Le NIST Cybersecurity Framework 2.0 (publié le 26 février 2024) structure la cybersécurité d'une organisation en 6 fonctions de haut niveau et 23 catégories. Ce tableau de référence est la matrice la plus utilisée mondialement pour cartographier la posture cyber. Cet article fournit le tableau complet avec exemples de contrôles tactiques, matrice de priorisation, et liens entre catégories.
Vue d'ensemble : 6 fonctions
| Fonction | Code | But |
|---|---|---|
| Govern | GV | Établir, communiquer et superviser la stratégie cyber (nouveau en CSF 2.0) |
| Identify | ID | Comprendre les actifs, risques et dépendances |
| Protect | PR | Mettre en place des garde-fous |
| Detect | DE | Identifier rapidement un incident |
| Respond | RS | Contenir et traiter |
| Recover | RC | Restaurer et améliorer |
Tableau complet — 23 catégories
Govern (6 catégories)
| Code | Catégorie | Exemple de contrôle tactique |
|---|---|---|
| GV.OC | Organizational Context | Cartographie des missions, parties prenantes, exigences réglementaires |
| GV.RM | Risk Management Strategy | Politique de gestion des risques, appétit, tolérance |
| GV.RR | Roles, Responsibilities, Authorities | RACI cyber, compétences cyber au comité de direction |
| GV.PO | Policy | Politique cyber approuvée, revue annuellement |
| GV.OV | Oversight | KPIs au CODIR, indicateurs de performance |
| GV.SC | Cybersecurity Supply Chain Risk Management | Évaluation fournisseurs, contrats, sous-traitance |
Identify (3 catégories)
| Code | Catégorie | Exemple de contrôle tactique |
|---|---|---|
| ID.AM | Asset Management | CMDB à jour (matériel, logiciels, données, services) |
| ID.RA | Risk Assessment | EBIOS RM, ISO 27005, FAIR — évaluation périodique |
| ID.IM | Improvement | Lessons learned des incidents et exercices |
Protect (5 catégories)
| Code | Catégorie | Exemple de contrôle tactique |
|---|---|---|
| PR.AA | Identity Management, Authentication, Access Control | MFA, SSO, gestion comptes privilégiés |
| PR.AT | Awareness & Training | Phishing simulé trimestriel, formation rôles spécifiques |
| PR.DS | Data Security | Chiffrement at-rest, in-transit, clés HSM |
| PR.PS | Platform Security | Hardening OS, baselines CIS, patch management |
| PR.IR | Technology Infrastructure Resilience | Redondance réseau, DRP, sites de repli |
Detect (2 catégories)
| Code | Catégorie | Exemple de contrôle tactique |
|---|---|---|
| DE.CM | Continuous Monitoring | SIEM, EDR, NDR, surveillance comportementale |
| DE.AE | Adverse Event Analysis | SOC 24/7, analyse d'IOC, threat hunting |
Respond (4 catégories)
| Code | Catégorie | Exemple de contrôle tactique |
|---|---|---|
| RS.MA | Incident Management | Cellule de crise, framework RAPID |
| RS.AN | Incident Analysis | Forensic, root cause, scope |
| RS.CO | Incident Response Reporting & Communication | Notification ANSSI/CSIRT, comm interne/externe |
| RS.MI | Incident Mitigation | Isolation, containment, eradication |
Recover (3 catégories)
| Code | Catégorie | Exemple de contrôle tactique |
|---|---|---|
| RC.RP | Incident Recovery Plan Execution | Restauration depuis sauvegardes, DRP, tests |
| RC.CO | Incident Recovery Communications | Communication de retour à la normale |
| RC.IM | Improvements | Mise à jour des plans avec REX |
Matrice de priorisation pour une PME (NIS2 essentielle/importante)
Une PME ne peut pas tout couvrir d'un coup. Voici une matrice de priorisation pragmatique :
| Priorité | Catégories à couvrir d'abord | Justification |
|---|---|---|
| P1 (3 mois) | GV.PO, GV.RM, ID.AM, PR.AA, RS.MA | Politique, risques, actifs, accès, incident — les 5 fondamentaux |
| P2 (6 mois) | GV.SC, ID.RA, PR.DS, DE.CM, RC.RP | Supply chain, évaluation détaillée, données, monitoring, recovery |
| P3 (12 mois) | GV.RR, GV.OV, PR.AT, PR.PS, PR.IR, DE.AE, RS.AN, RS.CO, RS.MI, RC.CO | Couverture complète |
| Continu | GV.OC, ID.IM, RC.IM | Veille contexte + amélioration continue |
Cross-mapping NIST CSF 2.0 ↔ NIS2 ↔ DORA ↔ ISO 27001
| NIST CSF 2.0 | NIS2 Art. 21 | DORA | ISO 27001 |
|---|---|---|---|
| GV.OC, GV.PO | (a) policies | Art. 5 | A.5.1 |
| GV.RM | (a) policies + risk | Art. 6 | A.5.4 |
| GV.SC | (d) supply chain | Art. 28 | A.5.19 |
| ID.AM, ID.RA | (b) handling, (c) BCP | Art. 8 | A.8.1, A.5.7 |
| PR.AA | (j) MFA + ACS | Art. 9 | A.5.15, A.8.2 |
| PR.DS | (h) crypto | Art. 9 | A.8.24 |
| DE.CM, DE.AE | (e) detection | Art. 10 | A.8.16 |
| RS.MA, RS.CO | (b) reporting + (c) BCP | Art. 17 | A.5.24 |
| RC.RP, RC.IM | (c) crisis & continuity | Art. 11 | A.5.30 |
Voir notre guide NIST CSF 2.0 complet et DORA vs NIS2.
Comment ResiPlan automatise le cross-mapping
Le module Multi-framework Mapping (/features/multi-framework-mapping) fournit :
- Mapping pré-câblé NIST CSF 2.0 ↔ ISO 27001 ↔ NIS2 ↔ DORA ↔ ANSSI EBIOS RM.
- Tableau de bord couverture (% par catégorie).
- Détection automatique des gaps (contrôle revendiqué dans un framework mais sans preuve).
- Génération de rapports de conformité multi-cadres en 1 clic.
Démarrer un essai gratuit ResiPlan — votre matrice de couverture en 1 jour.