Le NIST CSF, la norme ISO 27001 et le paysage normatif : un guide accessible destiné aux équipes ESG
Trop de cadres, pas assez de clarté
L'une des principales sources de frustration pour les professionnels de l'ESG impliqués dans la gouvernance de la cybersécurité est la prolifération apparente de référentiels, de normes et de lignes directrices – chacun avec son propre acronyme, sa propre structure et ses propres défenseurs. NIST CSF. ISO 27001. ISO 27002. SOC 2. CIS Controls. COBIT. La liste est longue. On a parfois l'impression d'évoluer dans un environnement conçu pour semer la confusion plutôt que pour apporter des éclaircissements.
La bonne nouvelle, c'est que les principaux référentiels se complètent bien plus qu'ils ne se font concurrence. Comprendre leurs interactions – et la place de chacun dans un programme de gouvernance cohérent – est véritablement utile pour les professionnels de l'ESG qui doivent prendre en compte les risques liés à la cybersécurité sans pour autant devenir des spécialistes en la matière. Cet article propose une mise en perspective à cet égard, en mettant l'accent sur les deux référentiels les plus susceptibles d'intéresser les professionnels de l'ESG dans la pratique : le NIST CSF 2.0 et la norme ISO 27001.
NIST CSF 2.0 – le cadre de gestion des risques
Le NIST CSF 2.0 est un cadre de gestion des risques. Son objectif principal est d'aider les organisations à comprendre, évaluer, communiquer et gérer les risques liés à la cybersécurité de manière structurée et cohérente. Axé sur les résultats, il décrit ce à quoi ressemble une bonne gestion des risques liés à la cybersécurité, sans imposer les contrôles techniques spécifiques nécessaires pour y parvenir.
Cette orientation vers les résultats constitue l'un des principaux atouts de cette approche pour les professionnels de l'ESG. Cela signifie que le CSF 2.0 peut être appliqué à une organisation de toute taille, dans n'importe quel secteur et quelle que soit sa pile technologique. Il offre un langage commun pour aborder les risques liés à la cybersécurité, dont l'utilisation pertinente ne nécessite pas d'expertise technique. De plus, il s'intègre naturellement aux cadres de gestion des risques d'entreprise, ce qui facilite l'intégration des risques liés à la cybersécurité dans les processus plus larges de gouvernance des risques au sein desquels évoluent les professionnels de l'ESG.
Le CSF 2.0 se veut également explicitement non normatif en matière de mise en œuvre. Il indique les résultats à atteindre, mais pas la manière d'y parvenir. Cela signifie qu'il est conçu pour être utilisé en complément d'autres référentiels et normes – notamment la norme ISO 27001 – qui fournissent des orientations plus précises pour la mise en œuvre.
ISO 27001 – la norme relative aux systèmes de gestion
La norme ISO 27001 est une norme relative aux systèmes de gestion. Elle définit les exigences nécessaires à la mise en place, à la mise en œuvre, au maintien et à l'amélioration continue d'un système de gestion de la sécurité de l'information (SGSI). Contrairement au NIST CSF, la norme ISO 27001 donne lieu à une certification : les organisations peuvent solliciter une certification par un organisme tiers indépendant attestant que leur SGSI répond aux exigences de la norme. Cette certification est vérifiable et reconnue à l'échelle mondiale.
La norme ISO 27001 est plus normative que le NIST CSF. Alors que le CSF 2.0 stipule que les organisations doivent disposer de processus permettant d'identifier leurs actifs et d'évaluer leur exposition aux risques (fonction « Identifier »), la norme ISO 27001 définit des contrôles spécifiques et des exigences relatives au système de gestion – méthodologies d'évaluation des risques, plans de traitement, procédures documentées, processus d'audit interne, revue de direction – qui, ensemble, constituent un système de gestion opérationnel.
Concrètement, la différence est la suivante : la certification ISO 27001 atteste qu’une organisation a mis en place et maintient un ensemble spécifique de pratiques en matière de sécurité de l’information, conformément à une norme vérifiée. La conformité au NIST CSF démontre qu’une organisation comprend et gère ses risques de cybersécurité de manière structurée. Ces deux approches sont précieuses et, pour la plupart des organisations, elles sont complémentaires plutôt qu’alternatives.
Une façon utile d'envisager cette relation : le NIST CSF 2.0 vous indique où vous devez aller et vous fournit la carte. La norme ISO 27001 vous explique en détail comment y parvenir et vous donne les moyens de prouver que vous y êtes parvenu.
Comment ils travaillent ensemble
De nombreuses organisations utilisent le NIST CSF 2.0 comme cadre principal de gestion des risques liés à la cybersécurité – en s'appuyant sur ses six fonctions et les résultats associés pour structurer la manière dont elles identifient, évaluent et gèrent les risques cybernétiques – tout en recourant à la norme ISO 27001 comme norme de mise en œuvre de leur système de gestion de la sécurité de l'information. Ces deux cadres s'articulent bien l'un avec l'autre, et le NIST a publié des documents de référence qui expliquent clairement cette articulation.
