NIST CSF 2.0 Govern pour les PME et ISO 27001
Sarah, récemment nommée RSSI d’une PME FinTech en forte croissance, avait devant elle un tableau blanc rempli de référentiels et une échéance impossible à reporter. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Risque fournisseur. Responsabilité du conseil d’administration. Diligences raisonnables d’un grand client entreprise.
Le déclencheur était classique : un tableur transmis par un client majeur du secteur des services financiers. Les achats demandaient des éléments probants relatifs à un modèle de gouvernance de la cybersécurité, à l’appétence au risque, à un programme de sécurité des fournisseurs, à la cartographie des obligations légales et réglementaires, à un processus d’escalade des incidents et à l’alignement sur ISO 27001:2022.
La directrice générale ne voulait pas un exposé sur la conformité. Elle voulait une réponse simple à une question difficile : « Comment prouvons-nous à notre conseil d’administration, à nos clients et à nos régulateurs que nous maîtrisons le risque cyber ? »
C’est le problème de gouvernance auquel de nombreuses PME sont confrontées. Un questionnaire client est rarement un simple questionnaire client. Il concentre souvent cinq discussions de conformité en une seule demande. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, les attentes fournisseurs liées à DORA, la résilience cloud, la supervision du conseil d’administration et les engagements contractuels se cachent tous derrière la même demande d’éléments probants.
De nombreuses PME répondent en créant des livrables justificatifs distincts : un tableur NIST, un dossier de certification ISO, un outil de suivi GDPR, un registre des risques fournisseurs et un plan de réponse aux incidents qui ne sont pas reliés. Six mois plus tard, plus personne ne sait quel document fait autorité.
L’approche de Clarysec est différente. Utiliser la fonction Govern de NIST CSF 2.0 comme couche de gouvernance exécutive, puis la cartographier avec les politiques ISO 27001:2022, le traitement des risques, la Déclaration d’applicabilité, la supervision des fournisseurs, la revue de direction et les éléments probants d’audit. Le résultat n’est pas davantage de travail de conformité. C’est un modèle opérationnel unique qui permet de répondre aux auditeurs, aux clients, aux régulateurs et à la direction avec le même corpus d’éléments probants.
Pourquoi la fonction Govern de NIST CSF 2.0 est importante pour les PME
NIST CSF 2.0 élève la gouvernance au rang de fonction à part entière, aux côtés d’Identify, Protect, Detect, Respond et Recover. Cette évolution est importante, car la plupart des défaillances de sécurité dans les PME ne sont pas dues à l’absence d’un outil supplémentaire. Elles résultent d’une responsabilité mal définie, de décisions de risque insuffisamment cadrées, d’exceptions non documentées, d’une supervision des fournisseurs incohérente et de politiques approuvées une fois puis jamais opérationnalisées.
La fonction Govern de NIST CSF 2.0 transforme la question « quels contrôles avons-nous ? » en « qui est responsable, quelles obligations s’appliquent, comment les risques sont-ils priorisés et comment la performance est-elle revue ? »
Pour les PME, les résultats de Govern fournissent un mandat pratique :
- Comprendre et gérer les obligations légales, réglementaires, contractuelles, de protection de la vie privée et relatives aux libertés civiles.
- Établir l’appétence au risque, la tolérance au risque, la notation des risques, la priorisation et les options de réponse au risque.
- Définir les rôles, responsabilités, autorités, circuits d’escalade et ressources en matière de cybersécurité.
- Établir, communiquer, appliquer, revoir et mettre à jour les politiques de cybersécurité.
- Revoir la stratégie de cybersécurité, la performance et la responsabilité de la direction.
- Gouverner le risque de cybersécurité lié aux fournisseurs et aux tiers, depuis les diligences raisonnables jusqu’à la fin de la relation.
C’est pourquoi NIST CSF 2.0 Govern constitue une excellente porte d’entrée vers ISO 27001:2022. NIST fournit le langage de gouvernance aux dirigeants. ISO 27001:2022 fournit le système de management auditable.
