NIST CSF 2.0 — Cybersecurity Framework

NIST CSF 2.0 en langage clair —
six fonctions pour structurer la cybersécurité d'une PME

Le NIST Cybersecurity Framework est l'un des cadres de cybersécurité les plus utilisés au monde. Sa version 2.0, publiée en février 2024, ajoute une sixième fonction Govern aux cinq originales (Identify, Protect, Detect, Respond, Recover) et étend explicitement son application aux organisations de toutes tailles, plus seulement aux infrastructures critiques. Ce guide explique chaque fonction en langage clair et son articulation avec la Loi 25.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre le NIST CSF 2.0 — guide pratique pour PME québécoises

Le NIST CSF est un cadre stratégique : il structure la conversation, fixe les attentes, organise la priorisation. Il ne dit pas comment faire — il dit quoi couvrir. Pour une PME québécoise, c'est le complément naturel des CIS Controls (qui détaillent le « comment ») et de la Loi 25 (qui fixe les obligations légales).

Préalable conseillé : avant d'aborder cette page, parcourir la fiche CIS Controls v8.1 IG1 qui détaille les mesures concrètes de cyberhygiène. Le présent guide remonte au niveau stratégique avec NIST CSF 2.0.

Qu'est-ce que le NIST CSF et pourquoi la version 2.0 change la donne

Définition : Le NIST Cybersecurity Framework (CSF) est un cadre de gestion du risque cybernétique publié par le National Institute of Standards and Technology, agence du département américain du Commerce. La version 2.0, publiée en février 2024, est la première mise à jour majeure depuis la v1.1 de 2018.

Trois changements structurants en CSF 2.0 :

  1. Élargissement du périmètre. CSF 1.1 était conçu pour les infrastructures critiques américaines (énergie, transport, santé, finance). CSF 2.0 s'applique explicitement à toutes les organisations, peu importe la taille, le secteur ou le pays. Pour une PME québécoise, c'est désormais un cadre directement utilisable sans adaptation.
  2. Ajout de la fonction Govern (GV). Les cinq fonctions originales (Identify, Protect, Detect, Respond, Recover) sont conservées, mais une sixième fonction transversale les coiffe. Govern adresse la gouvernance du risque cybernétique : stratégie, politiques, supervision. Elle est au centre du modèle parce qu'elle informe les cinq autres.
  3. Insistance accrue sur la chaîne d'approvisionnement. Plusieurs sous-catégories nouvelles ou élargies traitent des risques venant des fournisseurs et sous-traitants. C'est cohérent avec l'évolution réglementaire au Québec (article 18.3 Loi 25) et en Europe (DORA, NIS 2).

Le CSF 2.0 ne remplace pas les contrôles techniques (CIS Controls, OWASP) ni les exigences légales (Loi 25, RGPD). Il les structure et fournit un langage commun pour la direction, l'équipe TI et les auditeurs.

À retenir

Le NIST CSF 2.0 est le pont entre la stratégie (gouvernance, priorités) et la tactique (mesures concrètes). Pour une PME, il rend possible une conversation entre direction et TI qui n'est ni trop technique ni trop abstraite.

Govern (GV) — la nouvelle fonction au centre du modèle

Nouveauté CSF 2.0 : Govern est la fonction la plus stratégique. Elle ne s'occupe pas de mesures techniques — elle s'occupe de comment l'organisation décide, finance et supervise sa cybersécurité. Pour une PME québécoise, c'est le maillon souvent le plus faible.

Govern couvre six catégories principales :

  • Stratégie de gestion du risque cybernétique. Quelle est la posture de l'organisation? Quelle tolérance au risque?
  • Rôles et responsabilités. Qui est responsable de la cybersécurité dans l'organisation? Qui prend les décisions? Qui rend des comptes?
  • Politique organisationnelle. Quelles politiques internes encadrent les comportements (politique d'usage acceptable, politique de mots de passe, politique d'incident)?
  • Supervision. Qui mesure la performance des contrôles? Comment le conseil ou la direction est-elle informée?
  • Gestion des risques de chaîne d'approvisionnement. Comment les fournisseurs sont-ils évalués, encadrés (DPA), surveillés? Lien direct avec l'article 18.3 de la Loi 25.
  • Conformité réglementaire. Quelles obligations légales s'appliquent? Comment l'organisation démontre-t-elle sa conformité?

Pour une PME québécoise, Govern est précisément le terrain où la Loi 25 s'invite : nommer un Responsable PRP (rôles), tenir un registre des traitements (gouvernance de l'information), publier une politique de confidentialité (politique organisationnelle), encadrer les sous-traitants par DPA (chaîne d'approvisionnement). Le CSF 2.0 fournit le cadre, la Loi 25 impose certaines des décisions.

