Publié en février 2024, le NIST Cybersecurity Framework 2.0 (NIST CSF 2.0) constitue la première révision majeure depuis 2018 du cadre de référence américain pour la gestion des risques cybersécurité. Désormais applicable bien au-delà des infrastructures critiques, il s'étend à toute organisation de toute taille et tout secteur, avec un accent renforcé sur la gouvernance.
Ce guide détaille la structure du CSF 2.0, ses évolutions par rapport à la version 1.1, et comment l'implémenter dans une organisation européenne.
Qu'est-ce que le NIST CSF ?
Le NIST Cybersecurity Framework est un référentiel de bonnes pratiques cybersécurité publié par le National Institute of Standards and Technology (agence du département du Commerce américain). Il fournit :
- Un vocabulaire commun pour la cybersécurité
- Une méthodologie d'évaluation de la posture
- Une taxonomie de contrôles et activités
- Des profils cibles personnalisables
Bien que non contraignant légalement hors contrats fédéraux US, il est devenu un standard de facto mondial, utilisé par les entreprises du Fortune 500, les PME sous assurance cyber, et de plus en plus en Europe pour structurer les programmes de sécurité.
Évolution majeure en 2.0 : la fonction Govern
La nouveauté la plus significative du CSF 2.0 est l'ajout d'une sixième fonction : Govern (Gouverner). Elle chapeaute les 5 fonctions historiques (Identify, Protect, Detect, Respond, Recover) en traitant :
- La stratégie cyber au niveau direction
- La gestion des risques organisationnels
- Les politiques et supervision
- Les rôles et responsabilités
- La gestion des chaînes d'approvisionnement
Cet ajout traduit la reconnaissance que la cybersécurité est avant tout un enjeu de gouvernance avant d'être un enjeu technique. Il aligne également le cadre avec les exigences réglementaires récentes (NIS2, DORA, SEC cyber disclosure 2023).
Les 6 fonctions du CSF 2.0 en détail
1. Govern (GV) — la gouvernance cybersécurité
6 catégories :
- GV.OC — Organizational Context : mission, attentes des parties prenantes, exigences légales
- GV.RM — Risk Management Strategy : stratégie, tolérance au risque, appétit
- GV.RR — Roles, Responsibilities, and Authorities : qui fait quoi (CEO, CISO, owners)
- GV.PO — Policy : politiques de cybersécurité documentées
- GV.OV — Oversight : surveillance et amélioration continue
- GV.SC — Cybersecurity Supply Chain Risk Management : gestion risque chaîne d'approvisionnement
2. Identify (ID) — identifier
5 catégories :
- ID.AM — Asset Management : inventaire actifs (matériels, logiciels, données, services)
- ID.RA — Risk Assessment : évaluation des risques cyber
- ID.IM — Improvement : amélioration des processus identify
Note : le CSF 2.0 a fusionné certaines catégories (BE, GV qui existaient en 1.1 sont remontées dans Govern).
3. Protect (PR) — protéger
5 catégories :
- PR.AA — Identity Management, Authentication, and Access Control
- PR.AT — Awareness and Training : sensibilisation et formation
- PR.DS — Data Security : chiffrement, classification, rétention
- PR.PS — Platform Security : durcissement OS, application, firmware
- PR.IR — Technology Infrastructure Resilience : architecture résiliente
4. Detect (DE) — détecter
2 catégories :
- DE.CM — Continuous Monitoring : supervision continue
- DE.AE — Adverse Event Analysis : analyse d'événements anormaux
5. Respond (RS) — répondre
5 catégories :
- RS.MA — Incident Management : gestion d'incident
- RS.AN — Incident Analysis : analyse technique
- RS.CO — Incident Response Reporting and Communication : reporting
- RS.MI — Incident Mitigation : atténuation
6. Recover (RC) — récupérer
2 catégories :
- RC.RP — Incident Recovery Plan Execution : exécution plan de reprise
- RC.CO — Incident Recovery Communication : communication pendant la reprise
Chaque catégorie contient des sous-catégories avec des sous-outcomes mesurables (ex : GV.RM-01 "Risk management objectives are established and agreed to by organizational stakeholders"). Le CSF 2.0 définit 106 sous-catégories au total.
