Les bonnes pratiques de réponse à incidents, par exemple le NIST 800-61 ou le standard ISO 27035 distinguent l’évènement de l’incident de sécurité. Pour avoir une chance de détecter les attaques ciblées et discrètes, il faut collecter le maximum d’informations, définir et tester des règles de corrélation que les analystes du SOC vont traiter. Le cadre OCSF (Open Cybersecurity Schema Framework) est un projet Open Source sous licence Apache 2.0. Il propose une normalisation des événements de sécurité pour faciliter l’interopérabilité entre les outils. Ce cadre est utilisé par exemple pour sécuriser les environnements du Cloud AWS au travers le service Security Lake. Ce service centralise les événements de sécurité. OCSF peut être utilisé en complément de la base de techniques d’attaques MITRE ATT&CK.

Le référentiel NIST 800-61 propose des bonnes pratiques pour mettre en œuvre un processus de réponse aux incidents de cybersécurité. Les recommandations de ce document sont particulièrement utiles pour mettre en place un SOC et un CSIRT. Il complète les recommandations issues des normes ISO 27035. Aux Etats-Unis, la mise en place d’un processus de réponse aux incidents est par exemple imposée aux agences publiques au travers de la conformité FISMA. Autre exemple en France, l’obligation des organismes soumis aux réglementations des activités d’importance vitale de déclarer les incidents à l’ANSSI.

Adopté en 2019, le règlement européen relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications est plus connu sous la dénomination Cybersecurity Act. Ce règlement renforce le rôle de l’ENISA et définit un cadre pour les certifications cybersécurité.

Les certifications « critères communs » (Common Criteria) sont un standard international pour certifier le niveau de sécurité d’un produit en prenant en compte la conception, le développement et la résistance aux attaques. Le processus de certification, piloté par les agences nationales de sécurité (ANSSI pour la France) est relativement long, un an à un an et demi. L’évaluation est menée par des laboratoires spécialisés (licensed laboratories). En France, les laboratoires CESTI (Centre d’Evaluation de la Sécurité des Technologies de l’Information) sont accrédités par le COFRAC et agréés par l’ANSSI. Les certifications répondent à des besoins réglementaires, commerciaux ou contractuels. Les certifications peuvent concerner les solutions de cybersécurité et, plus largement, toutes les solutions offrant des fonctionnalités de sécurité (équipements réseaux, firewalls, cartes à puces, Hardware Security Module, automates programmables industriels, serveurs SCADA…).

La gestion des vulnérabilités et de leurs correctifs fait partie des fondamentaux de la sécurité opérationnelle. Les CVE sont utilisés depuis longtemps pour identifier et catégoriser les vulnérabilités publiques. La première liste CVE a été lancée par un groupe de travail issu du MITRE en 1999, connu aussi pour son catalogue ATT&CK beaucoup utilisé en CTI. Le FIRST, association de CSIRT très actif dans le domaine des vulnérabilités publie et met à jour le système CVSS qui fixe une note de criticité pour chaque vulnérabilité en fonction de paramètres déterminés par les spécifications. Le FIRST propose aussi depuis 2019 l’indicateur EPSS (Exploit Prediction Scoring System) pour évaluer la vraisemblance qu’une vulnérabilité puisse être exploitée. Le modèle a été présenté lors d’un Black Hat aux Etats-Unis. L’objectif est de mieux prioriser les processus de remédiation qui peuvent être lourds dans des groupes aux systèmes d’information complexes et répartis dans de nombreuses filiales et pays. Ce type de scoring est un exemple de mesure quantitative du risque, mis en œuvre par exemple dans la méthode FAIR.

ISO 31000 fournit des bonnes pratiques pour la gestion des risques, quelque soit leur forme et quelque soit le secteur professionnel. C’est donc un cadre plus général que des méthodes qui se concentrent sur les risques cyber comme EBIOS Risk Manager, FAIR, ISO 27005 le référentiel de l’ISACA ou encore le RMF du NIST. ISO 31000 définit un risque comme l’effet de l’incertitude sur les objectifs. Cet effet peut être positif ou négatif. Il peut entrainer des opportunités ou des menaces. La finalité de la gestion des risques au sens de l’ISO 31000 est de créer et préserver de la valeur pour l’entité.

La norme ISO 27031 fournit des lignes directrices pour la préparation des TIC (technologies de la communication et de l’information) pour la continuité d’activité. Ce document fournit un cadre pour adapter les systèmes d’information aux besoins de continuité métiers. Cette norme est liée à la série ISO 22301 centrée sur les aspects continuité. La continuité informatique est une des composantes du programme de continuité des activités.