À retenir

Govern est la fonction qui fait le plus défaut dans les PME québécoises. Pas par mauvaise volonté — par manque de cadre. Le CSF 2.0 explicite ce qui devrait exister : rôles, politiques, supervision, encadrement des fournisseurs, conformité.

Identify, Protect, Detect — les fonctions de prévention

Logique : ces trois fonctions forment l'avant-incident. Elles construisent la posture qui réduit la probabilité d'un événement et augmente la capacité à le détecter rapidement s'il survient.

Identify (ID) — Identifier.

Développer la compréhension de l'organisation pour gérer le risque cybernétique : quels sont les actifs (systèmes, données, personnes, fournisseurs)? Quels sont les risques associés? Pour une PME, c'est la cartographie qui sert ensuite de base à toute décision. Sans inventaire des outils utilisés, des données collectées et des fournisseurs, la cybersécurité devient un exercice à l'aveugle. Cette fonction recoupe directement les Controls 1, 2, 3 et 15 des CIS Controls.

Protect (PR) — Protéger.

Mettre en place les mesures qui empêchent ou limitent l'impact d'un événement de cybersécurité. Authentification (MFA), contrôle d'accès, chiffrement, formation des employés, sauvegardes, configurations sécurisées. C'est la fonction la plus volumineuse en termes de Sous-catégories — elle couvre la majorité des mesures concrètes. Recoupe les Controls 4, 5, 6, 11, 14 des CIS Controls.

Detect (DE) — Détecter.

Identifier rapidement les événements de cybersécurité quand ils surviennent. Journalisation (logs), surveillance des accès anormaux, alertes sur les configurations qui changent. Sans détection, un incident peut durer des semaines avant d'être identifié — typiquement, le délai moyen de détection d'une fuite chez les PME se mesure en mois, pas en jours. Recoupe le Control 8 (journalisation) et le Control 13 (surveillance réseau) des CIS Controls.

À retenir

Identify + Protect + Detect couvrent l'avant-incident. Pour une PME, l'investissement dans ces trois fonctions est généralement le plus rentable — éviter un incident coûte beaucoup moins qu'en gérer un. La séquence pratique : Identify d'abord (savoir ce qu'on a), Protect ensuite (verrouiller), Detect en parallèle (surveiller).

Respond et Recover — les fonctions d'incident

Logique : ces deux fonctions forment l'après-incident. Elles construisent la capacité de réaction et de retour à la normale. Pour une PME, elles sont souvent les moins préparées — jusqu'au jour où elles deviennent vitales.

Respond (RS) — Répondre.

Prendre les actions appropriées face à un incident détecté. Contenir l'incident, communiquer (avec les autorités, les personnes concernées, les médias si nécessaire), enquêter, mettre en œuvre des mesures correctives. Pour une PME québécoise, la composante légale est importante : la Loi 25 exige la notification à la Commission d'accès à l'information (CAI) sous 72 heures pour les incidents présentant un risque sérieux, et la notification aux personnes concernées. Sans plan de réponse documenté, ces obligations sont difficiles à respecter sous pression.

Recover (RC) — Récupérer.

Restaurer les opérations affectées par un incident. Restauration des systèmes à partir des sauvegardes, communication post-incident, leçons apprises. Pour une PME, la résilience face aux rançongiciels passe par cette fonction : sauvegardes testées, procédures de restauration documentées, capacité à fonctionner en mode dégradé pendant la restauration. Recoupe le Control 11 (Data Recovery) des CIS Controls.

Une organisation qui couvre Respond et Recover ne se contente pas d'éviter les incidents — elle s'assure que quand un incident survient, l'impact est limité et la récupération est rapide. Pour une PME, c'est ce qui distingue la fermeture pendant trois semaines après une attaque par rançongiciel d'un retour à la normale en 48 heures.

À retenir

Respond et Recover sont les fonctions qui font la différence le jour J. Une PME peut avoir des contrôles Protect parfaits — un incident peut quand même survenir (humain, fournisseur compromis, faille zero-day). Ce qui détermine alors si l'organisation survit, c'est la qualité du plan de réponse et la robustesse des sauvegardes.

Articulation avec la Loi 25, les CIS Controls et l'OWASP Top 10

Convergence : NIST CSF 2.0 ne remplace aucun cadre — il les structure. Une PME québécoise qui adopte le CSF comme cadre stratégique peut implémenter ses fonctions via les CIS Controls, valider la sécurité web via OWASP Top 10 et démontrer la conformité Loi 25 sur la base de la posture globale.

