Utilisation actuelle du CSF par les CPA
Les CPA ont déjà adapté de nombreuses dispositions du CSF existant pour améliorer la prestation de services aux clients et la protection des données. En fournissant des services d’assurance tels que l’examen « SOC for Cybersecurity », les CPA peuvent utiliser le CSF comme l’un des critères sur lesquels l’examen est basé, à condition que « ces critères soient appropriés pour la mission utilisant les normes d’attestation de l’AICPA » (https://tinyurl.com/bddrpen6p. 3).» Les CPA utilisent le CSF en comptabilité de gestion lorsqu’ils participent à des équipes ou sont responsables de l’évaluation et de la gestion des risques de cybersécurité. Pour les CPA fournissant des services de conseil en cybersécurité, le Tax Pro Center d’Intuit identifie le CSF comme un outil permettant de fournir des services de conseil en cybersécurité (Cassidy Jakovickas, « Cybersecurity: A Critical Opportunity for Advisory Services », Tax Pro Center, Intuit, https://tinyurl.com/4vwcb8nu). Les fiscalistes qui doivent se conformer aux diverses mesures de protection des données des contribuables de l’IRS et de l’État constateraient que l’AICPA Conseiller fiscal a identifié le CSF comme un outil qui pourrait aider ces praticiens à mettre en œuvre le programme de gestion des risques requis (Byron Shinn et John Jorgensen, « Cybersecurity: An urgent Priority for CPA Firms », 1er avril 2020, https://tinyurl.com/mmsjj57c).
Gagner du terrain
D’une certaine manière, le CSF a été victime de son propre succès. À mesure que les organisations se développaient, elles devaient améliorer leurs stratégies de protection des actifs. CSF, développé en 2014, est arrivé au bon moment lorsqu’une approche pratique était nécessaire pour gérer les risques de cybersécurité et permettre aux organisations de se développer et de tirer parti des développements technologiques. Le CSF était initialement destiné à protéger les infrastructures critiques. En raison de sa flexibilité, de sa relative concision (du moins pour les grandes organisations) et des passerelles établies (utilisées pour croiser un cadre avec d’autres cadres) avec d’autres cadres importants, de nombreuses organisations ont commencé à l’adapter. La réputation du NIST a également fourni des conseils réputés neutres et « indépendants » à l’égard des fournisseurs. Cela a aidé les entités exerçant un rôle d’audit ou de réglementation à référencer l’outil et, dans certains cas, à le recommander. Les organisations recherchant un moyen pratique mais fiable de démontrer leur conformité et, dans certains cas, une diligence raisonnable essentielle pour gérer les risques juridiques en cas de violation ont trouvé une solution dans le CSF.
Du point de vue des professionnels et des fournisseurs de cybersécurité, une page Web d’IBM représente un point de vue typique : « Le NIST CSF est suffisamment flexible pour s’intégrer aux processus de sécurité existants au sein de n’importe quelle organisation, dans n’importe quel secteur. Il constitue un excellent point de départ pour mettre en œuvre la gestion des risques liés à la sécurité de l’information et à la cybersécurité dans pratiquement toutes les organisations du secteur privé aux États-Unis » (https://tinyurl.com/mvamca3r). Les grands cabinets de CPA ont développé des niches de pratique et des conseils en tirant parti du CSF. Par exemple, PWC a produit une publication montrant comment les conseils d’administration pourraient utiliser le CSF pour améliorer la surveillance des risques (https://tinyurl.com/35st69kc).
Les petites et moyennes organisations à la recherche de conseils réputés ont été intriguées par l’outil mais se sont parfois senties dépassées. Outre le NIST, des agences gouvernementales au service des petites entreprises ont aidé en développant et en distribuant des outils pour faciliter l’adoption du CSF dans un environnement plus petit. Finalement, le CSF a été traduit en 12 langues.
Malgré les succès du cadre – ou peut-être à cause d’eux – des défis subsistent. L’outil était populaire et accessible à ceux qui possédaient des connaissances de base en sécurité. La qualité et les nombreuses ressources de soutien aidant les organisations à gérer la mise en œuvre ne faisaient aucun doute. Le questionnaire unique a toutefois mis au défi les grandes organisations qui craignaient qu’il manque quelque chose, même si elles étaient heureuses de faire preuve de diligence raisonnable avec un outil de taille raisonnable. Les petites organisations estimaient que de nombreuses questions ne s’appliquaient pas à elles ou que l’outil était trop bureaucratique.
