Les risques liés à l’Intelligence Artificielle (Artificial Intelligence) doivent être analysés rigoureusement, notamment pour répondre aux exigences légales, par exemple le prochain règlement européen. Il s’agit aussi pour une entreprise de démontrer son niveau de responsabilité et de durabilité sociétales. Les méthodes d’analyse de risque comme EBIOS RM ou FAIR, les référentiels comme NIST 800-37, ISO 31000, ISO 27005 ou ISACA fournissent un cadre général. Le NIST a développé AI RMF, un référentiel qui fournit des recommandations pour analyser les risques liés à l’Intelligence Artificiel. La définition d’un système utilisant l’IA est issue de l’ISO 22989 (concepts et terminologie relatifs à l’intelligence artificielle). Cette définition de l’IA met en avant les prédictions, recommandations ou décisions en mesure d’influencer des environnements réels ou virtuels.
Le référentiel 800-53 est un document important produit et mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et de la sécurité associée. C’est aussi un document central pour les certifications de sécurité Cloud de type FedRamp. Au-delà des Etats-Unis, ce référentiel est beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework et du référentiel CIS.
Le SSDF (Secure Development Framework)du NIST propose des bonnes pratiques pour mettre sous contrôle son cycle développement, à l’instar d’autres référentiels comme celui de SAFECode, de BSIMMou de l’ISO 27034. Le contenu du référentiel est orienté sur l’organisation, les compétences et les outils à mettre en place, les protections contre les accès non autorisés aux composants, les pratiques de développant pour minimiser les vulnérabilités et les réponses en cas de détection de failles. Le référentiel répond à la section 4 du document fédéral signé par le Président des Etats-Unis sur l’amélioration de la Cybersécurité. Il répond aussi à l’augmentation des risques liés à la sous-traitance : voir à ce sujet l’ISO 27036et le SCRM.
Le NIST 800-37 décrit le cadre de gestion des risques et fournit des lignes directrices pour l’appliquer. Il est par exemple utilisé aux Etats-Unis pour les homologations Cloud FedRamp et les conformités FISMA. RMF est complété par le guide d’évaluation des cyber risques NIST 800-30. Le NIST a développé AI RMF, un référentiel particulier pour les risques liés à l'Intelligence Artificielle.
Le référentiel NIST 800-61 propose des bonnes pratiques pour mettre en œuvre un processus de réponse aux incidents de cybersécurité. Les recommandations de ce document sont particulièrement utiles pour mettre en place un SOC et un CSIRT. Il complète les recommandations issues des normes ISO 27035. Aux Etats-Unis, la mise en place d’un processus de réponse aux incidents est par exemple imposée aux agences publiques au travers de la conformité FISMA. Autre exemple en France, l’obligation des organismes soumis aux réglementations des activités d’importance vitale de déclarer les incidents à l’ANSSI.
Le NIST 800-70 est un guide destiné aux professionnels de la cybersécurité qui utilisent et développent des check-lists. Il s’agit de documents qui contiennent des instructions ou des procédures pour configurer un composant informatique dans son environnement opérationnel. Appelés aussi guides de durcissement, ils permettent de minimiser la surface d’attaque, réduire les vulnérabilités et limiter les impacts des attaques réussies.
Plusieurs études ainsi que les retours d’expériences des grands donneurs d’ordre mettent en avant le manque de ressources humaines en cybersécurité. CISO, architectes, chefs de projets, analystes SOC, spécialistes analyses de risques, auditeurs, investigateurs numériques : compétences et expériences attendues sont très différentes suivant les postes. Des référentiels existent pour décrire, catégoriser et mesurer les niveaux requis. Ils complètent à cet égard les nombreuses certifications professionnelles disponibles dans ce domaine, massivement utilisées depuis longue date aux Etats-Unis et depuis quelques années en Europe. Ces référentiels et certifications sont des sources très utiles pour les groupes de toute taille qui souhaite formaliser leur grille de métiers en cybersécurité et proposer à leurs employés des parcours de formation.
