Cadre de cybersécurité du NIST v1.1 - AWS Audit Manager
Qu’est-ce que le framework de cybersécurité du NIST ?Utilisation de ce frameworkÉtapes suivantesRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Cadre de cybersécurité du NIST v1.1

AWS Audit Manager fournit un cadre prédéfini qui prend en charge le cadre de cybersécurité (CSF) v1.1 du NIST.

Note

  • Pour plus d'informations sur le framework Audit Manager compatible avec le NIST SP 800-53, consultez. NIST SP 800-53 Rév. 5

  • Pour plus d'informations sur le framework Audit Manager compatible avec le NIST SP 800-171, consultez. NIST SP 800-171 Rév. 2

Qu’est-ce que le framework de cybersécurité du NIST ?

Le National Institute of Standards and Technology (NIST) a été fondé en 1901 et fait désormais partie du ministère américain du Commerce. Le NIST est l’un des plus anciens laboratoires de sciences physiques des États-Unis. Le Congrès américain a créé l’agence pour améliorer ce qui était à l’époque une infrastructure de mesure de second ordre. L’infrastructure représentait un défi majeur pour la compétitivité industrielle des États-Unis, étant à la traîne par rapport à d’autres puissances économiques telles que le Royaume-Uni et l’Allemagne.

Les États-Unis dépendent du fonctionnement fiable des infrastructures critiques. Les menaces de cybersécurité exploitent la complexité et l’interconnexion accrues des systèmes d’infrastructures critiques. Ils mettent en danger la sécurité, l’économie, la sécurité publique et la santé des États-Unis. Tout comme les risques financiers et de réputation, les risques liés à la cybersécurité ont une incidence sur les résultats financiers d’une entreprise. Cela peut faire grimper les coûts et affecter les recettes. Cela peut nuire à la capacité d’une organisation à innover, à acquérir et à conserver des clients. En fin de compte, la cybersécurité peut amplifier la gestion globale des risques d’une organisation.

Le framework de cybersécurité (CSF) du NIST est soutenu par les gouvernements et les industries du monde entier en tant que base de référence recommandée pour toute organisation, indépendamment de son secteur ou sa taille. Le framework de cybersécurité du NIST comprend trois composants principaux : le framework de base, les profils et les niveaux de mise en œuvre. Le framework de base contient les activités et les résultats souhaités en matière de cybersécurité organisés en 23 catégories qui couvrent l’ensemble des objectifs de cybersécurité d’une organisation. Les profils indiquent l’alignement unique d’une organisation entre ses exigences et objectifs organisationnels, sa propension au risque et ses ressources en utilisant les résultats souhaités du framework de base. Les niveaux de mise en œuvre décrivent dans quelle mesure les pratiques de gestion des risques de cybersécurité d’une organisation présentent les caractéristiques définies dans le framework de base.

Utilisation de ce framework

Vous pouvez utiliser le NIST CSF v1.1 pour vous aider à vous préparer aux audits. Ce framework comprend un ensemble prédéfini de contrôles avec des descriptions et des procédures de test. Ces contrôles sont regroupés en ensembles de contrôles conformément aux exigences du NIST CSF. Audit Manager prend actuellement en charge le composant principal du framework. Audit Manager ne prend pas en charge le profil et les composants de mise en œuvre de ce framework.

En utilisant le framework comme point de départ, vous pouvez créer une évaluation Audit Manager et commencer à collecter des éléments probants pertinents pour votre audit. Après avoir créé une évaluation, Audit Manager commence à évaluer vos AWS ressources. Il le fait sur la base des contrôles définis dans le NIST CSF. Lorsque vient le temps d'un audit, vous (ou un délégué de votre choix) pouvez examiner les preuves collectées par l'Audit Manager. Vous pouvez parcourir les dossiers de preuves dans votre évaluation et sélectionner les preuves que vous souhaitez inclure dans votre rapport d’évaluation. Ou, si vous avez activé l’outil de recherche de preuves, vous pouvez rechercher des preuves spécifiques et les exporter au format CSV, ou créer un rapport d’évaluation à partir des résultats de votre recherche. Dans tous les cas, vous pouvez utiliser ce rapport d’évaluation pour attester le bon fonctionnement de vos contrôles.

Les détails du framework sont les suivants :

Nom du framework dans AWS Audit Manager Nombre de contrôles automatisés Nombre de contrôles manuels Nombre d’ensembles de contrôles

Cadre de cybersécurité du NIST (CSF) v1.1

 49 59 22
Astuce

Pour consulter les AWS Config règles utilisées comme mappages de sources de données dans ce cadre standard, téléchargez le fichier AuditManager_ ConfigDataSourceMappings _Nist-CSF-v1.1.zip.

Les contrôles proposés par Audit Manager ne visent pas à vérifier si vos systèmes sont conformes au NIST CSF. De plus, ils ne peuvent garantir que vous passerez un audit NIST. AWS Audit Manager ne vérifie pas automatiquement les contrôles procéduraux qui nécessitent la collecte manuelle d’éléments probants.

Vous pouvez trouver ce framework sous l'onglet Frameworks standard de la bibliothèque de frameworks dans Audit Manager.

Étapes suivantes

Pour des instructions sur la façon de créer une évaluation à l’aide de ce framework, consultez Création d'une évaluation dans AWS Audit Manager.

Pour obtenir des instructions sur la façon de personnaliser ce cadre afin de répondre à vos besoins spécifiques, consultezCréation d'une copie modifiable d'un framework existant dans AWS Audit Manager.

Ressources supplémentaires