Les SOC (Security Operation Center), internes ou externalisés se concentrent sur la détection et la notification des incidents de sécurité. Les modalités de réponses aux incidents sont du ressort des équipes internes avec l’aide de services des CSIRT, par exemple pour les investigations numériques. Des bonnes pratiques issues des normes ISO 27035 ou du NIST SP 800-61 permettent de définir et de mettre en œuvre un processus efficace de détection et de réponse aux incidents de sécurité. Pour construire son SOC, on peut s’appuyer sur des référentiels comme le PDIS de l’ANSSI ou les bonnes pratiques publiées par l’ETSI.

La norme ISO 20000 spécifie les exigences pour établir, implémenter, maintenir et améliorer un système de management des services (SMS). Cette norme, en complément de la norme ISO 27001 et ISO 27018 (voir première et deuxième partie) est par exemple utilisée dans le cadre de la certification HDS (hébergeurs donnés de santé). ISO 20000 fait partie des normes à connaitre dans le cadre de la préparation à la certification CISSP. Pour être conforme à l’ISO 20000, le SMS doit obligatoirement respecter les exigences définies dans la norme, regroupées dans plusieurs domaines.

La cybersécurité des fournisseurs fait partie des risques majeurs à analyser et traiter. Le concept de SCRM est souvent évoqué et fait partie du programme de la certification CISSP. Le NIST a publié des bonnes pratiques dans son référentiel 8276. La série de normes ISO 27036 propose des guides et des bonnes pratiques pour sécuriser les relations avec ses fournisseurs.

Le NIST 800-37 décrit le cadre de gestion des risques et fournit des lignes directrices pour l’appliquer. Il est par exemple utilisé aux Etats-Unis pour les homologations Cloud FedRamp et les conformités FISMA. RMF est complété par le guide d’évaluation des cyber risques NIST 800-30.

La Cloud Security Alliance (CSA) est une association internationale très active dans la sécurité du Cloud. A l’origine de la certification STAR destinée aux fournisseurs de services Cloud, la CSA est aussi présente dans le domaine des certifications individuelles : CCSK, CCAK, en partenariat avec l’ISACA et CCSP en partenariat avec l’ISC(2). Les bonnes pratiques de sécurité Cloud publiées par la CSA constituent le document principal du programme de l’examen CCSK, complété par le référentiel des risques Cloud de l’ENISA et la CCM.

L’agence fédérale allemande de cybersécurité BSI est à l’origine du catalogue C5 (Cloud Computing Compliance Criteria Catalogue), à l’instar de SecNumCloud pour la France. Le BSI a publié la première version de ce catalogue en 2016 pour évaluer la sécurité des services de Cloud. Outre les bonnes pratiques régulièrement mises à jour par le BSI (IT-GrundschutzKompendium), les référentiels ISO 27001, ISO 27002, ISO 27017 et CCM ont servi de base pour établir le catalogue C5. Il a fait l’objet d’une nouvelle version en 2020. Les principaux changements concernent DevOps, le règlement européen Cybersecurity Act, les modalités d’enquêtes administratives et judiciaires, les exigences clients, les audits. Le fournisseur de Cloud peut associer l’audit de conformité à d’autres démarches comme ISAE 3402 par exemple.

TOGAF est proposé par l’association internationale Open Group. C’est un référentiel d’architecture d’entreprise qui fait le lien entre les processus métiers et les systèmes d’information. TOGAF vient historiquement de TAFIM (Technical Architecture Framework for Information Management) utilisé par le département de la défense américain. Le but des référentiels d’architecture d’entreprise est de disposer d’une vue globale des processus et des systèmes d’information de l’entité. Ces référentiels facilitent aussi bien la mise en œuvre des programmes de transformation que l’efficacité opérationnelle au quotidien. Bien que n’étant pas un référentiel focalisé sur la cybersécurité, TOGAF est au programme du CISSP, abordé dans le domaine 1 du programme. La mise en œuvre d’un référentiel d’architecture d’entreprise comme TOGAF est très bénéfique pour définir une gouvernance de la sécurité efficace. Zachman est un autre exemple de référentiel d’architecture. OpenGroup propose une certification TOGAF orientée sur la sécurité et les risques.

