Le NIST Cybersecurity Framework 2.0, publié le 26 février 2024, est le référentiel de sécurité le plus utilisé au monde — et bien qu’il émane d’une agence américaine, il est volontaire, gratuit et indépendant de tout éditeur, ce qui en fait un excellent socle pour les PME européennes. Sa valeur réelle réside dans la structure : il offre un langage commun pour organiser les travaux de sécurité et une façon claire de relier votre programme aux obligations réglementaires telles que NIS2 et ISO 27001.
En bref
- CSF 2.0 comprend six fonctions : Govern, Identify, Protect, Detect, Respond, Recover.
- Govern est la nouvelle fonction — elle élève la cybersécurité au rang de risque stratégique traité au niveau de la direction.
- Le périmètre a été élargi des infrastructures critiques à toutes les organisations, quelle que soit leur taille.
- Utilisez les niveaux (Tiers) (1–4) pour évaluer la maturité et les profils pour planifier l’état actuel → cible.
- Le cadre est volontaire mais se mappe proprement sur les obligations NIS2 et les contrôles ISO 27001.
Les six fonctions
Le cœur du CSF 2.0 organise les résultats en six fonctions. Le changement principal par rapport à la version 1.1 est l’ajout de Govern, qui englobe les cinq autres.
| Fonction | Ce qu’elle couvre |
|---|---|
| Govern (GV) | Stratégie, rôles, politique, appétence au risque, risque de la chaîne d’approvisionnement — la cybersécurité comme risque d’entreprise assumé par la direction. |
| Identify (ID) | Connaître ses actifs, ses données, ses fournisseurs et ses risques. On ne peut pas protéger ce qu’on n’a pas cartographié. |
| Protect (PR) | Mesures de protection : contrôle d’accès, sensibilisation, sécurité des données, configuration sécurisée, maintenance. |
| Detect (DE) | Détecter rapidement les anomalies et les incidents grâce à la surveillance et à l’analyse. |
| Respond (RS) | Contenir, analyser, communiquer et atténuer pendant un incident. |
| Recover (RC) | Restaurer les services et capitaliser sur les enseignements pour limiter l’impact du prochain incident. |
L’introduction de Govern constitue la mise à jour la plus stratégiquement importante : elle fait formellement de la cybersécurité une question de gouvernance et de responsabilité, ce qui correspond précisément à ce que NIS2 et DORA exigent désormais des organes de direction.
Niveaux (Tiers) et profils — comment utiliser le cadre en pratique
Deux outils transforment les fonctions en programme opérationnel. Les niveaux (Tiers) (1 Partiel, 2 Informé par le risque, 3 Répétable, 4 Adaptatif) décrivent la rigueur et la cohérence de votre gestion des risques — ce sont des indicateurs de maturité, pas des scores à maximiser. Les profils sont là où le travail s’effectue : vous documentez un profil actuel (ce que vous faites aujourd’hui) et un profil cible (ce qu’exigent vos risques et obligations), et l’écart entre les deux devient votre feuille de route priorisée.
Un parcours de mise en œuvre pratique pour une PME
- Établir la base Govern. Désigner un responsable, rédiger une politique cyber-risque succincte, définir l’appétence au risque et inscrire le risque de la chaîne d’approvisionnement à l’agenda.
- Construire le profil actuel. Parcourir les six fonctions et recenser honnêtement l’existant. Un audit de sécurité externe accélère cette étape.
- Définir le profil cible à partir de vos risques et de vos exigences réglementaires (NIS2, DORA, contrats clients).
- Prioriser les écarts par réduction de risque par euro investi — généralement les bases Identify et Protect en premier.
- Exécuter et remesurer en cycle ; faire progresser votre niveau uniquement là où le risque le justifie.
Correspondance du CSF 2.0 avec les obligations européennes
Le CSF n’est pas un certificat de conformité, mais il constitue une excellente couche organisatrice en dessous. Ses résultats se mappent bien sur les mesures de gestion des risques de NIS2 et sur les contrôles de l’Annexe A d’ISO 27001 ; un programme unique basé sur CSF peut ainsi répondre à plusieurs obligations simultanément.
| CSF 2.0 | NIS2 | ISO 27001 |
|---|---|---|
| Govern | Gouvernance & responsabilité des dirigeants | Clauses 4–6 (contexte, leadership, planification) |
| Identify | Analyse des risques, gestion des actifs & de la chaîne d’approvisionnement | Évaluation des risques ; A.5 contrôles organisationnels |
| Protect | Mesures de sécurité, contrôle d’accès, cryptographie | Contrôles A.5–A.8 |
| Detect / Respond | Gestion & notification des incidents | A.5.24–A.5.28 gestion des incidents |
| Recover | Continuité des activités & gestion de crise | A.5.29–A.5.30 continuité |
Traitez ces correspondances comme un guide, non comme une équivalence juridique : NIS2 et ISO 27001 imposent des spécificités que le CSF ne couvre pas. Mais comme moyen de construire une fois pour satisfaire plusieurs obligations, le CSF 2.0 est difficile à battre — c’est exactement ainsi que nous l’utilisons.
Information générale, pas de conseil juridique. ICTLAB utilise le NIST CSF 2.0 pour structurer des programmes de sécurité répondant également aux exigences NIS2 et ISO 27001 pour les organisations belges — découvrez notre service d’audit de sécurité ou parlez à notre équipe.