Tiers et profils — la logique d'implémentation
Les 4 tiers d'implémentation
Le CSF 2.0 définit 4 niveaux de sophistication :
| Tier | Nom | Caractéristiques |
|---|---|---|
| 1 | Partial | Gestion des risques ad hoc, réactive. Peu de conscience à l'échelle organisationnelle |
| 2 | Risk Informed | Processus approuvés direction, ressources suffisantes, mais pas formalisés à l'échelle |
| 3 | Repeatable | Pratiques formelles, revues régulières, approche organisation-wide cohérente |
| 4 | Adaptive | Amélioration continue basée sur leçons apprises + adaptation dynamique aux menaces |
Contrairement à un niveau de maturité CMMI, le tier n'est pas un objectif en soi — chaque organisation doit choisir le tier adapté à son contexte (risque, secteur, réglementation).
Les profils — le cœur opérationnel
Un profil CSF est une liste de sous-catégories avec :
- Niveau actuel (current profile)
- Niveau cible (target profile)
- Gap analysis entre les deux
- Plan d'action pour combler l'écart
Le profil est l'outil pratique principal. On peut créer :
- Profile organisationnel : vision globale de l'entreprise
- Profile sectoriel : conforme à un référentiel (ex : "CSF financial services profile")
- Profile vs menace : ciblé sur une catégorie de menaces (ex : "ransomware profile")
Community profiles — disponibles publiquement
NIST publie des profils communautaires pour différents secteurs :
- Manufacturing
- Financial Services
- Healthcare
- Election Infrastructure
- Small Business
Ils fournissent un point de départ accéléré pour les organisations du secteur.
NIST CSF 2.0 vs NIST CSF 1.1 — les changements clés
1. Nouvelle fonction Govern
Déjà détaillée. La fonction GV devient l'épine dorsale du programme, au-dessus des 5 fonctions opérationnelles.
2. Applicabilité universelle
CSF 1.1 était explicitement orienté vers les infrastructures critiques. CSF 2.0 élimine cette restriction : toute organisation est la cible (PME, startup, association, administration publique…).
3. Focus sur la chaîne d'approvisionnement
La catégorie GV.SC introduit explicitement la gestion du risque fournisseur/tiers, alignée sur la montée en puissance des attaques supply chain (SolarWinds, Kaseya, MOVEit).
4. Simplifications et clarifications
- Fusion de catégories redondantes
- Nouvelles sous-catégories plus mesurables
- Langage simplifié et plus accessible
5. Outils pratiques accompagnants
NIST a publié :
- Quick Start Guides par public cible (small business, enterprise, critical infrastructure)
- Reference tool interactif en ligne
- Informative References croisant CSF avec ISO 27001, SP 800-53, CIS Controls…
Mise en œuvre — méthode en 6 étapes
Étape 1 — Définir le périmètre
- Périmètre organisationnel (entreprise entière ? filiale ? BU ?)
- Niveau de détail attendu (profil stratégique vs opérationnel)
- Livrables et audiences (direction, RSSI, conformité, audit)
Étape 2 — Créer le profil actuel
Pour chaque sous-catégorie CSF, évaluer la maturité actuelle :
- Non implémenté
- Partiellement implémenté
- Largement implémenté
- Pleinement implémenté
Utiliser interviews, questionnaires, revues documentaires, échantillonnage technique.
Étape 3 — Définir le profil cible
Quelles sous-catégories sont prioritaires pour votre contexte ? Critères :
- Exigences réglementaires (NIS2, DORA, RGPD)
- Risques métier majeurs
- Attentes clients / contrats
- Appétit au risque direction
Étape 4 — Gap analysis
Pour chaque sous-catégorie, calculer l'écart entre actuel et cible. Prioriser les écarts selon :
- Criticité du risque adressé
- Coût de remédiation
- Dépendances avec d'autres sous-catégories
Étape 5 — Plan d'action
Construire une feuille de route (12-36 mois) avec :
- Mesures techniques et organisationnelles
- Responsables
- Budget estimé
- Échéances
Étape 6 — Suivi et itération
Profile CSF doit être révisé annuellement au minimum. Les événements cyber, changements organisationnels, évolutions réglementaires nécessitent une mise à jour.
NIST CSF 2.0 et cadres européens
NIS2
Le CSF 2.0 couvre très largement les exigences NIS2. La cartographie des 10 mesures Art. 21 NIS2 vers le CSF est directe :
| NIS2 Art. 21 | NIST CSF 2.0 |
|---|---|
| Politiques sécurité SI | GV.PO, ID.RA |
| Gestion incidents | RS.MA, RS.AN, RS.CO, RS.MI |
| Continuité d'activité | RC.RP, RC.CO + fonction Protect |
| Sécurité chaîne d'approvisionnement | GV.SC |
| Sécurité acquisition/dev | PR.PS |
| Évaluation efficacité | DE.CM, GV.OV |
| Cyber-hygiène | PR.AT, PR.AA |
| Cryptographie | PR.DS |
| RH + contrôle accès | PR.AA, PR.DS |
| MFA + communications sécurisées | PR.AA, PR.DS |
Consultez notre guide NIS2 complet pour approfondir.
DORA
DORA cible spécifiquement le secteur financier UE. Les 5 piliers DORA se mappent au CSF 2.0 :
| Pilier DORA | NIST CSF 2.0 |
|---|---|
| Gestion risques TIC | GV, ID, PR |
| Incidents TIC | RS |
| Tests résilience | PR.IR, RC |
| Risque tiers | GV.SC |
| Partage info | GV.OV, DE.AE |
Consultez notre guide DORA 2026.
ISO 27001
CSF 2.0 et ISO 27001 sont complémentaires :
- ISO 27001 : certification formelle, SMSI documenté, 93 contrôles Annexe A
- CSF 2.0 : cadre flexible, profils adaptatifs, orienté outcomes
Utiliser les deux ensemble est courant : ISO 27001 pour la certification, CSF pour la posture programme.
ISO 22301
ISO 22301 (continuité) et CSF 2.0 se complètent surtout sur la fonction Recover :
- ISO 22301 : BCMS structuré, BIA, plans, exercices
- CSF RC : principes outcomes
Consultez ISO 22301 vs NIST CSF pour creuser.
Erreurs fréquentes en implémentation CSF
1. Considérer le CSF comme une checklist
CSF n'est pas une liste de contrôles à cocher. C'est un cadre d'outcomes. Chaque sous-catégorie décrit un résultat attendu, pas une action précise. Plusieurs actions différentes peuvent satisfaire la même sous-catégorie.
2. Créer un profile sans implication direction
Le profile cible engage les investissements. Il doit être validé par la direction et aligné à l'appétit au risque.
3. Sur-investir dans la mesure, sous-investir dans l'action
Un gap analysis parfait qui n'aboutit à aucune action corrective est du gaspillage. Viser 80 % effort action, 20 % effort mesure.
4. Ignorer la fonction Govern
La fonction GV est nouvelle et souvent sous-traitée. Pourtant, c'est elle qui détermine l'alignement stratégique et la soutenabilité du programme.
5. Ne pas itérer
Un profile annuel, pas plus. Le CSF est vivant, la menace est vivante, l'organisation est vivante.
Comment ResiPlan opérationnalise NIST CSF 2.0
- Module CSF 2.0 avec les 6 fonctions, 23 catégories, 106 sous-catégories
- Profile management : actuel, cible, gap analysis automatisé
- Cartographie croisée avec NIS2, DORA, ISO 27001, ISO 22301
- Tableaux de bord maturité par fonction et par sous-catégorie
- Plan d'action intégré avec workflow responsable/échéance
- Community profiles importables (financial, healthcare, manufacturing)
Démarrer un essai gratuit 14 jours pour tester le module CSF 2.0.
Conclusion
Le NIST CSF 2.0 est devenu le cadre cybersécurité le plus flexible et le plus adopté mondialement. Sa nouvelle fonction Govern le rend pleinement compatible avec les exigences européennes (NIS2, DORA) tout en restant adaptable aux PME.
Son plus grand atout : l'approche par outcomes. Plutôt que d'imposer des contrôles rigides, CSF décrit ce qu'il faut obtenir — laissant chaque organisation choisir comment y parvenir selon son contexte.
Pour approfondir :