Le CAT ne reviendra pas : quelles seront les prochaines étapes lorsque l'outil d'évaluation de la cybersécurité sera retiré et comment Cyera peut vous aider

L'année dernière, le Conseil fédéral des examens des institutions financières (FFIEC) a annoncé le retrait de son outil d'évaluation de la cybersécurité (CAT) le 31 août 2025. Contrairement au chat de la célèbre chanson pour enfants, ce CHAT est pas en revenant, et les institutions financières qui ont compté sur lui au cours de la dernière décennie doivent planifier son remplacement.

Contexte‍

Le FFIEC a introduit le CAT en 2015 en tant qu'outil destiné à aider les institutions financières à évaluer leur profil de risque et leur maturité en matière de cybersécurité.

Sans prescrire de cadre spécifique pour remplacer le CAT, la FFIEC a suggéré d'autres cadres, en particulier le NIST CSF 2.0. Cela est logique, car les niveaux de maturité du CAT ont été largement évalués en comparant la posture de cybersécurité des organisations avec les contrôles CSF 1.1 du NIST. Avec la sortie de la version 2.0, il est devenu évident que le CAT obsolète serait soit mis à jour, soit abandonné.

Néanmoins, bien que le NIST CSF soit souvent utilisé pour l'auto-évaluation et la mesure de la maturité, il ne s'agit pas d'un outil d'évaluation des risques en soi. Par conséquent, certains analystes du secteur prévoient une adoption accrue de cadres tels que les profils du Cyber Risk Institute (CRI). Les profils CRI classent les institutions financières dans l'un des quatre niveaux en fonction de facteurs tels que leur taille et leur interconnexion avec le système financier mondial. Les institutions de niveau 1 présentent le plus grand risque systémique, tandis que les entités de niveau 4 présentent le moins de risques.

Les profils sont basés sur le NIST CSF 2.0, avec des contrôles supplémentaires spécifiquement adaptés au secteur financier, notamment des contrôles de gouvernance pour les chaînes d'approvisionnement, une gestion indépendante des risques et des audits indépendants. En fonction de leur niveau de risque, les organisations seront soumises soit à toutes les catégories et sous-catégories de contrôle, soit à un sous-ensemble correspondant à leur taille, à leur complexité et à leur importance critique pour le secteur financier.

La complexité des profils peut décourager les petites organisations pour lesquelles le cadre de base du NIST CSF suffira probablement. Cependant, leur approche systémique basée sur les risques reflète celle de la loi sur la résilience opérationnelle numérique (DORA) de l'UE, ce qui pourrait favoriser leur adoption par de plus grandes entités alors que les institutions financières multinationales convergent vers un ensemble commun de normes et de pratiques de cybersécurité.

Comment Cyera peut vous aider‍

Cyera fournit une couverture complète pour la plupart du cadre de contrôle NIST CSF 2.0, excellant dans les contrôles techniques critiques couvrant la sécurité des données, la gestion des risques, le contrôle d'accès et la surveillance continue. En effet, la plateforme de sécurité des données native à l'IA de Cyera répond efficacement aux six fonctions principales du NIST CSF.

• RÉGIR : Le service d'évaluation des risques liés aux données de Cyera soutient le développement d'une stratégie de gestion des risques de cybersécurité en cartographiant la surface d'attaque d'une organisation et en identifiant et hiérarchisant les risques importants en matière de sécurité des données. Grâce à la découverte et à la classification des actifs, Cyera aide également à identifier les propriétaires des données et leurs responsabilités.

• IDENTIFIER : Cyera automatise la découverte et la classification des données dans les environnements cloud et sur site, en créant un inventaire précis et en temps réel des actifs de données sensibles, y compris les utilisateurs, les applications, les plateformes et les bases de données qui gèrent ou stockent des données sensibles. Cyera identifie également les vulnérabilités liées aux données, telles que les autorisations excessives et les données sensibles non cryptées.

• PROTÉGER : Cyera surveille et examine les contrôles d'accès, découvre les comptes obsolètes ou fantômes et peut automatiquement masquer les données sensibles non cryptées telles que les numéros de carte de crédit, les numéros de sécurité sociale ou d'autres informations personnelles sensibles.

• DÉTECTER : Cyera surveille en permanence la posture de sécurité des données et les modèles d'accès des entreprises, en établissant des bases de référence pour les opérations normales des données et en surveillant les écarts. Il surveille également l'activité des fournisseurs de services tiers en ce qui concerne les données sensibles.

• RÉPONDEZ : Cyera s'intègre aux outils de flux de travail pour prendre en charge la correction automatique des vulnérabilités liées aux données. Il génère également des journaux d'audit et des rapports sur les données et les modèles d'accès concernés, et facilite la communication avec les parties prenantes en fournissant des rapports de conformité et de sécurité détaillés. En outre, le service Breach Readiness de Cyera aide les organisations à développer des plans de réponse aux incidents et de communication de crise plus efficaces.

• RÉCUPÉRER : Cyera favorise une reprise rapide en identifiant et en hiérarchisant les actifs de données critiques et en fournissant des informations sur les données pour éclairer l'analyse post-incident. Grâce à son partenariat avec le fournisseur de solutions de sauvegarde Cohesity, Cyera aide les entreprises à améliorer leur résilience opérationnelle en optimisant la fréquence des sauvegardes en fonction de la sensibilité et de la criticité des données.

Outre les contrôles CSF standard du NIST, les profils CRI contiennent plusieurs nouvelles familles de contrôles spécialement conçues pour le secteur financier. Il s'agit notamment de :

• Fonction indépendante de gestion des risques (GV.IR) : Cyera peut vous aider à proposer des améliorations à la stratégie de gestion des risques de votre organisation. Son service d'évaluation des risques liés aux données peut vous aider à identifier les lacunes dans votre position actuelle en matière de sécurité des données et à vous fournir des étapes et des délais pour améliorer votre maturité en matière de sécurité des données.

• Fonction d'audit indépendante (GV.AU) : Cyera génère des dossiers d'audit et des rapports qui peuvent aider votre organisation à évaluer la conformité aux contrôles internes et externes. De plus, le port de données et le serveur MCP de Cyera vous permettent d'interroger vos données Cyera à l'aide d'instructions en langage naturel, fournissant des réponses rapides et concises à des questions telles que « laquelle de mes banques de données contient des informations de carte de crédit en texte brut ? »

Les profils CRI prescrivent également diverses extensions de la famille de contrôles, principalement en ce qui concerne la gestion des risques liés aux tiers :

• Contrats et accords avec des tiers (EX.CN), planification des achats et due diligence (EX.DD), surveillance et gestion des fournisseurs (EX.MM), et Résiliation de la relation (EX.TR) : Cyera peut identifier les utilisateurs et les services tiers ayant accès à vos données, surveiller leurs habitudes d'accès et suivre leur utilisation des contrôles de sécurité requis contractuellement, tels que l'authentification multifactorielle. Il détecte également les comptes obsolètes ou fantômes qui peuvent persister après la fin de la relation tierce.

Le CAT ne reviendra peut-être pas, mais Cyera peut vous aider à établir une posture de sécurité des données mature, quel que soit votre niveau de profil CRI. Pour en savoir plus, demandez une démonstration sur Cyera.com.