environnements et données à protéger
- Protect: définir et mettre en œuvre des mesures de protection
- Detect: détecter les attaques
- Respond: réagir aux attaques
- Recover: restaurer les environnements et données touchés
Dans la version 2 du CSF, ces cinq phases sont chapeautées par la Governance, qui fait office de ligne directrice pour les différentes mesures.
En compagnie d’experts en cybersécurité, nous vous faisons découvrir le Framework ainsi que des aspects et tâches moins connus de cet outil – ses «petits secrets», comme on dit dans le domaine des voyages.
1re étape: identifier les éléments à protéger
Il s’agit dans un premier temps d’obtenir une vue d’ensemble: «La cyberdéfense implique de relever de nombreux défis de taille, explique Cyrill Peter, Head of Cyber Security Services chez Swisscom B2B. Les techniques d’attaque sont aussi complexes que diverses, et il faut raccourcir toujours plus le temps de réaction.»
Dans ces conditions, une entreprise qui souhaite se protéger efficacement doit d’abord savoir ce qu’elle veut préserver. Il s’agit donc d’identifier les données, applications et processus critiques et de définir des priorités, comme l’explique Marco Wyrsch, CSO de Swisscom: «Je dois impérativement savoir où sont enregistrées mes données critiques – en interne et chez les fournisseurs – et à quelles menaces je m’expose.» Andrew Campell, Head of Specialised Sales Cybersecurity chez Swisscom, indique quant à lui: «Pour répondre à leurs besoins actuels en matière de sécurité et adopter une posture de sécurité adéquate, les entreprises doivent agir sur plusieurs niveaux. Cela implique tout d’abord d’avoir conscience de la situation actuelle, ce qui requiert de réaliser régulièrement des audits de sécurité et des évaluations des risques.»
2e étape: mettre en œuvre des mesures de protection
Après avoir identifié les éléments devant être protégés, il faut mettre en œuvre des mesures de sécurité ad hoc. La deuxième étape du voyage consiste à garantir une protection de base faisant office de rempart contre les cyberattaques. Ces mesures doivent dès le début être intégrées aux réflexions, par exemple dans le cadre du développement de logiciels et d’infrastructures, comme le souligne Stephanie Ramseyer, Security Solution Architect chez Swisscom: «Mon travail débute bien avant la phase de développement proprement dite. Nous commençons par réunir des développeurs ainsi que des product managers et des responsables produits pour déterminer ce qui pourrait faire l’objet d’une attaque.»
Mais la technologie ne fait pas tout: «L’être humain joue un rôle essentiel dans la cyberrésilience, précise Duilio Hochstrasser, expert en sécurité chez Swisscom. Il y a d’une part le comportement du personnel au quotidien, et d’autre part la planification et la mise en œuvre de mesures par les experts en sécurité, qui se chargent également de repousser les cyberattaques.»
En tant que première ligne de défense contre ces dernières, les collaboratrices et collaborateurs complètent les mesures techniques et organisationnelles. Une culture de la sécurité est donc indispensable, comme le souligne Fawsiya Cade, Security Consultant chez Swisscom: «La culture de la sécurité ne cesse de gagner en importance en raison de la situation géopolitique actuelle et des évolutions constantes liées à la digitalisation. Il est essentiel que les entreprises instaurent une culture encourageant leur personnel à identifier les risques, à agir de manière responsable et à garantir la sécurité au quotidien.» Après cette étape culturelle, il est temps de poursuivre notre voyage.
3e étape: détecter les cyberattaques
Le temps joue un rôle crucial à cette étape. En effet, il est fréquent que les cybercriminels examinent tranquillement le réseau de l’entreprise avant d’agir. Ce «mouvement latéral» vise à identifier les données importantes et à obtenir des droits d’accès aussi vastes que possible pour récupérer et crypter les données.
«Aujourd’hui, une détection précoce des attaques est essentielle à une cyberdéfense efficace», explique Oliver Stampfli, Head of Cyberdefence B2B chez Swisscom. Elle permet de prévenir d’importants dommages. «Il est donc primordial de disposer de systèmes de détection adéquats», ajoute Andrew Campbell.
4e étape: repousser les cyberattaque
Nous voici arrivés à l’étape-clé de notre voyage, qui repose sur la compétence des «cracks» que sont les spécialistes de la réponse aux incidents. Les approches modernes en matière de cyberdéfense partent du principe que le hacker a déjà pénétré dans le réseau. Le paradigme «Assume the breach» implique l’impossibilité de prévenir complètement les cyberattaques. Mais le fait de repousser une attaque à l’aide de moyens techniques ne constitue qu’une partie du travail. Une communication adéquate est tout aussi importante. Comme l’indique Marco Wyrsch: «Nous parlons des incidents en interne, mais aussi aux clients, fournisseurs et partenaires concernés.»
Dans une telle situation, il est toutefois essentiel que des moyens de communication soient disponibles. «La réponse aux incidents peut avoir des conséquences surprenantes», explique Alexander Odenthal, Group Information Security Officer chez Swiss Life. «Par exemple l’indisponibilité de l’environnement de messagerie instantanée habituel, qui intègre également la téléphonie. Il est donc essentiel de tester ces scénarios au préalable.»
5e étape: assurer le rétablissement de l’exploitation
Des entreprises indiquent régulièrement que, plusieurs semaines ou mois après une cyberattaque, la situation n’est toujours pas revenue à la normale. Pour bien gérer cette étape, il est important de s’y être préparé. Marco Wyrsch résume cela de la façon suivante: «Il faut réaliser des tests, s’exercer et se tenir prêt.»
Les sauvegardes, et surtout la restauration des données et des systèmes, jouent un rôle essentiel dans ce cadre. «Une qualité insuffisante des sauvegardes ou leur indisponibilité à la suite d’une cyberattaque et la complexité du processus de restauration peuvent réserver quelques surprises», précise Alexander Odenthal.
Étape supplémentaire: Governance et gestion des risques
La cyberdéfense est inefficace si elle n’est pas pilotée de manière adéquate. C’est pour cette raison que, dans le Cybersecurity Framework 2.0, la Governance chapeaute l’ensemble des étapes. Cela suppose d’impliquer également la direction, comme l’explique Marco Wyrsch: «Les investissements réalisés dans la cybersécurité ne porteront pas leurs fruits si la direction ne déploie pas un bouclier de protection en assumant la responsabilité de ce domaine.» Pour Pascal Lamia, cela s’applique quel que soit le modèle d’exploitation de l’IT: «Même si l’IT fait l’objet d’une externalisation, la direction doit se demander si elle agit suffisamment en faveur de la cybersécurité et si les données de la clientèle sont bien protégées.»
Cela implique de gérer les risques de manière adéquate – et ce, avant qu’un incident ne survienne, comme l’explique Georgia Fotaki, Information Security Governance Manager chez Swisscom: «La gestion des risques consiste non seulement à réagir, mais aussi à anticiper ce qui va se passer, à être en mesure de s’adapter et à améliorer la résilience dans tous les domaines.»
La garantie de la cyberrésilience signe la fin de notre voyage. Mais les entreprises ne doivent pas pour autant se reposer sur leurs lauriers. En effet, le réexamen de la posture de sécurité constitue une tâche récurrente dans le cadre de la cyberdéfense. Cela explique pourquoi notre «boussole» qu’est le Cybersecurity Framework est représentée sous la forme d’un cycle.