Standard
NIST CSF : Cybersecurity Framework
Le NIST Cybersecurity Framework (CSF) 2.0 est un référentiel de gestion des risques cyber publié par le National Institute of Standards and Technology. Il propose une taxonomie de résultats (outcomes) de sécurité de haut niveau, utilisable par toute organisation — quelle que soit sa taille, son secteur ou sa maturité — pour comprendre, évaluer, prioriser et communiquer ses efforts de cybersécurité. Le CSF ne prescrit pas comment ces résultats doivent être atteints ; il renvoie vers des ressources en ligne fournissant des recommandations sur les pratiques et contrôles pouvant être mis en œuvre.
Origine et évolution du standard
Publié pour la première fois en 2014 à la suite d'un décret présidentiel américain (Executive Order), le NIST CSF visait initialement à aider les organisations à comprendre, réduire et communiquer sur le risque cyber. La version 1.1 est sortie en 2018, apportant des clarifications sur l'authentification, la gestion des identités et la sécurité de la chaîne d'approvisionnement. Le 26 février 2024, le NIST a publié la version 2.0 du Framework.
L'édition 2.0 est conçue pour toutes les audiences, secteurs et types d'organisations, des plus petites écoles et associations aux plus grandes agences et entreprises — quel que soit leur degré de sophistication en cybersécurité. La principale nouveauté est l'ajout d'une sixième fonction : « Govern » (Gouverner). Le cœur du Framework s'organise désormais autour de six fonctions : Identify (Identifier), Protect (Protéger), Detect (Détecter), Respond (Répondre), Recover (Récupérer), et Govern (Gouverner). Le CSF 2.0 met particulièrement l'accent sur la gouvernance et les chaînes d'approvisionnement.
Lien avec NIS2
Les exigences de NIS2 s'alignent étroitement avec le NIST CSF, offrant aux organisations qui suivent déjà ce standard une base solide pour la conformité NIS2. Les organisations opérant à l'international ou présentes aux États-Unis et dans l'UE trouvent de la valeur à mapper le NIST CSF aux exigences NIS2, ce qui peut simplifier les efforts de conformité et soutenir l'adoption de bonnes pratiques reconnues.
Le NIST CSF peut aider les organisations à se préparer efficacement à la conformité NIS2, notamment parce que la directive manque d'une liste claire d'actions opérationnelles. En reliant les objectifs de haut niveau de NIS2 (gestion des risques chaîne d'approvisionnement, continuité d'activité) aux contrôles spécifiques du NIST CSF, les équipes techniques comprennent quelles actions concrètes déployer. Le mapping entre le NIST CSF et l'Article 21 §2 de NIS2 (mesures techniques, opérationnelles et organisationnelles) permet de structurer la mise en conformité autour des six fonctions du Framework.
Les ressources complémentaires (Quick Start Guides, Implementation Examples, Informative References) facilitent l'application opérationnelle de NIS2 dans des contextes variés, des PME aux infrastructures critiques.