Les clauses 4 à 10 d’ISO 27001:2022 exigent que les organisations comprennent leur contexte, définissent les parties intéressées, établissent le périmètre du SMSI, démontrent le leadership, planifient l’appréciation et le traitement des risques, maîtrisent l’information documentée, exploitent les contrôles, évaluent la performance, réalisent des audits internes et des revues de direction, et améliorent continuellement le système. L’Annexe A fournit ensuite l’ensemble de référence des mesures de sécurité, notamment les politiques, les responsabilités de management, les obligations légales, la protection de la vie privée, les relations avec les fournisseurs, les services cloud, la gestion des incidents et la préparation des TIC à la continuité d’activité.
La Politique de sécurité de l’information Enterprise de Clarysec Politique de sécurité de l’information indique :
L’organisation doit maintenir un modèle de gouvernance formel pour superviser le SMSI, aligné sur les clauses 5.1 et 9.3 d’ISO/IEC 27001.
Cette exigence, issue de la clause 5.1 de la Politique de sécurité de l’information, constitue le lien pratique entre la responsabilité NIST GV et les attentes de leadership d’ISO 27001:2022. La gouvernance n’est pas une présentation annuelle. C’est un modèle formel qui relie décisions, politiques, rôles, risques, mesures de sécurité, éléments probants et revue.
La cartographie centrale : de NIST CSF 2.0 Govern aux éléments probants ISO 27001:2022
Le moyen le plus rapide de rendre NIST CSF 2.0 utile consiste à convertir les résultats Govern en propriété des politiques et en éléments probants d’audit. Le tableau ci-dessous présente la structure utilisée par Clarysec avec les PME qui se préparent à la certification ISO 27001:2022, aux diligences raisonnables de clients entreprise, à la préparation NIS2, à l’assurance client DORA et au principe de responsabilité GDPR.
| Domaine NIST CSF 2.0 Govern | Question de gouvernance pour la PME | Alignement ISO 27001:2022 | Ancrage de politique Clarysec | Éléments probants attendus par les auditeurs et les clients |
|---|---|---|---|---|
| GV.OC, contexte organisationnel | Connaissons-nous nos obligations légales, réglementaires, contractuelles, de protection de la vie privée et métier ? | Clauses 4.1 à 4.4, Annexe A 5.31 et 5.34 | Politique de conformité juridique et réglementaire | Registre de conformité, périmètre du SMSI, registre des parties intéressées, cartographie des obligations clients, registre de protection de la vie privée |
| GV.RM, stratégie de gestion des risques | Comment définissons-nous, notons-nous, priorisons-nous, acceptons-nous et traitons-nous les risques cyber ? | Clauses 6.1.1 à 6.1.3, 8.2 et 8.3 | Politique de gestion des risques | Méthodologie de risque, registre des risques, plan de traitement des risques, approbations des propriétaires du risque, cartographie SoA |
| GV.RR, rôles et responsabilités | Qui est responsable des décisions de cybersécurité, des exceptions, des ressources et du reporting ? | Clauses 5.1 à 5.3, Annexe A 5.2 et 5.4 | Politique relative aux rôles et responsabilités de gouvernance pour PME | RACI, descriptions de rôles, comptes rendus de réunion, approbations d’exceptions, enregistrements de formation |
| GV.PO, politique | Les politiques sont-elles approuvées, communiquées, appliquées, revues et mises à jour ? | Clauses 5.2, 7.5 et 9.3, Annexe A 5.1 | Politique de sécurité de l’information | Registre des politiques, enregistrements d’approbation, historique des versions, attestations de prise de connaissance par le personnel, comptes rendus de revue des politiques |
| GV.OV, supervision | La stratégie et la performance de cybersécurité sont-elles revues et ajustées ? | Clauses 9.1, 9.2, 9.3, 10.1 et 10.2 | Politique d’audit et de surveillance de la conformité | Tableau de bord KPI, plan d’audit interne, livrables de revue de direction, actions correctives |
| GV.SC, risque lié à la chaîne d’approvisionnement | Les fournisseurs sont-ils connus, priorisés, évalués, contractualisés, surveillés et retirés du périmètre de manière maîtrisée ? | Annexe A 5.19 à 5.23 et 5.30 | Politique de sécurité des tiers et des fournisseurs pour PME | Inventaire des fournisseurs, enregistrements de diligences raisonnables, clauses contractuelles, journaux de revue, plans de sortie, contacts incidents |
Cette cartographie est volontairement centrée sur les éléments probants. Elle ne demande pas à la PME de créer 40 documents. Elle pose cinq questions opérationnelles :
- Quelle décision est prise ?
