Les risques liés à l’Intelligence Artificielle (Artificial Intelligence) doivent être analysés rigoureusement, notamment pour répondre aux exigences légales, par exemple le prochain règlement européen. Il s’agit aussi pour une entreprise de démontrer son niveau de responsabilité et de durabilité sociétales. Les méthodes d’analyse de risque comme EBIOS RM ou FAIR, les référentiels comme NIST 800-37, ISO 31000, ISO 27005 ou ISACA fournissent un cadre général. Le NIST a développé AI RMF, un référentiel qui fournit des recommandations pour analyser les risques liés à l’Intelligence Artificiel. La définition d’un système utilisant l’IA est issue de l’ISO 22989 (concepts et terminologie relatifs à l’intelligence artificielle). Cette définition de l’IA met en avant les prédictions, recommandations ou décisions en mesure d’influencer des environnements réels ou virtuels.

La maturité d'un CSIRT peut être mesurée à l'aide du référentiel SIM3 (Security Information Management) Maturity Model). Ce référentiel est proposé par la fondation OpenCSIRT à l’origine de la collaboration des CSIRT en Europe, au travers par exemple l’association TF-CSIRT. Le modèle SIM3 est requis pour l’autoévaluation des nouveaux membres du FIRST, association internationale de CSIRT. Ce référentiel peut aussi être utilisé pour évaluer l’efficacité de son processus global de gestion des incidents sous les angles prévention, détection, résolution et qualité.

Les standards américains FIPS (Federal Information Processing Standards) sont des normes et des lignes directrices pour les systèmes d’information des agences publiques, élaborées par le National Institute of Standards and Technology (NIST). De nombreuses entreprises privées utilisent aussi ces standards, par exemple les fournisseurs de Cloud public pour les modules HSM (Hardware Security Module) stockant les clés. Certains documents FIPS sont obligatoires pour les agences publiques américaines en application de la loi FISMA. La norme FIPS 140 spécifie les exigences de sécurité auxquelles doit satisfaire un module cryptographique. 

Le durcissement des environnements CI/CD (Continuous Integration/Continuous Delivery), souvent hébergés sur des environnements de Cloud public est vital compte tenu des impacts élevés an cas de compromission. Le référentielproposé par NSA/CISA peut aider à mettre en place des mesures efficaces pour les nombreuses entités qui travaillent en DevSecOps.

L 'Autorité bancaire européenne (European Bankin Authority) fait partie du système européen de surveillance financière avec les Autorités européennes des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP). Les lignes directrices sur la gestion des risques de cybersécurité et IT sont applicables depuis le 30 juin 2020 pour les institutions financières.

 L 'Autorité bancaire européenne (European Bankin Authority) fait partie du système européen de surveillance financière avec les Autorités européennes des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP). Cette autorité est à l’origine de plusieurs textes destinés au secteur bancaire. Ces dernières années, les institutions financières ont de plus en plus externalisé leurs activités pour réduire les coûts et d'améliorer leur flexibilité et leur efficacité. L’utilisation des services de Cloud par le secteur bancaire s’est ainsi intensifiée. Les lignes directrices de l’EBA précisent les critères d’externalisation et d’identification des fonctions critiques ou importantes ayant un impact élevé sur le profil de risque de l'institution financière ou sur son cadre de contrôle interne. Les lignes directrices donnent un cadre pour maitrise le risque lié à la sous-traitance de fonctions critiques ou importantes. En dehors du secteur bancaire, d’autres bonnes pratiques sont disponibles pour traiter les risques de sous-traitance, notamment sur les aspects de cybersécurité SCRM comme l’ISO 27036 ou le NISTIR 8276.

Le segment sol est une composante fondamentale de tout système de satellites. Il comprend divers éléments comme les centres de contrôle, les systèmes de dynamique de vol, les infrastructures (antennes, équipements de contrôle RF et télémétrie) et leurs interconnexions. Le NIST publie le référentiel IR 8401 pour appliquer le CSF à la sécurisation des systèmes sol satellitaires, notamment les satellites commerciaux de communications (COMSAT). Il se focalise sur la sécurisation des systèmes de contrôle des satellites : plateforme (bus) et charge utile (équipements nécessaires à la réalisation de la mission : transpondeurs pour les télécommunications, caméras pour la détection, télescope pour l’astronomie…). Ce référentiel fait suite à la directive américaine sur les principes de cybersécurité des systèmes spatiaux (SPD-5). Le Lien est fait entre les sous-catégories du CSF et le catalogue 800-53.