Correspondances Loi 25 ↔ NIST CSF 2.0 :

  • Loi 25 article 8 (politique de confidentialité, transparence) → fonction Govern (politiques organisationnelles).
  • Loi 25 article 10 (mesures de sécurité raisonnables) → fonctions Identify + Protect + Detect.
  • Loi 25 articles 3.2 et 3.3 (registre des traitements et EFVP) → fonction Identify.
  • Loi 25 article 18.3 (DPA pour sous-traitants) → fonction Govern (gestion de la chaîne d'approvisionnement).
  • Loi 25 obligations de notification d'incident sous 72 h à la CAI → fonctions Respond + Recover.

Lecture combinée des cadres pour une PME :

  • NIST CSF 2.0 = stratégie. Quelles fonctions couvrir, comment les organiser, qui en est responsable.
  • CIS Controls v8.1 IG1 = tactique. Les mesures concrètes à implémenter pour chaque fonction.
  • OWASP Top 10 = sécurité web spécialisée. Les vulnérabilités spécifiques au site web.
  • Loi 25 = obligations légales québécoises. Ce qui doit être démontrable en cas de plainte ou de contrôle.

À retenir

Une PME québécoise n'a pas à choisir entre ces cadres — elle les combine. NIST CSF pour la structure stratégique, CIS Controls pour les mesures, OWASP pour le site web, Loi 25 pour le cadre légal. Tous parlent du même territoire avec des angles différents.

Démarche d'adoption pour une PME québécoise

Posture pragmatique : adopter le NIST CSF 2.0 dans une PME ne demande pas de produire un document de 80 pages. Il suffit de structurer la conversation et les décisions selon les six fonctions. La maturité grandit progressivement — l'important est d'avoir un cadre commun.

Étapes recommandées :

  1. Sélectionner les sous-catégories pertinentes. Le CSF 2.0 propose des centaines de sous-catégories. Une PME en sélectionne typiquement 30 à 50, en cohérence avec la taille et le secteur. Le NIST publie des « Quick Start Guides » pour les petites organisations.
  2. Établir un profil cible (Target Profile). Pour chaque sous-catégorie sélectionnée, déterminer le niveau de maturité visé (parfois exprimé en niveaux 1 à 4).
  3. Évaluer le profil actuel (Current Profile). Pour chaque sous-catégorie, mesurer où l'organisation se situe aujourd'hui. L'écart entre actuel et cible est la feuille de route.
  4. Prioriser les écarts. Pas tous les écarts ont la même criticité. Certains exposent à des risques majeurs, d'autres sont des améliorations mineures.
  5. Implémenter par cycles courts. Couvrir un sous-ensemble par trimestre, valider, mesurer, passer au suivant.
  6. Réviser annuellement. Le profil cible et l'évaluation actuelle évoluent avec l'organisation et les menaces.

Pour une PME québécoise qui débute, une bonne approche est de coupler NIST CSF 2.0 (cadre stratégique) avec CIS Controls IG1 (mesures tactiques). Le CSF organise la gouvernance et structure les conversations avec la direction ; les CIS Controls décrivent ce qu'il faut faire concrètement.

À retenir

L'adoption du NIST CSF 2.0 dans une PME peut tenir dans un tableur structuré par les six fonctions, avec une trentaine de sous-catégories sélectionnées et évaluées. Pas besoin de système coûteux — la valeur est dans la structure de la pensée, pas dans l'outillage.

En résumé

Le NIST Cybersecurity Framework 2.0, publié en février 2024, structure la cybersécurité d'une organisation autour de six fonctions : Govern (nouvelle), Identify, Protect, Detect, Respond, Recover. CSF 2.0 s'applique à toutes les organisations, plus seulement aux infrastructures critiques. La fonction Govern, ajoutée en 2024, structure la gouvernance du risque (rôles, politiques, supervision, chaîne d'approvisionnement, conformité). Pour une PME québécoise, le CSF 2.0 est le cadre stratégique qui coiffe les CIS Controls (mesures tactiques), l'OWASP Top 10 (sécurité web) et la Loi 25 (obligations légales). L'adoption se fait par sélection d'un sous-ensemble de sous-catégories, mesure du profil actuel par rapport à un profil cible, et implémentation par cycles courts.

Réponse rapide

Combien de fonctions dans le CSF 2.0? Six : Govern (nouvelle), Identify, Protect, Detect, Respond, Recover. Govern est au centre — elle structure la gouvernance et informe les cinq autres.

Le CSF remplace-t-il les CIS Controls? Non. CSF est stratégique (quoi couvrir), CIS Controls est tactique (comment faire). Les deux se complètent — CSF organise, CIS implémente.

Structurer la cybersécurité de votre PME avec le NIST CSF 2.0?

Pour les organisations qui veulent organiser leur posture cybersécurité autour des six fonctions du CSF 2.0 et faire le pont avec leurs obligations Loi 25, un accompagnement structuré aide à sélectionner les sous-catégories pertinentes et à bâtir un plan d'adoption progressif. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →