NIST Cybersecurity Framework 2.0 Mis à jour : Juin 2026

Le NIST Cybersecurity Framework (version 2.0, publiée 2024) est un référentiel américain adapté mondialement. Contrairement à ISO 27001, il n'est pas certifiant mais fournit un langage commun. Il s'articule autour de 6 fonctions, 22 catégories et 106 sous-catégories. Utilisé par des milliers d'organisations dans plus de 100 pays.

Nouvelle dans CSF 2.0, GOVERN couvre la gouvernance cyber : politique organisationnelle, rôles et responsabilités, stratégie de gestion des risques, chaîne d'approvisionnement. Son ajout reconnaît que la cybersécurité est une décision stratégique, pas uniquement technique. Elle englobe ce que l'organisation décide de faire.

Inventorier les actifs (matériels, logiciels, données, personnes), évaluer les risques, cartographier les dépendances. Sans cette fonction, on ne sait pas ce qu'on protège. Outils : CMDB, scan réseau, registre des données. Résultat : liste priorisée des actifs critiques et compréhension des risques associés.

PROTECT : contrôles d'accès, formations, maintenance, protection des données, processus sécurisés. DETECT : surveillance continue, détection des anomalies, analyse des logs. Ces deux fonctions sont complémentaires : PROTECT réduit la surface d'attaque, DETECT identifie ce qui passe à travers les défenses.

RESPOND : planification de la réponse, communication, analyse, atténuation, amélioration. RECOVER : planification du rétablissement, communication, apprentissage. La capacité à RESPOND et RECOVER rapidement détermine l'impact réel d'un incident. Un MTTD (Mean Time to Detect) de 24h vs 200 jours change tout.

Tier 1 (Partiel) : pratiques ad hoc, non formalisées. Tier 2 (Informé du risque) : pratiques approuvées, partiellement mises en œuvre. Tier 3 (Répétable) : pratiques formalisées, mises à jour régulièrement. Tier 4 (Adaptatif) : amélioration continue, apprentissage automatique, leadership sectoriel. La plupart des PME visent le Tier 2-3.