C’est un catalogue de mesures et normes pour les entreprises à utiliser volontairement pour l’élaboration de meilleurs programmes de sécurité. Framework for Improving Critical Infrastructure Cybersecurity
L’Institut National des Standards et de la Technologie (NIST) en collaboration avec le Ministère de la Sécurité Intérieure et des experts de la cyber sécurité ont procédé à la compilation de ce catalogue qui est un ensemble de normes connues et testées et qui peuvent être appliquées pour identifier, protéger, détecter, réagir, récupérer les données et assurer la continuité du fonctionnement après une cyber attaque réussie.
Le cadre repose sur trois éléments fondamentaux:
• Un ensemble d’activités communes qui doivent être utilisés dans tous les programmes permettant une appréciation du niveau de la gestion des risques;
• Les Profils : Ceux-ci permettent à chaque organisation d’adapter les activités de cyber sécurité avec les besoins propres de l’entreprise, et à évaluer les activités de gestion des risques actuels et de prioriser les améliorations ;
• Les niveaux : Ils permettent aux utilisateurs d’évaluer les mises en œuvre en matière de cyber sécurité et de gérer les risques. Quatre niveaux décrivent la rigueur de la gestion des risques et à quel point elle se rapproche des exigences de l’entreprise.