Le NIST CSF contient une terminologie et des concepts qui peuvent être exprimés de manière spécifique afin d'inclure des perspectives et des usages qui peuvent être propres à la mise en œuvre du cadre et différents de ce que vous avez l'habitude de traiter dans le cadre de vos activités normales. Vous devez avoir une compréhension de base des principes fondamentaux de la sécurité utilisés dans l'ensemble du secteur. Par exemple, la triade confidentielle de la CIA sera largement mentionnée tout au long de nos cours. En outre, certains aspects du cadre de travail sont repris dans toutes les discussions sur les sujets abordés dans ce cours. Nous les présentons ici : Cybersécurité de l'information, Moteurs de l'entreprise et environnements, et Fondamentaux de la cybersécurité. Ces concepts feront l'objet de diverses discussions dans tous les modules de ce cours, et vous devriez vous familiariser avec eux.

Le NIST CSF, parce qu'il s'agit d'une approche basée sur le risque pour la gestion du risque de cybersécurité, est composé de trois parties : le Framework Core avec ses quatre domaines et ses cinq processus, les quatre niveaux de mise en œuvre du Framework et ses programmes et processus, et les Profils du Framework, les objectifs, les types et les niveaux. Chaque élément du cadre renforce le lien entre les moteurs de l'activité et de la mission et les activités de cybersécurité.

Le NIST CSF fournit un langage commun pour communiquer les exigences entre les parties prenantes interdépendantes responsables de la fourniture de produits et de services d'infrastructures critiques essentiels. Par exemple, une organisation peut utiliser un profil cible pour exprimer les exigences en matière de gestion des risques de cybersécurité à un prestataire de services externe (par exemple, un fournisseur de cloud vers lequel elle exporte des données). En outre, une organisation peut exprimer son état de cybersécurité à l'aide d'un profil courant afin de rendre compte des résultats ou de les comparer avec les exigences d'acquisition, nous aborderons d'autres exemples dans le cours.

La gestion des risques est le processus continu d'identification, d'évaluation et de réponse aux risques. Pour gérer les risques, les organisations doivent comprendre la probabilité qu'un événement se produise et les impacts potentiels qui en découlent. Grâce à ces informations, les organisations peuvent déterminer le niveau de risque acceptable pour atteindre leurs objectifs et l'exprimer sous la forme d'une tolérance au risque. Les risques affectant les organisations peuvent avoir des conséquences allant de l'impact sur les performances économiques à la réputation professionnelle. Dans ce cours, nous abordons le processus RMF qui fournit un processus discipliné, structuré et flexible pour la gestion des risques liés à la sécurité et à la vie privée, qui comprend la catégorisation de la sécurité de l'information ; la sélection, la mise en œuvre et l'évaluation des contrôles ; l'autorisation des systèmes et des contrôles communs ; et la surveillance continue. Nous verrons également comment la gestion des risques par l'identification, l'évaluation et la réponse aux risques permet aux organisations d'être plus performantes dans un environnement plein d'incertitudes.

Le cyber SCRM est l'ensemble des activités nécessaires pour gérer les risques de cybersécurité associés aux parties externes. Plus précisément, la gestion du risque cybernétique porte à la fois sur l'impact de la cybersécurité d'une organisation sur les parties extérieures et sur l'impact de la cybersécurité des parties extérieures sur l'organisation.

Les fonctions essentielles sont une liste de catégories, de sous-catégories et de références informatives qui décrivent des activités spécifiques de cybersécurité communes à tous les secteurs d'infrastructures critiques. Elles ne sont pas destinées à former un parcours en série ou à conduire à un état final souhaité statique. Au contraire, les fonctions doivent être exécutées de manière simultanée et continue afin de créer une culture opérationnelle qui prenne en compte les risques dynamiques liés à la cybersécurité. Ce cours décrit les six fonctions essentielles du cadre (gouverner, identifier, protéger, détecter, réagir et récupérer) et comprend des descriptions des catégories et sous-catégories ainsi que des références informatives

Le CSF est conçu pour compléter les opérations commerciales et de cybersécurité existantes. Il peut servir de base à un nouveau programme de cybersécurité ou de mécanisme d'amélioration d'un programme existant. Il permet d'exprimer les exigences en matière de cybersécurité aux partenaires commerciaux et aux clients. En outre, il peut aider à identifier les lacunes dans les pratiques de cybersécurité d'une organisation. Le cours décrit les étapes qu'une organisation peut suivre pour comparer ses activités de cybersécurité actuelles avec celles décrites dans le CCA en créant des profils afin de déterminer si elle a des possibilités ou des besoins d'amélioration.

Le CCA est conçu pour réduire les risques en améliorant la gestion des risques liés à la cybersécurité par rapport aux objectifs de l'organisation. Idéalement, les organisations qui utilisent le Cadre seront en mesure de mesurer et d'attribuer des valeurs à leur risque ainsi que le coût et les avantages des mesures prises pour réduire le risque à des niveaux acceptables. Ce cours décrit l'importance d'une bonne compréhension des objectifs de l'organisation, de la relation entre ces objectifs et les résultats en matière de cybersécurité, et de la manière dont ces résultats discrets en matière de cybersécurité sont mis en œuvre et gérés pour aider l'organisation à prévoir si un risque de cybersécurité peut survenir, et l'impact qu'il pourrait avoir.