Qu'est-ce que le NIST CSF 2.0 ?
Le NIST Cybersecurity Framework est un cadre publié par le National Institute of Standards and Technology, l'agence américaine de normalisation. Conçu à l'origine pour les infrastructures critiques, il est devenu l'un des référentiels de cybersécurité les plus utilisés dans le monde, précisément parce qu'il est simple, flexible et non prescriptif.
Plutôt que d'imposer des contrôles précis, il propose une structure pour organiser et communiquer les activités de cybersécurité, du terrain technique jusqu'au conseil d'administration.
Pourquoi c'est important pour votre organisation
Le NIST CSF offre un langage commun entre les équipes techniques et la direction. Ses six fonctions permettent de résumer une posture complexe en une image lisible, utile pour arbitrer les investissements et rendre compte du risque.
Il sert aussi de colonne vertébrale pour aligner plusieurs référentiels : beaucoup d'organisations cartographient ISO 27001, SOC 2 ou leurs obligations réglementaires sur les fonctions du CSF pour éviter de tout gérer en silos.
Les six fonctions
- Gouverner (Govern) : définir la stratégie, les rôles et la gestion du risque.
- Identifier (Identify) : connaître ses actifs, ses risques et ses dépendances.
- Protéger (Protect) : mettre en place les mesures de sécurité.
- Détecter (Detect) : repérer les événements et anomalies de sécurité.
- Répondre (Respond) : réagir efficacement à un incident.
- Rétablir (Recover) : restaurer les capacités après un incident.
Où les organisations pèchent le plus souvent
L'erreur fréquente est de traiter le CSF comme une checklist à cocher, alors que sa valeur vient de la comparaison entre un profil actuel et un profil cible. Sans cet écart mesuré, le cadre reste descriptif et ne guide aucune décision. La fonction Gouverner, nouvelle en 2.0, est encore souvent négligée au profit des fonctions techniques.