
Le NIST publie la version 2.0 mise à jour de son cadre de référence en matière de cybersécurité
Le National Institute of Standards and Technology (NIST) des États-Unis constitue depuis longtemps une source de ressources utiles pour aider les équipes de cybersécurité à évaluer les besoins, à planifier les investissements et à mettre en œuvre les meilleures pratiques. En 2013, il a publié le Cadre de référence en matière de cybersécurité (Cybersecurity Framework, ou CSF), qui constitue le principal document d'orientation sur la mise en place de pratiques efficaces en matière de cybersécurité.
En 2022, nous avons publié un article de blog destiné à vous aider à comprendre et à mettre en œuvre les conseils proposés dans le CSF. Et en 2023, un autre article a rapporté le fait que le NIST travaillait sur une mise à jour majeure du CSF.
Nous apprenons aujourd'hui que le processus de mise à jour est terminé et que le CSF 2.0 a été officiellement publié. Voyons donc ce qui a changé et comment ces changements peuvent affecter vos efforts pour comprendre, mettre en œuvre et maintenir les meilleures pratiques en matière de cybersécurité.
Trois changements clés
Les mises à jour les plus importantes du CSF 2.0 se répartissent en trois catégories :
- Public visé
- Modifications apportées aux fonctions principales
- Attention aux problèmes de confidentialité et aux technologies émergentes telles que l'intelligence artificielle (IA)
Audience :
Le CSF originalement publié par le NIST en 2023 était spécifiquement et explicitement destiné à aider les organisations gérant des systèmes d'infrastructures critiques aux États-Unis à renforcer leur sécurité contre les cyberattaques. La vulnérabilité globale de ces systèmes a été considérée (à juste titre) comme un inconvénient stratégique important, et le CSF a été créé pour remédier à cette vulnérabilité et l'atténuer.
Bien entendu, les conseils fournis dans le CSF étaient également précieux et utiles pour un public bien plus vaste, mais il peut être difficile d'identifier et de mettre en œuvre des recommandations susceptibles de concerner une organisation qui n'est pas impliquée dans la protection des infrastructures critiques.
Le CSF 2.0 est destiné à un public beaucoup plus large, et c'est ce qui a principalement motivé certaines des modifications apportées à ce document :
- Dans l'ensemble, les recommandations sont plus générales afin de faciliter leur mise en œuvre par les organisations de toutes les tailles et de tous les secteurs.
- Le NIST a fourni une grande variété de ressources supplémentaires pour aider les organisations à définir plus facilement leurs besoins et à élaborer des stratégies pertinentes. Il s'agit notamment d'un ensemble de guides de démarrage rapide, de modèles et de profils organisationnels et communautaires préformatés, d'un ensemble assez complet de FAQ, de références informatives, etc.
- Le CSF 2.0 est organisé de manière à s'aligner sur la stratégie nationale de cybersécurité signée en mars 2023 par le président américain Joe Biden.
Principales fonctions
Le CSF initial identifiait cinq fonctions principales :
- Identification : développer une compréhension organisationnelle pour gérer les risques en matière de cybersécurité pour les systèmes, les personnes, les actifs, les données et les fonctionnalités.
- Protection : élaborer et mettre en œuvre des mesures de protection adaptées pour préserver les services essentiels fournis par une entreprise.
- Détection : élaborer et mettre en œuvre des actions adaptées afin d'identifier la survenue d'un incident de cybersécurité.
- Réponse : élaborer et mettre en œuvre des actions adaptées pour prendre des mesures lorsqu'un incident de cybersécurité est détecté.
- Restaurer : développer et mettre en œuvre des actions adaptées afin de maintenir les plans de résilience et restaurer les capacités ou les services altérés en raison d'un incident de cybersécurité.
Le CSF 2.0 introduit une sixième fonction, « Gouvernance ». Cette fonction traite des questions d'organisation, de la définition des attentes au niveau de l'organisation, de la stratégie de gestion des risques et des politiques visant à rationaliser les processus clés. Les cinq autres fonctions ont également été restructurées, plusieurs catégories étant transférées vers la fonction de gouvernance.
Même si le CSF initial faisait référence à l'importance de garantir une structure organisationnelle efficace pour permettre et encourager le partage d'informations et la collaboration entre des groupes trop souvent isolés les uns des autres (par exemple, l'informatique et la sécurité), il ne fournissait pas suffisamment de conseils concrets pour y parvenir. Compte tenu de l'importance de ces questions pour déterminer le succès ou l'échec des projets de cybersécurité, l'ajout de la gouvernance en tant que fonction principale est une amélioration bienvenue.
Confidentialité et technologies émergentes
Le CSF original ne traitait pas de l'IA pour la simple raison qu'elle n'était pas encore devenue un facteur important en matière de cybersécurité, à la fois en matière de menaces et de surveillance de la sécurité. De même, les préoccupations en matière de confidentialité ont été largement ignorées dans ce document.
Depuis, le NIST a publié deux nouveaux documents-cadres de référence :
- Privacy Framework (en français, Cadre de référence en matière de confidentialité)
- Artificial Intelligence Risk Management Framework (AI RMF) (en français, Cadre de référence pour la gestion des risques liés à l'intelligence artificielle)
Le CSF 2.0 est conçu pour être utilisé conjointement avec ces autres cadres de référence, permettant aux organisations de mettre en place un processus unifié visant à améliorer la cybersécurité complète, à renforcer la protection de la vie privée et à gérer les risques liés aux technologies émergentes.
Des améliorations bienvenues
Notre article de 2022 sur le CSF du NIST a principalement abordé le fait que le document était assez intimidant et difficile à parcourir pour la plupart des équipes de sécurité, en particulier dans les PME, mais qu'il était tout de même d'une grande valeur s'il était utilisé de manière systématique pour mener à bien des projets spécifiques.
Nous sommes heureux d'annoncer que la mise à jour du CSF 2.0 permet de résoudre ce problème dans une large mesure. La restructuration des fonctions de base et l'ajout de la fonction de gouvernance, ainsi que la richesse des documents et des ressources qui l'accompagnent, font qu'il est désormais beaucoup plus facile pour les équipes disposant d'un personnel et de ressources limités d'utiliser ses recommandations et de mettre en œuvre les meilleures pratiques, ainsi que de mettre en place des processus itératifs en vue d'une amélioration continue au fil du temps.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter