Le Risk Management Framework (RMF) est un ensemble de critères qui dictent la façon dont les systèmes informatiques du gouvernement des États-Unis doivent être architecturés, sécurisés et surveillés.

initialement développé par le Département de la Défense (DoD), le RMF a été adopté par le reste des systèmes d’information fédéraux américains en 2010. Aujourd’hui, le National Institute of Standards and Technology (NIST) maintient le NIST et fournit une base solide pour toute stratégie de sécurité des données.,

Le RMF s’appuie sur plusieurs cadres de gestion des risques précédents et comprend plusieurs processus et systèmes indépendants. Il exige que les entreprises mettent en œuvre des systèmes de gouvernance des données sécurisés et effectuent une modélisation des menaces pour identifier les zones de cyber-risque.

dans ce guide, nous vous expliquerons tout ce que vous devez savoir sur le RMF. Nous allons décomposer les composants du framework en plusieurs sections:

• Qu’est-ce que le RMF?,
• Les 5 composantes de la gestion des risques
• Les 6 étapes du RMF
• Les avantages du RMF pour les entreprises
• Comment Varonis peut vous aider à devenir conforme au RMF

Qu’est-ce que le cadre de gestion des risques?

Le concept général de « gestion des risques” et le « cadre de gestion des risques” peuvent sembler assez similaires, mais il est important de comprendre la distinction entre les deux. Le processus de gestion des risques est spécifiquement détaillé par le NIST dans plusieurs cadres subsidiaires.

le plus important est l’élégamment intitulé « NIST SP 800-37 Rev.,1 », qui définit le RMF comme un processus en 6 étapes pour concevoir et concevoir un processus de sécurité des données pour les nouveaux systèmes informatiques, et suggère les meilleures pratiques et procédures que chaque organisme fédéral doit suivre lors de l’activation d’un nouveau système.,

en plus du document principal SP 800-37, le RMF utilise les documents supplémentaires SP 800-30, SP 800-53, SP 800-53a et SP 800-137:

• NIST SP 800-30, intitulé Guide for Conducting Risk Assessments, donne un aperçu de la façon dont la gestion des risques s’intègre dans le cycle de vie du développement du système (SDLC) et décrit comment effectuer des évaluations des risques et comment atténuer les risques.
• NIST SP 800-37 traite du cadre de gestion des risques lui-même et contient une grande partie de l’information que nous couvrirons dans le reste du présent guide.,
• enfin, la norme NIST SP 800-39, intitulée Managing Information Security Risk, définit l’approche à plusieurs niveaux de la gestion des risques à l’échelle de l’organisation, essentielle pour atteindre la conformité avec le RMF.

les 5 composantes de gestion des risques

lors de la mise en route avec le RMF, il peut être utile de diviser les exigences de gestion des risques en différentes catégories. Ces catégories fournissent un moyen de travailler à un système de gestion des risques efficace, de l’identification des risques les plus critiques auxquels vous êtes confronté à la façon dont vous les atténuerez.,

Identification des risques

la première partie, et sans doute la plus importante, du CGR consiste à effectuer l’identification des risques. Selon le NIST,  » les facteurs de risque typiques incluent la menace, la vulnérabilité, l’impact, la probabilité et la condition prédisposante.” Au cours de cette étape, vous allez réfléchir à tous les risques possibles que vous pouvez imaginer sur tous vos systèmes, puis les hiérarchiser en utilisant différents facteurs:

• Les menaces sont des événements qui pourraient potentiellement nuire à l’organisation par intrusion, destruction ou divulgation.,
• Les vulnérabilités sont des faiblesses dans les systèmes informatiques, la sécurité, les procédures et les contrôles qui peuvent être exploitées par de mauvais acteurs (internes ou externes).
• L’Impact est une mesure de la gravité du préjudice causé à l’organisation si une vulnérabilité ou une menace particulière est compromise.
• la Probabilité est une mesure du facteur de risque en fonction de la probabilité d’une attaque sur une vulnérabilité spécifique.,
• Les conditions prédisposantes sont un facteur spécifique au sein de l’organisation qui augmente ou diminue l’impact ou la probabilité qu’une vulnérabilité entre en jeu.

mesure et évaluation des risques

Une fois que vous avez identifié les menaces, les vulnérabilités, l’impact, la probabilité et les conditions prédisposantes, vous pouvez calculer et classer les risques auxquels votre organisation doit faire face.

atténuation des risques

les organisations prennent la liste classée précédente et commencent à comprendre comment atténuer les menaces de la plus grande à la plus petite., À un moment donné de la liste, l’organisation peut décider que les risques inférieurs à ce niveau ne valent pas la peine d’être traités, soit parce qu’il y a peu de chances que cette menace soit exploitée, soit s’il y a trop de menaces plus importantes à gérer immédiatement pour intégrer les menaces faibles dans le plan de travail.

rapports et surveillance des risques

Le CGRR exige que les organisations tiennent à jour une liste des risques connus et surveillent les risques connus pour assurer leur conformité aux politiques., Les statistiques sur les violations de données indiquent que de nombreuses entreprises ne signalent toujours pas toutes les attaques réussies auxquelles elles sont exposées, ce qui pourrait avoir un impact sur leurs pairs.

gouvernance des risques

Enfin, toutes les étapes ci-dessus devraient être codifiées dans un système de gouvernance des risques.

les 6 étapes du cadre de gestion des risques (CGRR)

au niveau le plus général, le CGRR exige des entreprises qu’elles identifient les risques liés aux systèmes et aux données auxquels elles sont exposées et qu’elles mettent en œuvre des mesures raisonnables pour les atténuer., Le CGR décompose ces objectifs en six étapes interconnectées mais distinctes.

catégoriser les systèmes D’Information

• utilisez les normes NIST pour catégoriser l’information et les systèmes afin de pouvoir fournir une évaluation précise des risques de ces systèmes.
• le NIST vous indique quels types de systèmes et d’informations vous devez inclure.
• et quel niveau de sécurité vous devez implémenter en fonction de la catégorisation.

Références: la Publication FIPS 199, les Normes de Sécurité de la Catégorisation de l’Information Fédérale et des Systèmes d’Information; Publication Spéciale 800-60 Rév., 1 (Volume 1, Volume 2), Guide pour la Cartographie des Types d’Information et les Systèmes d’Information de Sécurité Categorie

Sélectionnez les Contrôles de Sécurité

Sélectionnez les contrôles de sécurité appropriés à partir de la publication du NIST 800-53 afin de « faciliter une plus cohérentes, comparables et reproductibles approche pour la sélection et la spécification des contrôles de sécurité pour les systèmes. »

références: Publication spéciale 800-53 contrôles de sécurité et de protection des renseignements personnels pour les systèmes D’Information et les organisations fédérales ed. remarque la version mise à jour de 800-53 entrera en vigueur le 23 septembre 2021. Restez à l’écoute pour plus de détails.,

mettre en œuvre des contrôles de sécurité

mettez en place les contrôles que vous avez sélectionnés à l’étape précédente et documentez tous les processus et procédures dont vous avez besoin pour maintenir leur fonctionnement.

références: plusieurs publications fournissent les meilleures pratiques pour mettre en œuvre des contrôles de sécurité. Consultez cette page pour les rechercher.

évaluer les contrôles de sécurité

assurez-vous que les contrôles de sécurité que vous avez mis en œuvre fonctionnent comme ils le doivent afin de limiter les risques pour votre exploitation et vos données.,

autoriser les systèmes D’Information

Les contrôles de sécurité fonctionnent-ils correctement pour réduire les risques pour l’organisation? Alors ce contrôle sur ce système est autorisé! Bravo!

références: Publication spéciale 800-37 Rev.2 Cadre de gestion des risques pour les systèmes D’Information et les organisations: une approche du cycle de vie des systèmes pour la sécurité et la confidentialité

surveiller les contrôles de sécurité

surveiller et évaluer en permanence l’efficacité des contrôles de sécurité et apporter des modifications pendant le fonctionnement pour assurer l’efficacité de ces systèmes., Documentez tout changement, effectuez une analyse d’impact régulière et signalez l’état des contrôles de sécurité à vos responsables désignés.

Références: Publication Spéciale 800-37 Rév. 2 Cadre de Gestion des Risques pour les Systèmes d’Information et des Organisations: Une Approche du Cycle de Vie pour la Sécurité et la Confidentialité

Comment Peut-Efficace de Gestion du Risque Cadre de Prestations d’Une Entreprise?

bien que le RMF soit une exigence pour les entreprises travaillant avec le gouvernement américain, la mise en œuvre d’un système de gestion des risques efficace peut bénéficier à toutes les entreprises., L’objectif ultime de la mise en conformité du RMF est la création d’un système de gouvernance des données et des actifs qui fournira une protection complète contre tous les cyberrisques auxquels vous êtes confrontés.

plus précisément, le développement d’un cadre pratique de gestion des risques procurera à une entreprise plusieurs avantages spécifiques:

protection des actifs

Un cadre efficace de gestion des risques donnera la priorité à la compréhension des risques auxquels votre entreprise est confrontée pour prendre les mesures nécessaires pour protéger vos actifs et votre entreprise., Cela signifie qu’un cadre complet de gestion des risques vous aidera à protéger vos données et vos actifs.

gestion de la réputation

La gestion de la réputation est un élément essentiel des pratiques commerciales modernes, et limiter les conséquences néfastes des cyberattaques fait partie intégrante de la protection de votre réputation. Aux États-Unis, les consommateurs sont de plus en plus conscients de l’importance de la confidentialité des données, pas seulement parce que les lois américaines sur la confidentialité deviennent de plus en plus strictes. Une violation de données nuira à la réputation de votre entreprise., Un cadre de gestion des risques efficace peut aider les entreprises à analyser rapidement les lacunes dans les contrôles au niveau de l’entreprise et à élaborer une feuille de route pour réduire ou éviter les risques liés à la réputation.

protection de la propriété intellectuelle

presque toutes les entreprises ont une propriété intellectuelle qui doit être protégée, et un cadre de gestion des risques s’applique autant à cette propriété qu’à vos données et actifs. Si vous vendez, offrez, distribuez ou fournissez un produit ou un service qui vous donne un avantage concurrentiel, vous êtes exposé à un vol potentiel de propriété intellectuelle., Un cadre de gestion des risques aide à protéger contre les pertes potentielles d’avantage concurrentiel, d’opportunités commerciales et même de risques juridiques.

analyse de la concurrence

enfin, l’élaboration d’un cadre de gestion des risques peut avoir des effets bénéfiques sur le fonctionnement fondamental de votre entreprise. En cataloguant les risques auxquels vous êtes confrontés et en prenant des mesures pour les atténuer, vous collecterez également une mine d’informations précieuses sur le marché sur lequel vous opérez, ce qui, en soi, peut vous donner un avantage concurrentiel par rapport à vos pairs.

comment Varonis peut-il vous aider à être conforme?,

la réglementation NIST et le RMF (en fait, de nombreuses normes de sécurité des données et réglementations de conformité) ont trois domaines en commun:

• identifiez vos données et systèmes sensibles et à risque (y compris les utilisateurs, les autorisations, les dossiers, etc.);
• Protégez ces données, gérez l’accès et minimisez la surface de risque;
• surveillez et détectez ce qui se passe sur ces données, qui y accède et identifiez les comportements suspects ou les activités inhabituelles des fichiers.,

la plateforme de sécurité des données Varonis permet aux agences fédérales de gérer (et d’automatiser) de nombreuses recommandations et exigences du RMF.

DatAdvantage et Data Classification Engine identifie les données sensibles sur les magasins de données de base et mappe les autorisations des utilisateurs, des groupes et des dossiers afin que vous puissiez identifier où se trouvent vos données sensibles et qui peut y accéder. Savoir qui a accès à vos données est un élément clé de la phase d’évaluation des risques, définie dans la norme NIST SP 800-53.,

Data security analytics répond à l’exigence NIST SP 800-53 de surveiller en permanence vos données: Varonis analyse des milliards d’événements provenant de l’activité d’accès aux données, du VPN, du DNS et du proxy, et D’Active Directory et crée automatiquement des profils comportementaux pour chaque utilisateur et appareil. Les modèles de menaces basés sur l’apprentissage automatique identifient de manière proactive les comportements anormaux et les menaces potentielles telles que les ransomwares, les logiciels malveillants, les attaques par force brute et les menaces internes.

NIST SP 800-137 établit des lignes directrices pour protéger vos données et exige que l’agence respecte un modèle de moindre privilège., DatAdvantage surfaces où les utilisateurs ont un accès dont ils pourraient ne plus avoir besoin basé. Automation Engine peut nettoyer les autorisations et supprimer automatiquement les groupes d’accès globaux. DataPrivilege rationalise les autorisations et la gestion des accès en désignant les propriétaires de données et en automatisant les examens des droits.

bien que le cadre de gestion des risques soit complexe en apparence, il s’agit en fin de compte d’une approche logique et pragmatique des bonnes pratiques de sécurité des données-découvrez comment Varonis peut vous aider à respecter les directives NIST SP 800-37 RMF aujourd’hui.,

un dernier mot

travailler à la conformité RMF n’est pas seulement une exigence pour les entreprises travaillant avec le gouvernement américain. Si vous mettez en œuvre une stratégie d’évaluation des risques et de gouvernance efficacement, elle peut également vous apporter de nombreux avantages opérationnels.

l’objectif principal de vos processus RMF doit être l’intégrité des données, car les menaces pesant sur les données sont probablement les plus critiques auxquelles votre entreprise est confrontée. C’est pourquoi nous avons construit notre Suite logicielle Varonis avec des fonctionnalités qui vous permettent de mettre en œuvre rapidement et efficacement un processus d’évaluation des risques et de gouvernance.