- Qui en est responsable ?
- Quelle politique l’encadre ?
- Quelle clause ISO 27001:2022 ou quelle mesure de l’Annexe A la soutient ?
- Quel élément probant démontre qu’elle a eu lieu ?
La Politique relative aux rôles et responsabilités de gouvernance pour PME Politique relative aux rôles et responsabilités de gouvernance pour PME rend cette traçabilité explicite :
Toutes les décisions de sécurité importantes, exceptions et escalades doivent être enregistrées et traçables.
Cette citation provient de la clause 5.5 de la Politique relative aux rôles et responsabilités de gouvernance pour PME. Elle transforme NIST GV.RR d’un principe de gouvernance en une règle opérationnelle auditable.
Commencer par un profil CSF Govern, pas par un tableur de contrôles
Les profils organisationnels NIST CSF 2.0 aident les organisations à décrire les résultats de cybersécurité actuels et cibles. Pour les PME, le profil est l’endroit où la gouvernance devient maîtrisable.
Un atelier pratique sur le profil Govern doit répondre à cinq questions :
- Quel est le périmètre : toute l’entreprise, une plateforme SaaS, un produit réglementé ou un environnement client ?
- Quelles obligations pilotent le profil : contrats clients, GDPR, exposition NIS2, attentes clients liées à DORA, certification ISO 27001:2022 ou diligences raisonnables d’investisseurs ?
- Que prouvent les éléments probants actuels, et non ce que les personnes pensent exister ?
- Quel état cible est réaliste pour les 90 prochains jours et les 12 prochains mois ?
- Quels risques, politiques, fournisseurs et entrées de la SoA doivent changer ?
Le Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint soutient cette démarche dans la phase Fondation et leadership du SMSI, étape 6, « Information documentée et constitution de la bibliothèque du SMSI ». Il recommande de préparer la SoA tôt et de l’utiliser comme bibliothèque de mesures de sécurité :
✓ Contrôles supplémentaires : existe-t-il des contrôles hors Annexe A que vous pourriez inclure ? ISO 27001 permet d’ajouter d’autres contrôles dans la SoA. Par exemple, vous pouvez vouloir inclure la conformité à NIST CSF ou des contrôles spécifiques de vie privée issus d’ISO 27701. En général, l’Annexe A est complète, mais vous pouvez ajouter tout contrôle propre à votre contexte que vous prévoyez
✓ Utiliser un tableur (SoA Builder) : une approche pratique consiste à préparer le tableur SoA dès maintenant. Nous avons préparé un modèle SoA_Builder.xlsx qui liste tous les contrôles de l’Annexe A avec des colonnes pour l’applicabilité, le statut de mise en œuvre et les notes.
Pour une PME, ce point est important. Il n’est pas nécessaire de forcer NIST CSF 2.0 dans l’Annexe A d’ISO comme si les deux référentiels étaient identiques. Vous pouvez inclure les résultats CSF Govern comme exigences de gouvernance supplémentaires dans votre bibliothèque SoA, les cartographier avec les clauses ISO 27001:2022 et les mesures de l’Annexe A, et les utiliser pour améliorer la revue de direction, la gouvernance des fournisseurs, le reporting des risques et la surveillance de la conformité.
Construire un registre des éléments probants Govern
Un registre des éléments probants Govern est l’outil pratique qui convertit les référentiels en preuves. Il doit relier chaque résultat NIST à une référence ISO, un propriétaire de politique, un élément probant, une fréquence de revue, un écart et une action.