Le référentiel TIBER-UE a été mis en place par la Banque Centrale Européenne. Son objectif est d’organiser des exercices de cybercrises au travers des scénarios de type Red Team ou TLPT (Threat-Led Penetration Testing). TIBER-UE s’adresse aux institutions financières. Le règlement européen DORA préconise la généralisation de ces exercices pour simuler des attaques ciblées et améliorer les mesures de prévention, de détection et de réaction. TIBER-UE prévoit 3 étapes : préparation, test et plan de remédiation. Le prestataire externe qui conduit les tests doit inclure des recherches approfondies sur la cible débouchant sur un rapport CTI. Chaque régulateur peut adopter son référentiel national, TIBER-EU étant le référentiel « chapeau ».

Le règlement sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act) a été adopté fin 2022 pour une mise en application en 2025. Son objectif est d’harmoniser les règles de cybersécurité au niveau européen pour les institutions financières au sens large (dont les établissements de crédit et de paiement, les entreprises d’investissement, les entreprises d’assurance, les agences de notation, les sociétés de gestion, les institutions de retraite professionnelles…) et les prestataires tiers de services TIC. Des clauses de réexamen sont prévues par le règlement pour ajouter éventuellement les opérateurs de systèmes de paiement, les cabinets d’audit et les commissaires aux comptes aux entreprises concernées.

Les bonnes pratiques de réponse à incidents, par exemple le NIST 800-61 ou le standard ISO 27035 distinguent l’évènement de l’incident de sécurité. Pour avoir une chance de détecter les attaques ciblées et discrètes, il faut collecter le maximum d’informations, définir et tester des règles de corrélation que les analystes du SOC vont traiter. Le cadre OCSF (Open Cybersecurity Schema Framework) est un projet Open Source sous licence Apache 2.0. Il propose une normalisation des événements de sécurité pour faciliter l’interopérabilité entre les outils. Ce cadre est utilisé par exemple pour sécuriser les environnements du Cloud AWS au travers le service Security Lake. Ce service centralise les événements de sécurité. OCSF peut être utilisé en complément de la base de techniques d’attaques MITRE ATT&CK.

Le NIST 800-37 décrit le cadre de gestion des risques et fournit des lignes directrices pour l’appliquer. Il est par exemple utilisé aux Etats-Unis pour les homologations Cloud FedRamp et les conformités FISMA. RMF est complété par le guide d’évaluation des cyber risques NIST 800-30. Le NIST a développé AI RMF, un référentiel particulier pour les risques liés à l'Intelligence Artificielle. 

Le référentiel NIST 800-61 propose des bonnes pratiques pour mettre en œuvre un processus de réponse aux incidents de cybersécurité. Les recommandations de ce document sont particulièrement utiles pour mettre en place un SOC et un CSIRT. Il complète les recommandations issues des normes ISO 27035. Aux Etats-Unis, la mise en place d’un processus de réponse aux incidents est par exemple imposée aux agences publiques au travers de la conformité FISMA. Autre exemple en France, l’obligation des organismes soumis aux réglementations des activités d’importance vitale de déclarer les incidents à l’ANSSI.

La Cloud Security Alliance (CSA) est une association internationale très active dans la sécurité du Cloud. A l’origine de la certification STAR destinée aux fournisseurs de services Cloud, la CSA est aussi présente dans le domaine des certifications individuelles : CCSK, CCAK, en partenariat avec l’ISACA et CCSP en partenariat avec l’ISC(2). Les bonnes pratiques de sécurité Cloud publiées par la CSA constituent le document principal du programme de l’examen CCSK, complété par le référentiel des risques Cloud de l’ENISA et la CCM.

Adopté en 2019, le règlement européen relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications est plus connu sous la dénomination Cybersecurity Act. Ce règlement renforce le rôle de l’ENISA et définit un cadre pour les certifications cybersécurité.

L’agence fédérale allemande de cybersécurité BSI est à l’origine du catalogue C5 (Cloud Computing Compliance Criteria Catalogue), à l’instar de SecNumCloud pour la France. Le BSI a publié la première version de ce catalogue en 2016 pour évaluer la sécurité des services de Cloud. Outre les bonnes pratiques régulièrement mises à jour par le BSI (IT-GrundschutzKompendium), les référentiels ISO 27001, ISO 27002, ISO 27017 et CCM ont servi de base pour établir le catalogue C5. Il a fait l’objet d’une nouvelle version en 2020. Les principaux changements concernent DevOps, le règlement européen Cybersecurity Act, les modalités d’enquêtes administratives et judiciaires, les exigences clients, les audits. Le fournisseur de Cloud peut associer l’audit de conformité à d’autres démarches comme ISAE 3402 par exemple.

