Quoi de neuf dans la version 2.0 ?

Principalement la nouvelle fonction « Govern », le périmètre élargi (toutes les organisations), ainsi que les Profils et les Niveaux.

Comment le CSF s'articule-t-il avec ISO 27001 ou NIS2 ?

Le CSF est orienté résultats et global ; ISO 27001 est certifiable, et NIS2 est légalement obligatoire. Ils se complètent — Sightadel les relie.

Le CSF n'est-il pertinent que pour les entreprises américaines ?

Non. Le CSF est d'origine américaine mais est utilisé dans le monde entier, tous secteurs confondus — souvent comme langage commun avec des partenaires internationaux.

Par la fonction « Govern » et un profil actuel honnête. Sightadel vous guide à travers les deux.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

NIST CSF 2.0 · Cyber-risque

NIST CSF 2.0 : gérer le cyber-risque de façon structurée

Le NIST Cybersecurity Framework (CSF) 2.0 est un référentiel volontaire, reconnu mondialement, pour la gestion du cyber-risque. La version 2.0, publiée en février 2024, organise la sécurité en six fonctions centrales et s'adresse aux organisations de toute taille et de tout secteur. Cette page explique ce qu'est le CSF 2.0, à qui il s'adresse (et à qui moins), comment les six fonctions s'articulent, et comment utiliser le référentiel avec Sightadel comme langage commun et couche de management.

Qu'est-ce que NIST CSF 2.0 ?

Le CSF a été développé par le US National Institute of Standards and Technology (NIST). Ce n'est pas un catalogue de contrôles prescriptif, mais il décrit les résultats de cybersécurité souhaités — c'est-à-dire ce qu'une organisation devrait atteindre, et non nécessairement comment. Cela le rend flexible et adaptable à la taille, au secteur et à la maturité.

La version 2.0 apporte trois mises à jour clés :

Nouvelle fonction « Govern ». La gouvernance, la stratégie de risque, les rôles et le risque de la chaîne d'approvisionnement sont rendus visibles comme une sixième fonction autonome — auparavant, ils étaient dispersés dans « Identify ».
Périmètre élargi. Le CSF ne vise plus principalement les infrastructures critiques mais l'ensemble des organisations.
Profils et niveaux. Avec les Organizational Profiles, vous cartographiez votre état actuel et votre état cible ; les niveaux (tiers) décrivent la maturité de votre approche du cyber-risque.

Les six fonctions : Govern, Identify, Protect, Detect, Respond, Recover — ensemble, un cycle de vie complet du risque.

À qui NIST CSF 2.0 est-il utile — et à qui moins ?

Le CSF 2.0 vous est utile si…

… vous avez besoin d'un langage commun et orienté métier pour le cyber-risque — entre l'IT, le management et la direction générale. Particulièrement adapté si :

vous souhaitez faire évoluer la cybersécurité d'une tâche technique vers une responsabilité de gouvernance,
vous devez communiquer le risque de façon compréhensible au niveau du comité de direction et du conseil d'administration,
vous avez des partenaires internationaux ou américains qui attendent le CSF comme référence,
vous souhaitez organiser diverses exigences (ISO 27001, NIS2, DORA) sous un toit commun.

Le CSF 2.0 seul ne suffit pas si…

… vous avez besoin d'une preuve certifiable pour des raisons contractuelles ou réglementaires. Le CSF n'est pas certifiable. Là où les clients exigent une certification ISO 27001 ou une attestation C5, le CSF ne les remplace pas — mais il fonctionne parfaitement comme couche de management et de structuration globale à laquelle ces normes peuvent se rattacher.

Les six fonctions en un coup d'œil

Govern (GV) : stratégie, rôles, politiques, gestion des risques et risque de la chaîne d'approvisionnement. Le socle stratégique des autres fonctions.
Identify (ID) : comprendre ses propres actifs, systèmes, données et risques.
Protect (PR) : mesures de protection telles que le contrôle d'accès, l'MFA, la formation et la sauvegarde des données.
Detect (DE) : détecter les anomalies et les événements de sécurité.
Respond (RS) : répondre aux incidents, confinement, communication.
Recover (RC) : rétablir les services et s'améliorer après les incidents.

Le défi typique de l'application du CSF

Orienté résultats, mais abstrait. Le CSF indique quoi atteindre — pas comment. Traduire cela en mesures concrètes et en preuves est laissé à l'organisation.
Comparaison actuel/cible à la main. Maintenir les Organizational Profiles dans des tableurs est fastidieux et devient rapidement obsolète.
Un silo à côté des autres normes. Sans liens avec ISO 27001, NIS2 ou C5, du travail en double apparaît.

Comment Sightadel simplifie l'application du CSF

Sightadel est le portail de conformité de la Pervigon Security Suite. Il représente le CSF 2.0 avec ses six fonctions, ses catégories et ses sous-catégories, transformant le modèle de résultats en un catalogue gérable de mesures et de preuves.

Du résultat à la mesure. Sightadel relie les sous-catégories du CSF à des mesures et des preuves concrètes. « Ce qui doit être atteint » devient « qui fait quoi et pour quand ».

Profil actuel et cible toujours à jour. Vous maintenez votre Organizational Profile dans le portail plutôt que dans des tableurs et voyez l'avancement par fonction en un coup d'œil.

Une couche de management commune. Le CSF sert de toit : Sightadel met en correspondance vos mesures à la fois avec les fonctions du CSF et avec les exigences correspondantes d'ISO 27001, NIS2 et DORA.

Réutilisation des preuves. Une mesure — telle que le contrôle d'accès — satisfait simultanément « Protect » dans le CSF et l'exigence correspondante d'ISO 27001 et de NIS2. Une seule preuve, plusieurs référentiels.

Plus de consultants externes comme béquille permanente. La logique de correspondance est intégrée au portail et soutenue par le cœur neoAI. Votre équipe gère le référentiel de manière autonome.

NIST CSF 2.0 avec Sightadel en pratique

1
Créer le profil actuel.Recensez l'état actuel par fonction et par sous-catégorie.
2
Définir le profil cible.Fixez l'état cible et la maturité (tier), et faites ressortir les écarts.
3
Dériver les mesures.Un plan priorisé avec responsables et échéances — relié à vos autres normes.
4
Piloter et communiquer.Suivez l'avancement et présentez le cyber-risque dans des termes adaptés au management.

Questions fréquentes sur NIST CSF 2.0

Non. Le CSF est un référentiel volontaire, pas une norme certifiable. Il fonctionne comme une couche de management et de communication.

La gestion du cyber-risque comme un état, pas un instantané

Le cyber-risque évolue en permanence — le CSF le souligne explicitement. Sightadel maintient votre profil actuel/cible et les mesures associées en permanence à jour, de sorte que le référentiel reste une pratique vivante plutôt qu'une évaluation ponctuelle.

Visualisez votre profil CSF 2.0 dans Sightadel.

Réserver une démo