La vision de Cyber Academy
NIST CSF est le référentiel de cybersécurité publié par le National Institute of Standards and Technology américain. La révision 2.0 (2024) a ajouté « Govern » aux cinq fonctions existantes (Identify, Protect, Detect, Respond, Recover). Non certifiable ; utilisé comme référence de maturité. Souvent associé à ISO/IEC 27001 dans les organisations transatlantiques.
Ce qu'est le NIST CSF, et ce qu'il n'est pas
Le NIST Cybersecurity Framework est une manière structurée d'organiser un programme de cybersécurité autour de résultats plutôt que de produits. Il ne vous dit pas quel pare-feu acheter ou quel contrôle déployer.
Il décrit plutôt à quoi ressemble une bonne pratique, en regroupant l'activité de cybersécurité en un petit ensemble de fonctions et en découpant chaque fonction en catégories et sous-catégories qui se lisent comme des résultats en langage clair : les actifs sont inventoriés, les accès sont gérés, les anomalies sont détectées, les plans de réponse sont exécutés. Cette orientation vers les résultats explique pourquoi il s'adapte si bien à tous les secteurs et à toutes les tailles. Un hôpital, un industriel et un éditeur de logiciels peuvent tous utiliser le même vocabulaire pour décrire où ils en sont et où ils veulent aller.
La chose la plus importante à comprendre, c'est ce que le cadre n'est pas. Ce n'est pas une norme certifiable. Il n'existe pas de certificat NIST CSF, pas d'organisme accrédité qui délivre une réussite, et pas d'audit qui se termine par une marque enregistrée sur votre site web. C'est une référence volontaire que vous utilisez pour évaluer la maturité, fixer des objectifs et communiquer votre posture, à la fois en interne auprès d'un conseil d'administration et en externe auprès de partenaires. Considérez une affirmation d'un fournisseur prétendant être « certifié NIST CSF » comme un signal d'alerte, car une telle certification n'existe pas.
Les fonctions : de cinq à six
Le cadre est construit autour de fonctions qui couvrent ensemble l'ensemble du cycle de vie de la gestion du cyber-risque. Les cinq fonctions d'origine étaient Identify, Protect, Detect, Respond et Recover. La révision 2.0 publiée en 2024 a ajouté Govern, portant le total à six et plaçant la gouvernance au centre du modèle plutôt que de la traiter comme une réflexion après coup.
Govern couvre le contexte organisationnel, la stratégie de gestion des risques, les rôles et responsabilités, la politique et la supervision qui devraient façonner la manière dont les cinq autres fonctions sont priorisées et dotées de ressources. Son ajout a formalisé ce que les programmes matures faisaient déjà : les contrôles techniques ne fonctionnent que lorsque quelqu'un est propriétaire des décisions de risque qui les sous-tendent.
| Fonction | Ce qu'elle couvre |
|---|---|
| Govern | Stratégie, rôles, politique et supervision du cyber-risque |
| Identify | Comprendre les actifs, les fournisseurs et les risques qui les concernent |
| Protect | Mesures de protection qui limitent ou contiennent un incident |
| Detect | Repérer les événements et les anomalies au fur et à mesure qu'ils se produisent |
| Respond | Agir sur un incident détecté pour le contenir |
| Recover | Restaurer les capacités et les services après un incident |
En pratique, une équipe note son état actuel par rapport à chaque catégorie, définit un profil cible qui reflète son appétence au risque et ses obligations, et travaille à combler l'écart entre les deux. Le cadre laisse délibérément le comment à votre charge, ce qui explique pourquoi il s'associe naturellement à des catalogues prescriptifs comme les CIS Controls ou NIST 800-53 qui fournissent les mesures de protection concrètes sous chaque résultat.
Pourquoi il s'inscrit aux côtés d'ISO 27001
Le NIST CSF et ISO 27001 ne sont pas des concurrents, et de nombreuses organisations transatlantiques utilisent les deux. ISO 27001 certifie que vous exploitez un système de management de la sécurité de l'information, avec une appréciation des risques, une déclaration d'applicabilité et une amélioration continue, et il produit un certificat auditable que les clients reconnaissent dans le monde entier.
Le NIST CSF vous donne un langage de maturité flexible et un moyen d'exprimer votre posture à un public à tendance américaine ou de vous aligner sur les attentes fédérales américaines. Un schéma courant consiste à certifier le système de management sous ISO 27001 pour le titre, puis à utiliser le profil CSF pour communiquer la maturité et s'aligner sur les cadres et les clients qui s'expriment en termes NIST.
NIST publie des références informatives qui mettent en correspondance les sous-catégories du CSF avec ISO 27001 et d'autres normes, de sorte que le travail rarement besoin d'être fait deux fois.
Frequently asked questions
01Peut-on se faire certifier au NIST CSF ?
Non. Le NIST CSF est un cadre volontaire, et non une norme certifiable, il n'existe donc pas de certificat accrédité à obtenir ou à afficher. Les organisations qui ont besoin d'un titre auditable se certifient généralement selon ISO 27001 à la place et utilisent le CSF comme référence de maturité.
02Qu'est-ce qui a changé dans le NIST CSF 2.0 ?
La révision 2.0, publiée en 2024, a ajouté une sixième fonction, Govern, aux cinq d'origine : Identify, Protect, Detect, Respond et Recover. Govern place la stratégie de risque, les rôles, la politique et la supervision au centre du cadre. Le périmètre de la version 2.0 a également été élargi au-delà des infrastructures critiques aux organisations de toute taille et de tout secteur.
03Quelles sont les six fonctions du NIST CSF ?
Govern, Identify, Protect, Detect, Respond et Recover. Govern est l'ajout de la version 2.0 ; les cinq autres étaient les fonctions d'origine et couvrent le cycle de vie de la préparation, de la détection, de la réponse et du rétablissement face aux incidents.
04En quoi le NIST CSF diffère-t-il d'ISO 27001 ?
ISO 27001 certifie un système de management de la sécurité de l'information et produit un certificat reconnu internationalement après un audit. Le NIST CSF est une référence de maturité volontaire sans certification. Ils sont complémentaires, et de nombreuses organisations utilisent ISO 27001 pour le titre et le CSF pour exprimer leur posture et s'aligner sur les attentes orientées vers les États-Unis.
05Le NIST CSF vous dit-il quels contrôles mettre en œuvre ?
Pas directement. Il décrit des résultats plutôt que des mesures de protection spécifiques, ce qui explique pourquoi il est généralement associé à des catalogues prescriptifs comme les CIS Controls ou NIST 800-53 qui fournissent les contrôles concrets derrière chaque résultat.