Les universités canadiennes sont-elles conformes aux normes NIST?
Le courrier des lecteurs|Publié le 10 septembre 2024Le NIST développe et publie des normes et des directives pour aider les organisations, y compris les établissements d’enseignement collégial et universitaire, à gérer et à réduire les risques de cybersécurité. (Photo: Dan Nelson pour Unsplash)
Par André Gerges, MAP, Mini-MBA, Ph.D. (ABD), analyste en sécurité de l’information
COURRIER DES LECTEURS. Plus que jamais les universités à travers le monde, y compris au Canada, adoptent des standards de sécurité nationale ou internationale pour se protéger contre les cyberattaques. Parmi ces standards, on retrouve ceux véhiculés par le National Institute of Standards and Technology (NIST), une agence gouvernementale américaine chargée d’élaborer et de promouvoir des normes, des mesures et des technologies afin d’améliorer la sécurité et la compétitivité économique du pays.
Comprendre les normes NIST
Le NIST développe et publie des normes et des directives pour aider les organisations, y compris les établissements d’enseignement collégial et universitaire, à gérer et à réduire les risques de cybersécurité.
Les principales publications du NIST incluent:
- NIST Special Publication 800-53 : un catalogue de contrôles de sécurité et de confidentialité pour les systèmes d’information et les organisations fédérales.
- NIST Special Publication 800-171 : offre des directives pour protéger les informations non classifiées contrôlées dans les systèmes non fédéraux.
- NIST Cybersecurity Framework (CSF) : un cadre volontaire qui fournit des conseils en matière de sécurité informatique sur la manière dont les organisations du secteur privé peuvent évaluer et améliorer leur capacité à prévenir, détecter et répondre aux cyberattaques.
Ces normes sont largement adoptées en raison de leur approche globale de la cybersécurité, couvrant des aspects tels que le contrôle d’accès, la réponse aux incidents et la gestion des risques.
Mesurer la conformité aux normes NIST dans les universités canadiennes
Plusieurs méthodes sont utilisées par certaines universités canadiennes afin d’évaluer la conformité aux normes NIST. Voici les plus répandues :
- Auto-évaluations et audits. Les universités réalisent des auto-évaluations et des audits internes pour évaluer leur conformité aux normes NIST. Cela implique de passer en revue les pratiques, politiques et procédures de cybersécurité actuelles par rapport aux directives NIST pour identifier les lacunes et les domaines à améliorer.
- Audits par des tiers. Faire appel à des auditeurs tiers permet d’obtenir une évaluation objective de la conformité. Ces audits externes incluent souvent des recommandations pour améliorer les mesures de sécurité.
- Cadres de gestion des risques. Utiliser des cadres de gestion des risques, tels que le NIST Risk Management Framework (RMF), aide les universités à identifier, évaluer et gérer systématiquement les risques de cybersécurité. Cela implique une surveillance continue et une mise à jour des contrôles de sécurité pour assurer une conformité continue.
- Systèmes de gestion des informations et des événements de sécurité (SIEM). Les systèmes SIEM surveillent et analysent les événements de sécurité en temps réel, aidant les universités à détecter et à répondre rapidement aux incidents de sécurité potentiels, assurant ainsi l’alignement avec les normes NIST.
- Programmes de formation et de sensibilisation. Des programmes de formation et de sensibilisation réguliers pour le personnel, les chercheurs et les étudiants sont cruciaux pour maintenir la conformité. Ces programmes éduquent la communauté universitaire sur les meilleures pratiques en matière de cybersécurité et l’importance de respecter les directives NIST.
- Révisions des politiques et procédures. Les universités examinent et mettent régulièrement à jour leurs politiques et procédures de cybersécurité pour s’assurer qu’elles restent alignées sur les normes NIST. Cela inclut la révision des politiques de contrôle d’accès, des plans de réponse aux incidents et des mesures de protection des données.
- Benchmarking et métriques. Les institutions utilisent le benchmarking et les métriques pour mesurer leur conformité. Cela implique de comparer leurs pratiques de cybersécurité aux normes et meilleures pratiques de l’industrie, et de suivre les indicateurs de performance clés (KPI) liés à la sécurité (Security Scorecard).
Quelques exemples d’adoption
L’Université de Toronto a intégré des éléments du cadre de cybersécurité du NIST (CSF) dans ses politiques de sécurité informatique. Cela inclut des évaluations des risques et des plans de réponse aux incidents qui sont alignés sur les directives du NIST.
Les chercheurs de l’IQC (Institute for Quantum Computing) de l’Université de Waterloo ont apporté des contributions significatives au processus de normalisation de la cryptographie post-quantique du NIST. Ce processus vise à développer des algorithmes cryptographiques sécurisés contre les attaques informatiques quantiques et classiques (normalisation de l’algorithme CRYSTALS-Kyber).
L’implantation des normes NIST dans les universités présente des défis, notamment en termes de ressources, d’expertise et de gestion du changement. Cependant, les bénéfices en termes de sécurité améliorée, de réputation renforcée et de conformité réglementaire en font un investissement précieux. En adoptant ces normes, les universités canadiennes peuvent mieux protéger leurs actifs numériques et assurer un environnement sécurisé pour leur communauté.