Nouvelles

Le modèle de maturité de la sécurité

24 novembre 2020

En début d’année, le CENTR a publié une mise à jour du modèle de maturité de la sécurité sur son site web. Ce modèle de maturité de la sécurité permet aux entreprises de vérifier leur niveau de maturité dans le domaine de la sécurité de l'information. Le but est de donner aux responsables de la politique de sécurité de l'information des "munitions" supplémentaires lorsqu'ils s'adressent à leur direction pour demander plus d'efforts dans le domaine de la sécurité.

Tout le monde peut utiliser le modèle gratuitement, à condition de fournir un retour d'information aux auteurs sur les modifications apportées au modèle. C’est à cette fin que nous avons demandé un accord de licence.

Cinq étapes dans la gestion des incidents

Notre modèle utilise la structure du cadre de cybersécurité du NIST (National Institute of Standards and Technology). Il s'articule autour des cinq étapes du processus de gestion des incidents. Le cadre de cybersécurité est un ensemble de lignes directrices qui doit aider les entreprises à mieux se préparer pour détecter les  cyberattaques et y répondre", explique Kristof Tuyteleers, responsable de la cybersécurité chez DNS Belgique.

  1. Établir : élaborer un cadre pour gérer les risques liés à la cybersécurité.
  2. Prévenir : prévenir les cyberincidents.
  3. Détecter : les détecter. C'est sans doute l'étape la plus difficile", déclare Kristof. Car il y a encore beaucoup d'organisations qui ne sont même pas au courant des incidents du fait que leur système de détection ne fonctionne pas correctement".
  4. Réagir : comment allez-vous réagir aux incidents de sécurité.
  5. Rétablir, c’est-à-dire reprendre vos activités normales après un incident. Qu'en avez-vous tiré comme leçon et qu'allez-vous faire pour éviter que l'incident se reproduise ?

Six niveaux de maturité

Dans le modèle de maturité de la sécurité, il y a six niveaux de maturité pour chacune de ces cinq étapes. ML0 (niveau de maturité 0) signifie non-existing : l’organisation ne fait rien dans le domaine de la sécurité. Les niveaux suivants sont incomplete, performed, managed & measured et improving. À ce niveau optimal, les processus sont évalués et adaptés aux besoins changeants.

Pour chaque niveau de maturité, l’entreprise reçoit un certain nombre d’énoncés, auxquels elle doit répondre par oui ou par non. Dès qu’elle répond non à un énoncé dans un domaine spécifique, elle retombe au niveau inférieur.

« Dans l'ensemble, il semble que notre communauté se soit améliorée par rapport à 2018 »

Kristof Tuyteleers

Une communauté en mouvement

En attendant, les chiffres sont connus concernant l'évaluation comparative que nous avons effectuée sur la base du modèle de maturité. Nous pouvons donc en tirer les premières conclusions prudentes. « Le but n’est pas d'examiner ici les résultats individuels, et encore moins de les publier. Mais dans l'ensemble, il semble que notre communauté se soit améliorée par rapport à 2018 », note Kristof.

« Dans de nombreux pays, dont la Belgique, il faut aujourd’hui être en mesure de démontrer que l’on a une politique de sécurité de l'information qui répond à une certaine norme, généralement l’ISO/IEC 27001 », explique Kristof. C'est aussi la raison pour laquelle established a fait tant de progrès : la gestion de la sécurité est un premier pas, mais c'est un pas que de nombreuses organisations ont désormais franchi, qu'elles y soient contraintes ou non.

Depuis 2018, le niveau de maturité est divisé en cinq étapes du modèle. La barre bleu clair indique les progrès réalisés.

Norme ISO

Le modèle donne une très bonne image de la mesure dans laquelle une entreprise est conforme à la législation NIS (Network and Information Security), car il établit une correspondance entre le contenu de la norme ISO et la structure du cadre de sécurité NIST. Chaque registre certifié ISO/IEC 27001 devrait atteindre au moins le niveau 3 (ligne de base sur l'image), selon Kristof.

La norme ISO pour la sécurité de l'information contient des exigences visant à démontrer que l'organisation améliore continuellement sa politique de sécurité. Notre modèle peut aider à identifier les domaines à améliorer et à planifier ce processus d’amélioration. Vous pourriez par exemple aborder les sous-aspects dont le niveau de maturité est le plus faible, ou un domaine dans lequel vous obtenez un score inférieur aux attentes.

« DNS Belgium utilise aussi ce modèle. Nous nous sommes engagés à réaliser au moins douze points d'amélioration chaque année », déclare Kristof. Cela devient de plus en plus difficile chaque année, car au début, on fait de grands progrès, mais ensuite, les points à améliorer deviennent de plus en plus limités. Bien sûr, le paysage de la sécurité est en constante évolution et de nouveaux risques apparaissent sans cesse. C'est pourquoi l'amélioration est toujours possible. Et le modèle nous aide à établir une "planification axée sur les objectifs".

Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.