Au début écrasant, mais cela en vaut la peine
Après 10 ans d’innovation technologique, d’évolution des menaces et d’acquisition d’expérience, le NIST a publié la version 2.0 de CSF. Contrairement à son prédécesseur, CSF2 a été développé dès le départ pour prendre en compte toutes les tailles et tous les types d’organisations. En essayant de mieux aligner ses orientations sur ses diverses parties prenantes, certains utilisateurs peuvent avoir l’impression initiale qu’elles sont plus complexes et, dans certains cas, accablantes. Heureusement, le NIST a fourni de nombreux outils et guides qui peuvent faciliter l’adaptation par divers utilisateurs et leurs organisations. Ces conseils d’experts permettront au CSF2 d’être plus facilement utilisé et accessible, même par rapport à son prédécesseur. Quelques-uns des guides et supports les plus pertinents sont décrits ci-dessous.
Les gestionnaires financiers peuvent obtenir un aperçu plus rapide en se référant au communiqué de presse annonçant le CSF2. Le « Guide de ressources et de présentation » fournit une perspective d’introduction alternative (https://tinyurl.com/3f8en4km). Dans ces documents d’introduction, les utilisateurs trouveront le point de vue du NIST sur les avantages de la nouvelle version, l’identification des menaces, des liens Web pour des conseils d’assistance et les points saillants des changements critiques par rapport à la version précédente. Le NIST a développé des outils et des conseils supplémentaires pour faciliter la mise en œuvre. Comme indiqué dans le communiqué de presse : « Ces ressources sont conçues pour offrir à différents publics des parcours personnalisés vers le CSF et faciliter la mise en production du cadre (https://tinyurl.com/bdfbrv9z).”
Intérêts des dirigeants financiers
Bien qu’il ne soit pas nécessairement nouveau, le « Guide de démarrage rapide pour l’utilisation des niveaux CSF » peut aider une organisation à planifier et à évaluer la « rigueur de la gouvernance et des résultats de gestion des risques de cybersécurité d’une organisation ». Cela peut aider à fournir un contexte sur la façon dont une organisation perçoit les risques de cybersécurité et les processus en place pour gérer ces risques. Les niveaux peuvent également être utiles lors de l’examen des processus et des pratiques afin de déterminer les améliorations nécessaires et de suivre les progrès réalisés grâce à ces améliorations » (https://tinyurl.com/bde22nxf). L’utilisation des niveaux définis facilite des discussions réalistes sur le statut actuel d’une organisation, sa stratégie ciblée d’atténuation des risques et l’investissement nécessaire pour atteindre ces objectifs.
« Le Guide de démarrage rapide de la gestion des risques d’entreprise » pourrait enthousiasmer de nombreux membres de la communauté de la gestion des risques, rien que par son titre. À première vue, son vocabulaire n’est pas nécessairement aligné sur le langage et le cadre plus familiers de COSO Enterprise Risk Management (ERM). Même si certains pourraient être déçus au départ, le document présente de nombreux termes familiers aux professionnels du risque ; pour d’autres, il peut relier les nuances techniques présentées dans le CSF aux discussions sur la GRE au niveau du conseil d’administration.
Autres outils de support
À un niveau plus détaillé, les professionnels, qu’il s’agisse d’auditeurs ou de professionnels de la sécurité de l’information, apprécieront les conseils plus détaillés et faisant autorité fournis. Le « Guide de démarrage rapide pour la gestion de la chaîne d’approvisionnement en cybersécurité » (https://tinyurl.com/54kapv9c) propose des points saillants sur les questions critiques nécessaires à la conception et à l’exploitation d’un programme de gestion des fournisseurs. Les profils organisationnels et communautaires, chacun accompagné d’un guide de démarrage rapide, permettent d’apprendre des autres et d’utiliser les meilleures pratiques pour les besoins de votre organisation. Les outils de référence fournissent des détails pour aider à documenter et soutenir les efforts de diligence raisonnable. Les professionnels de terrain les utiliseront et les adapteront si nécessaire pour fournir les services de conseil et d’évaluation requis.
Une référence clé
Pour les CPA qui s’intéressent à la cybersécurité, le nouveau CSF jouera un rôle de premier plan. Attendez-vous à d’autres méthodologies et offres de services pour tirer parti de ses conseils pour fournir l’expertise nécessaire aux propriétaires et aux gestionnaires d’entreprise. Pour certains, le CSF2 contribuera à démontrer la diligence raisonnable requise pour atténuer le risque de litige. Plus important encore, il offre à tous les managers une capacité fondamentale pour lutter contre les menaces toujours plus sophistiquées auxquelles leur organisation est confrontée.
Joel Lanz, CPA, CISA, CISM, CISSP, CFE, est maître de conférences à SUNY–Old Westbury et professeur adjoint à NYU-Stern School of Business, New York, NY. Il fournit des services consultatifs en matière de sécurité de l’information par l’intermédiaire de Joel Lanz, CPA, PC, Jericho, New York Il est membre du comité consultatif de rédaction du CPA Journal.
#cadre #cybersécurité #NIST #mis #jour