Le SSDF (Secure Development Framework) du NIST propose des bonnes pratiques pour mettre sous contrôle son cycle développement, à l’instar d’autres référentiels comme celui de SAFECode, de BSIMM ou de l’ISO 27034. Le contenu du référentiel est orienté sur l’organisation, les compétences et les outils à mettre en place, les protections contre les accès non autorisés aux composants, les pratiques de développant pour minimiser les vulnérabilités et les réponses en cas de détection de failles. Le référentiel répond à la section 4 du document fédéral signé par le Président des Etats-Unis sur l’amélioration de la Cybersécurité. Il répond aussi à l’augmentation des risques liés à la sous-traitance : voir à ce sujet l’ISO 27036 et le SCRM.

L’association ISACA est un acteur reconnu dans le domaine de la gouvernance IT. Créée en 1969 par un groupe d’auditeurs, l’ISACA est présente mondialement. Cette association est à l’origine du référentiel COBIT et propose plusieurs certifications professionnelles comme CISA en audit ou CRISC pour les risques. Le référentiel de gestion des risques IT de l’ISACA a été mis à jour récemment. Il traite l’ensemble des risques IT auxquels une entreprise est confrontée. Le référentiel comprend trois documents principaux : une description du cadre, un guide de mise en œuvre et des exemples de scénarios de risques.

Le standard PCI DSS (Payment Card Industry Data Security Standard) est développé par PCI pour renforcer la sécurité des données de titulaires de cartes bancaires. PCI a été fondée par American Express, Discover, JCB International, MasterCard et Visa. PCI DSS s’applique aux entités qui traitent des cartes de paiement, que ce soit en tant que commerçants, acquéreurs, émetteurs ou prestataires de services et plus généralement à toutes les entités qui stockent, traitent ou transmettent les données « cartes bancaires ». Ce standard est au programme du CISSP, notamment dans le domaine 1 ainsi que des certifications de sécurité du Cloud CCSP et CCSK. Le standard PCI DSS a été revu en mars 2022 : voir les principaux changements entre PCI DSS v4 et v3.2.1.

La norme ISO 27002 est la référence pour mettre en œuvre les mesures de traitement des risques de cybersécurité dans un système de management de la sécurité de l'information (SMSI) basé sur l’ISO 27001. Il peut aussi être utilisé comme un catalogue de mesures à l’instar du NIST 800-53, de la CCM pour les environnements Cloud ou le référentiel CIS. Les exigences de sécurité proviennent des analyses de risques, des éléments de conformité (légale, statutaire, réglementaire, clients) et des objectifs métiers. En anglais le terme « control » dans la norme ISO 27002 est défini comme une mesure qui modifie ou maintient le risque. Une politique de sécurité, par exemple, ne peut que maintenir le risque, alors que la conformité à la politique de sécurité de l'information peut modifier le risque. La norme ISO 27017 est une extension de la norme ISO 27002 pour les environnements Cloud.

Le CAIQ (Consensus Assessments Initiative Questionnaire) s’aligne sur les spécifications de la CCM. Ce questionnaire permet d’aider les organisations à conduire leurs autoévaluations pour tester leur conformité vis-à-vis de la matrice de mesures CCM. Il est développé pour la certification STAR, niveau 1 de la Cloud Security Alliance. STAR 2 requiert des audits indépendants et STAR 3 des audits continus. Les fournisseurs de services Cloud certifiés STAR sont répertoriés dans le registre de la CSA. La connaissance du CAIQ fait partie du programme des certifications individuelles CCSK et CCSP.

La certification individuel CCSP de l’ISC⁽²⁾ (Certified Cloud Security Professional) fournit l’assurance qu’un professionnel de la cybersécurité possède les connaissances, les compétences et les savoir-faire pour intervenir sur des projets et des environnements de Cloud privés et publics. Pour passer l’examen, il faut maîtriser les référentiels liés à plusieurs domaines : architecture, conception, opération et orchestration. La réglementation et la conformité sont aussi des éléments indispensables à connaître. Le programme de l’examen est revu tous les trois ans. Il est articulé en six domaines : architecture et conception, sécurité des données, sécurité des infrastructures, sécurité applicative, sécurité des opérations, conformité – risques et aspects légaux. Comme le CISSP, la certification CCSP est conforme aux exigences de l’ISO 17024. Pour être certifié il faut un minimum de cinq années d’expérience professionnelle dont trois ans en cybersécurité et un an dans au moins un domaine du programme. Les titulaires de la certification CCSK peuvent s’abstenir de justifier de cette expérience d’un des six domaines.