Aller au contenu
FortaRisks
Retour au glossaireConformité et réglementation

NIST CSF 2.0

Le NIST Cybersecurity Framework (CSF) 2.0 est un cadre volontaire de gestion du risque cyber publié par l'agence américaine NIST. Il organise la cybersécurité en six fonctions (Gouverner, Identifier, Protéger, Détecter, Répondre, Rétablir) et sert de langage commun pour évaluer et piloter la maturité, quel que soit le secteur.

Mis à jour le 2 juillet 2026

Qu'est-ce que le NIST CSF 2.0 ?

Le NIST Cybersecurity Framework est un cadre publié par le National Institute of Standards and Technology, l'agence américaine de normalisation. Conçu à l'origine pour les infrastructures critiques, il est devenu l'un des référentiels de cybersécurité les plus utilisés dans le monde, précisément parce qu'il est simple, flexible et non prescriptif.

Plutôt que d'imposer des contrôles précis, il propose une structure pour organiser et communiquer les activités de cybersécurité, du terrain technique jusqu'au conseil d'administration.

Pourquoi c'est important pour votre organisation

Le NIST CSF offre un langage commun entre les équipes techniques et la direction. Ses six fonctions permettent de résumer une posture complexe en une image lisible, utile pour arbitrer les investissements et rendre compte du risque.

Il sert aussi de colonne vertébrale pour aligner plusieurs référentiels : beaucoup d'organisations cartographient ISO 27001, SOC 2 ou leurs obligations réglementaires sur les fonctions du CSF pour éviter de tout gérer en silos.

Les six fonctions

  • Gouverner (Govern) : définir la stratégie, les rôles et la gestion du risque.
  • Identifier (Identify) : connaître ses actifs, ses risques et ses dépendances.
  • Protéger (Protect) : mettre en place les mesures de sécurité.
  • Détecter (Detect) : repérer les événements et anomalies de sécurité.
  • Répondre (Respond) : réagir efficacement à un incident.
  • Rétablir (Recover) : restaurer les capacités après un incident.

Où les organisations pèchent le plus souvent

L'erreur fréquente est de traiter le CSF comme une checklist à cocher, alors que sa valeur vient de la comparaison entre un profil actuel et un profil cible. Sans cet écart mesuré, le cadre reste descriptif et ne guide aucune décision. La fonction Gouverner, nouvelle en 2.0, est encore souvent négligée au profit des fonctions techniques.

Questions fréquentes

Qu'apporte la version 2.0 du NIST CSF ?

Publiée en 2024, la version 2.0 ajoute une sixième fonction, Gouverner (Govern), qui place la gouvernance et la gestion du risque au centre du cadre. Elle élargit aussi explicitement le champ d'application à toutes les organisations, et pas seulement aux infrastructures critiques comme la version d'origine.

Le NIST CSF est-il certifiable ?

Non. Le NIST CSF est un cadre volontaire d'auto-évaluation, pas un schéma de certification. On l'utilise pour mesurer sa maturité, définir un profil cible et prioriser les efforts. Il se combine très bien avec des normes certifiables comme ISO 27001.

Ressources liées

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.