Nouvelle année, nouvelles priorités technologiques

En février 2021, le National Institute of Standards and Technology («NIST»), qui est une subdivision du Département du commerce du gouvernement des États-Unis, a annoncé ses neuf priorités pour l’année à venir.

Bien que ses directives soient volontaires, les entreprises seraient bien avisées de suivre l’exemple du NIST, car il est devenu la norme de référence en matière de conformité générale en matière de confidentialité et de sécurité des données aux États-Unis.

Que les chefs d’entreprise souhaitent que leurs régulateurs restent indifférents, que leurs clients soient satisfaits ou que leur marque soit forte en ce qui concerne la confidentialité et la sécurité des données, ils auront besoin de connaître les nouveaux objectifs du NIST.

Amélioration de la gestion des risques de cybersécurité

La première priorité du NIST sera d’améliorer la gestion des risques, et il y a une raison pour laquelle cela est probable en premier: il devrait y avoir parcelle d’action dans cet espace en 2021 sur la base des événements récents. Le NIST attirant l’attention sur l’amélioration de la gestion des risques fait suite à l’appel de John Katko, membre de rang du Comité de la sécurité intérieure de la Chambre des représentants, à réorganiser les marchés publics fédéraux et l’approche du gouvernement en matière de cybersécurité à la suite de l’activité d’espionnage étrangère qui a violé les systèmes gouvernementaux via un logiciel tiers fournisseur faisant partie de la chaîne d’approvisionnement technologique globale du gouvernement fédéral. Une autre brèche distincte mais similaire a également été découverte – celle-ci probablement orchestrée par des acteurs malveillants associés à un gouvernement étranger différent.

Reconnaissant l’appétit politique pour les réformes des risques de la chaîne d’approvisionnement et la nécessité d’éviter de telles violations de la cybersécurité à l’avenir, le NIST ouvre son cadre de cybersécurité aux commentaires du public et propose des révisions à sa publication sur la gestion des risques de la chaîne d’approvisionnement dans les systèmes d’information et les organisations fédérales.

Les entreprises qui participent (ou souhaitent participer) à des contrats d’approvisionnement avec le gouvernement des États-Unis devraient être proactives à la fois pour commenter le cadre de cybersécurité du NIST et commencer à ajuster et à aligner leurs opérations de chaîne d’approvisionnement technologique sur les normes du NIST.

Doubler la confidentialité

Le NIST redoublera également d’attention sur la confidentialité. En 2020, le NIST a publié son cadre de confidentialité pour compléter et compléter le cadre de cybersécurité du NIST. Alors que le cadre de cybersécurité établit des normes pour empêcher l’accès non autorisé aux informations, le cadre de confidentialité aborde les normes pour l’utilisation et le traitement appropriés de ces informations. Le NIST a récemment publié un croisement entre le Privacy Framework et le California Consumer Protection Act.

Le cadre de confidentialité du NIST, tout comme le cadre de cybersécurité, fournit des suggestions et des conseils d’autorégulation volontaires en matière de confidentialité et de sécurité des données. Cependant, notamment, les directives sont de plus en plus intégrées dans les contrats d’entreprise et dans d’autres lois (par exemple, la Federal Trade Commission considère favorablement le cadre de cybersécurité lorsqu’elle évalue si une organisation a des protections de cybersécurité déraisonnablement faibles).

Normes cryptographiques

Le NIST prévoit de renforcer davantage les normes et la validation cryptographiques, notre technologie de cryptage quotidienne. Ces normes sont extrêmement importantes car elles garantissent la protection des informations précieuses et peuvent, dans la plupart des cas, aider à éviter de déclencher les exigences de notification en vertu de la plupart des lois nationales sur les violations de données.

Conscience

Le NIST se concentrera également sur la sensibilisation, la formation et l’éducation à la cybersécurité. Ceci est d’une importance cruciale et constitue l’un des domaines qui peuvent entraîner d’importantes catastrophes en matière de responsabilité et de relations publiques lorsqu’il n’est pas géré correctement. Un exemple est le piratage d’Equifax en 2017 qui a affecté les données personnelles sensibles d’individus dans plusieurs pays. Près de la moitié de la population américaine totale a été touchée et le coût total de la violation a dépassé 1,7 milliard de dollars. La cause – selon (l’ancien) PDG d’Equifax lors de son témoignage devant le Congrès – de l’échec du programme de sécurité d’Equifax était un employé individuel dans le département de la technologie ne pas «tenir compte des avertissements de sécurité». Ceci est un exemple extrême, mais il met en lumière le danger des employés – que ce soit par ignorance ou par malveillance – n’agissant pas en conformité avec les politiques de confidentialité et de sécurité des données de l’entreprise.

Suite aux progrès du NIST en matière de sensibilisation à la cybersécurité, la formation, l’éducation et le développement de la main-d’œuvre pèseront probablement lourdement en faveur de permettre à une entreprise d’atténuer et de minimiser les répercussions juridiques potentielles tout en protégeant les informations importantes sur les entreprises et les consommateurs.

Métrique

Le NIST améliorera les métriques et les mesures relatives à la cybersécurité et à la confidentialité. Les efforts du NIST dans ces domaines aideront les équipes interdisciplinaires à «parler le même langage» et à créer un dialogue commun qui améliorera la conformité aux politiques. Malheureusement, les silos des opérations commerciales peuvent créer des scénarios dans lesquels les professionnels utilisent des mots similaires, mais les appliquent avec des concepts et des significations différents (par exemple, autorisé, incident, violation), entraînant une non-conformité par inadvertance ou le déclenchement d’exigences légales. L’élaboration de ces normes peut aider une entreprise à améliorer son efficience et son efficacité au niveau de l’entreprise.

Gestion des accès

La gestion des identités et des accès occupera une place de plus en plus importante dans les orientations du NIST compte tenu des menaces actuelles et des événements récents. Répondant aux besoins ressentis pendant la pandémie de COVID-19, le NIST fournira des conseils sur la gestion des identités et des accès en mettant l’accent sur le travail à distance.

Réseaux et plates-formes fiables

Le NIST se concentrera sur le développement de méthodes pour déterminer des réseaux et des plates-formes fiables. L’introduction de la cinquième génération de connectivité sans fil (5G) et de l’industrie toujours présente et croissante de l’Internet des objets a accéléré le besoin de meilleures pratiques en matière de confidentialité et de sécurité des données pour vérifier et évaluer la fiabilité d’un système ou d’une plate-forme.

Technologie émergente

Le NIST continuera à se concentrer sur la fourniture de conseils sur la sécurisation des technologies émergentes. Les organisations qui cherchent à être à la pointe de la technologie et proactives dans son approche de la confidentialité et de la sécurité des données devraient commencer par examiner les défis technologiques qui retiennent l’attention du NIST.

Limitations du NIST

Il est important, cependant, de noter que le NIST n’est pas le summum de la confidentialité et de la sécurité des données. Les industries réglementées, telles que la santé, la finance ou l’éducation, peuvent avoir leurs propres exigences sectorielles. Les gouvernements des États ont chacun leurs propres réglementations en matière de confidentialité et de sécurité des données qui ne sont pas obligés de faire preuve de déférence envers le NIST – bien qu’il leur soit courant de le faire – c’est pourquoi les normes du NIST sont si souvent utilisées par les entreprises opérant dans plusieurs États. Toute entreprise ayant une présence internationale est probablement soumise à des régimes réglementaires internationaux non pris en compte dans les normes NIST.