剣 KENSAI
← All posts · security · 2026-01-01 · 5 min

Analyse des vulnérabilités du cadre de cybersécurité du NIST

NIST CSF 2.0 a étendu le cadre de 5 à 6 fonctions principales, avec une gestion des vulnérabilités couvrant l'identification, la protection et la nouvelle fonction Gouverner. KENSAI correspond directement aux sous-catégories CSF pour soutenir les agences fédérales et les organisations privées qui s'alignent sur le NIST.

Carte KENSAI vers NIST CSF → Voir le tableau de bord du NIST

Fonctions principales et gestion des vulnérabilités du NIST CSF 2.0

Sorti en février 2024, NIST CSF 2.0 ajoute une sixième fonction (Gouverner) et réorganise les sous-catégories. La gestion des vulnérabilités touche plusieurs fonctions :

GOUVERNER (GV) — Nouveau dans CSF 2.0

GV.RM-07 :Gestion des risques de vulnérabilité au niveau stratégique : garantir que la gestion des vulnérabilités fait partie des décisions en matière de risques de l'entreprise et bénéficie d'une visibilité de la direction.

IDENTIFIER (ID)

ID.RA-01 :Les vulnérabilités des actifs sont identifiées et documentées.ID.RA-02 :Les renseignements sur les cybermenaces proviennent des forums de partage d’informations.ID.AM-02 :Inventaires de logiciels, services et systèmes. Ceux-ci constituent la base de tout programme de gestion des vulnérabilités.

PROTÉGER (RP)

PR.PS-02 :Le logiciel est maintenu pour réduire l'exploitabilité.PR.PS-04 :Les enregistrements de journaux sont générés et mis à disposition.PR.MA-01/02 :Entretien et réparations effectués, autorisés et enregistrés.

DÉTECTER (DE)

DE.CM-01/02/09 :Les réseaux et les systèmes sont surveillés pour détecter les anomalies et les événements potentiels de cybersécurité. L'analyse continue prend en charge la détection continue.

RÉPONDRE (RS)

RS.MI-02 :Les incidents sont atténués. Les workflows de correction des vulnérabilités permettent une réponse rapide aux incidents lorsque les vulnérabilités sont activement exploitées.

Mappage KENSAI avec les sous-catégories NIST CSF 2.0

Sous-catégorie CSFDescriptionCapacité KENSAI
ID.RA-01Vulnérabilités des actifs identifiéesAnalyse automatisée des vulnérabilités
ID.RA-02Renseignements sur les menaces reçusIntégration des informations sur les menaces CVE
ID.AM-02Inventaire des logiciels/servicesDécouverte et inventaire des actifs
PR.PS-02Logiciel maintenuSurveillance de la conformité des correctifs
DE.CM-01Réseaux surveillésAnalyse réseau continue
DE.CM-09Matériel informatique surveilléÉvaluation de la vulnérabilité des points de terminaison
RS.MI-02Incidents atténuésFlux de travail et suivi des mesures correctives

Niveaux de mise en œuvre du NIST CSF et gestion des vulnérabilités

Le NIST CSF définit quatre niveaux de mise en œuvre qui décrivent le degré de sophistication des pratiques de cybersécurité :

La plupart des organisations devraient cibler le niveau 3. L'automatisation de KENSAI permet des fonctionnalités de niveau 4 sans la complexité généralement associée aux programmes de sécurité d'entreprise.

Comment KENSAI soutient la mise en œuvre du NIST CSF

✓ Analyse centrée sur les actifs

Découvrez et analysez en continu tous les actifs pour répondre aux exigences ID.AM et ID.RA pour un inventaire complet et une identification des vulnérabilités.

✓ Intégration des renseignements sur les menaces

S'intègre aux flux de menaces pour donner la priorité aux vulnérabilités activement exploitées (ID.RA-02) – concentrez-vous sur ce qui compte le plus.

✓ Priorisation basée sur les risques

CVSS + exploitabilité + notation de criticité des actifs permettent de prendre des décisions fondées sur les risques requises au niveau 2 et supérieur.

✓ Tableau de bord NIST CSF

Visualisez votre posture de sécurité mappée aux fonctions CSF. Suivez les progrès vers des niveaux de mise en œuvre plus élevés au fil du temps.

✓ Rapports exécutifs

Les rapports de la fonction GV (gouvernement) donnent aux dirigeants la visibilité sur les risques de vulnérabilité nécessaire aux décisions stratégiques en matière de sécurité.

✓ Mesures de remédiation

Suivez le MTTR (Mean Time to Remediate) par gravité et classe d’actifs – mesures clés pour démontrer la progression du niveau CSF.

Intégration NIST SP 800-53

Pour les agences et organisations fédérales suivant le NIST SP 800-53, KENSAI correspond aux familles de contrôle RA (évaluation des risques) et SI (intégrité du système et de l'information) :

Alignez votre programme de sécurité sur NIST CSF 2.0

KENSAI fournit des capacités d'analyse et de gestion des vulnérabilités qui implémentent directement les sous-catégories NIST CSF 2.0. Générez des rapports de conformité mappés au cadre et démontrez les progrès vers des niveaux de mise en œuvre plus élevés.

Démarrer l’évaluation NIST CSF → Parlez à un expert du NIST

Articles connexes