Pour les professionnels de l'ESG, il est important de bien comprendre cette relation, car elle explique pourquoi une organisation peut faire référence aux deux. Une référence au NIST CSF dans une déclaration de gouvernance ou un rapport ESG indique que l'organisation utilise un cadre reconnu pour structurer sa gestion des risques liés à la cybersécurité. Une référence à la certification ISO 27001 indique que l'organisation a fait vérifier de manière indépendante que sa gestion de la sécurité de l'information répond à une norme spécifique. Les deux sont pertinentes et aucune ne rend l'autre superflue.
La norme ISO 27001 s'inscrit naturellement dans la famille plus large des systèmes de gestion ISO, que les professionnels de l'ESG connaissent sans doute déjà. Les normes ISO 9001 (management de la qualité), ISO 14001 (management environnemental), ISO 45001 (santé et sécurité au travail) et ISO 42001 (management de l'IA) partagent toutes la même structure de haut niveau que la norme ISO 27001 – une structure appelée « structure harmonisée » qui permet aux organisations d'intégrer plus facilement plusieurs systèmes de management plutôt que de les gérer de manière isolée.
Le rôle des autres normes
Par souci d'exhaustivité, il convient de mentionner brièvement la place qu'occupent dans ce paysage certains autres référentiels auxquels les professionnels de l'ESG peuvent être confrontés. SOC 2 est une norme de reporting élaborée par l'American Institute of Certified Public Accountants (AICPA) qui porte sur l'audit de la sécurité, de la disponibilité, de l'intégrité du traitement, de la confidentialité et de la protection de la vie privée des systèmes des organisations de services. Elle concerne principalement les fournisseurs de technologies et les prestataires de services cloud, et est couramment exigée dans le cadre des vérifications préalables de la chaîne d'approvisionnement.
Les « CIS Controls » constituent un ensemble hiérarchisé de bonnes pratiques en matière de cybersécurité élaboré par le Center for Internet Security. Très concrets et axés sur la mise en œuvre, ils s'avèrent utiles pour les organisations à la recherche de conseils techniques spécifiques. Ils s'alignent parfaitement sur le NIST CSF et peuvent être considérés comme un guide pratique de mise en œuvre des résultats attendus du CSF.
COBIT (Control Objectives for Information and Related Technologies) est un cadre de gouvernance destiné aux technologies de l'information d'entreprise, développé par l'ISACA. Plus large qu'un simple cadre de cybersécurité, il couvre l'ensemble de la gouvernance informatique, notamment l'alignement sur les objectifs commerciaux, la création de valeur, la gestion des risques et la mesure de la performance. Les professionnels de l'ESG ayant une expérience en matière de gouvernance trouveront sans doute la structure de COBIT familière.
Ce que les professionnels de l'ESG doivent réellement savoir
Pour la plupart des professionnels de l'ESG, il n'est ni nécessaire ni réaliste de posséder une expertise approfondie de l'un ou l'autre de ces cadres. Ce qu'il faut, c'est une maîtrise suffisante pour poser les bonnes questions, interpréter les réponses des équipes techniques et évaluer si la gouvernance en matière de cybersécurité d'une organisation répond aux attentes des parties prenantes.
Les questions les plus pertinentes qu'un professionnel ESG doit être en mesure de poser sont les suivantes : l'organisation utilise-t-elle un référentiel reconnu pour structurer sa gestion des risques liés à la cybersécurité – et si oui, lequel ? Détient-elle des certifications liées à la cybersécurité – telles que la norme ISO 27001 – et que couvrent ces certifications ? Comment les informations relatives aux risques de cybersécurité sont-elles transmises au conseil d'administration et à la direction ? Comment l'organisation gère-t-elle les risques de cybersécurité dans sa chaîne d'approvisionnement ? Et comment réagit-elle aux incidents de cybersécurité et comment s'en remet-elle ?
Ces questions correspondent directement aux six fonctions du NIST CSF 2.0 ainsi qu'aux exigences en matière de communication sur la gouvernance des principaux cadres de reporting ESG. Une organisation capable d'y répondre de manière claire et précise fait preuve du niveau de maturité en matière de gouvernance de la cybersécurité auquel les parties prenantes – investisseurs, régulateurs, clients et membres de la communauté – s'attendent de plus en plus.
Le paysage des normes n'a pas à être intimidant. Il s'agit d'une boîte à outils, et le rôle du professionnel ESG n'est pas de maîtriser tous les outils qu'elle contient, mais de savoir lesquels sont adaptés à quelles fins – et de poser les bonnes questions sur la manière dont ils sont utilisés.
Point clé : le NIST CSF 2.0 et la norme ISO 27001 sont complémentaires, et non concurrents. Le CSF 2.0 fournit le cadre de gestion des risques et un langage commun ; la norme ISO 27001 définit les exigences de mise en œuvre et prévoit une certification indépendante. Ensemble, ils décrivent ce à quoi ressemble une bonne gouvernance en matière de cybersécurité aux fins de la publication d'informations ESG.