Les certifications « critères communs » (Common Criteria) sont un standard international pour certifier le niveau de sécurité d’un produit en prenant en compte la conception, le développement et la résistance aux attaques. Le processus de certification, piloté par les agences nationales de sécurité (ANSSI pour la France) est relativement long, un an à un an et demi. L’évaluation est menée par des laboratoires spécialisés (licensed laboratories). En France, les laboratoires CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information) sont accrédités par le COFRAC et agréés par l’ANSSI. Les certifications répondent à des besoins réglementaires, commerciaux ou contractuels. Les certifications peuvent concerner les solutions de cybersécurité et, plus largement, toutes les solutions offrant des fonctionnalités de sécurité (équipements réseaux, firewalls, cartes à puces, Hardware Security Module, automates programmables industriels, serveurs SCADA…).

TOGAF est proposé par l’association internationale Open Group. C’est un référentiel d’architecture d’entreprise qui fait le lien entre les processus métiers et les systèmes d’information. TOGAF vient historiquement de TAFIM (Technical Architecture Framework for Information Management) utilisé par le département de la défense américain. Le but des référentiels d’architecture d’entreprise est de disposer d’une vue globale des processus et des systèmes d’information de l’entité. Ces référentiels facilitent aussi bien la mise en œuvre des programmes de transformation que l’efficacité opérationnelle au quotidien. Bien que n’étant pas un référentiel focalisé sur la cybersécurité, TOGAF est au programme du CISSP, abordé dans le domaine 1 du programme. La mise en œuvre d’un référentiel d’architecture d’entreprise comme TOGAF est très bénéfique pour définir une gouvernance de la sécurité efficace. Zachman est un autre exemple de référentiel d’architecture. OpenGroup propose une certification TOGAF orientée sur la sécurité et les risques.

La gestion des vulnérabilités et de leurs correctifs fait partie des fondamentaux de la sécurité opérationnelle. Les CVE sont utilisés depuis longtemps pour identifier et catégoriser les vulnérabilités publiques. La première liste CVE a été lancée par un groupe de travail issu du MITRE en 1999, connu aussi pour son catalogue ATT&CK beaucoup utilisé en CTI. Le FIRST, association de CSIRT très actif dans le domaine des vulnérabilités publie et met à jour le système CVSS qui fixe une note de criticité pour chaque vulnérabilité en fonction de paramètres déterminés par les spécifications. Le FIRST propose aussi depuis 2019 l’indicateur EPSS (Exploit Prediction Scoring System) pour évaluer la vraisemblance qu’une vulnérabilité puisse être exploitée. Le modèle a été présenté lors d’un Black Hat aux Etats-Unis. L’objectif est de mieux prioriser les processus de remédiation qui peuvent être lourds dans des groupes aux systèmes d’information complexes et répartis dans de nombreuses filiales et pays. Ce type de scoring est un exemple de mesure quantitative du risque, mis en œuvre par exemple dans la méthode FAIR.

Le SSDF (Secure Development Framework) du NIST propose des bonnes pratiques pour mettre sous contrôle son cycle développement, à l’instar d’autres référentiels comme celui de SAFECode, de BSIMM ou de l’ISO 27034. Le contenu du référentiel est orienté sur l’organisation, les compétences et les outils à mettre en place, les protections contre les accès non autorisés aux composants, les pratiques de développant pour minimiser les vulnérabilités et les réponses en cas de détection de failles. Le référentiel répond à la section 4 du document fédéral signé par le Président des Etats-Unis sur l’amélioration de la Cybersécurité. Il répond aussi à l’augmentation des risques liés à la sous-traitance : voir à ce sujet l’ISO 27036 et le SCRM.

ISO 31000 fournit des bonnes pratiques pour la gestion des risques, quelque soit leur forme et quelque soit le secteur professionnel. C’est donc un cadre plus général que des méthodes qui se concentrent sur les risques cyber comme EBIOS Risk Manager, FAIR, ISO 27005 le référentiel de l’ISACA ou encore le RMF du NIST. ISO 31000 définit un risque comme l’effet de l’incertitude sur les objectifs. Cet effet peut être positif ou négatif. Il peut entrainer des opportunités ou des menaces. La finalité de la gestion des risques au sens de l’ISO 31000 est de créer et préserver de la valeur pour l’entité.