| Champ | Exemple d’entrée |
|---|---|
| Résultat CSF | GV.OC-03 |
| Question de gouvernance | Les obligations légales, réglementaires, contractuelles, de protection de la vie privée et relatives aux libertés civiles sont-elles comprises et gérées ? |
| Référence ISO 27001:2022 | Clauses 4.2, 4.3 et 6.1.3, Annexe A 5.31 et 5.34 |
| Politique Clarysec | Politique de conformité juridique et réglementaire |
| Propriétaire des éléments probants | Responsable conformité |
| Élément probant | Registre de conformité v1.4, cartographie des obligations clients, registre des traitements GDPR |
| Fréquence de revue | Trimestrielle et lors de tout changement de marché, de client ou de produit |
| Écart | Clauses de répercussion DORA des clients non cartographiées avec les contrats fournisseurs |
| Action | Mettre à jour le modèle de contrat fournisseur et les notes SoA |
| Date d’échéance | 30 jours |
La Politique de conformité juridique et réglementaire Enterprise de Clarysec Politique de conformité juridique et réglementaire fournit l’exigence de gouvernance :
Toutes les obligations légales et réglementaires doivent être cartographiées avec des politiques, contrôles et propriétaires spécifiques au sein du système de management de la sécurité de l’information (SMSI).
Il s’agit de la clause 6.2.1 de la Politique de conformité juridique et réglementaire. Pour les PME, la Politique de conformité juridique et réglementaire pour PME Politique de conformité juridique et réglementaire pour PME ajoute une exigence pratique de cartographie transverse :
Lorsqu’une réglementation s’applique à plusieurs domaines (par exemple, GDPR s’applique à la conservation, à la sécurité et à la vie privée), cela doit être clairement cartographié dans le registre de conformité et les supports de formation.
Cette citation provient de la clause 5.2.2 de la Politique de conformité juridique et réglementaire pour PME. Ensemble, ces clauses transforment GV.OC-03 en un processus géré, révisable et compatible avec les exigences d’audit.
Relier la notation des risques au traitement des risques et à la SoA
NIST GV.RM exige des objectifs de risque, une appétence au risque, une tolérance au risque, un calcul standardisé du risque, des options de réponse et des lignes de communication. ISO 27001:2022 opérationnalise cela par l’appréciation des risques, le traitement des risques, l’approbation par le propriétaire du risque, l’acceptation du risque résiduel et la Déclaration d’applicabilité.
La Politique de gestion des risques pour PME Politique de gestion des risques pour PME est volontairement concrète :
Chaque entrée de risque doit inclure : description, vraisemblance, impact, score, propriétaire et plan de traitement des risques.
Cette exigence provient de la clause 5.1.2 de la Politique de gestion des risques pour PME. La Politique de gestion des risques Enterprise Politique de gestion des risques renforce le lien avec la SoA :
Une Déclaration d’applicabilité (SoA) doit refléter toutes les décisions de traitement et doit être mise à jour chaque fois que la couverture des contrôles est modifiée.
Il s’agit de la clause 5.4 de la Politique de gestion des risques.
Prenons un risque réel pour une PME : accès non autorisé aux données clients de production en raison d’une application incohérente de l’authentification multifacteur sur les comptes d’administration cloud.
Une cartographie Govern robuste inclurait :
- NIST GV.RM pour une documentation et une priorisation standardisées des risques.
- NIST GV.RR pour la propriété des rôles et l’autorité d’appliquer le contrôle d’accès.
- NIST GV.PO pour l’application de la politique et la revue.
- Les clauses ISO 27001:2022 6.1.2, 6.1.3, 8.2 et 8.3.
- Les mesures de l’Annexe A relatives au contrôle d’accès, à la gestion des identités, aux informations d’authentification, à la journalisation, à la surveillance, à la configuration et aux services cloud.
- Des éléments probants tels qu’une entrée du registre des risques, un export de configuration MFA, une approbation d’exception, une revue cloud IAM, une décision de revue de direction et une note SoA mise à jour.
Le Zenith Blueprint, phase Gestion des risques, étape 13, « Planification du traitement des risques et Déclaration d’applicabilité », explique le lien :
✓ Assurez l’alignement avec votre registre des risques : chaque contrôle d’atténuation inscrit dans le plan de traitement des risques doit correspondre à un contrôle de l’Annexe A marqué « applicable ». À l’inverse, si un contrôle est marqué applicable, vous devez avoir soit un risque, soit une exigence qui le justifie.
C’est la différence entre dire « nous utilisons la MFA » et prouver « nous avons une justification gouvernée, fondée sur les risques et alignée sur ISO 27001:2022 pour la MFA, avec éléments probants, propriétaire et fréquence de revue ».
Gouverner le risque fournisseur sans surdimensionner le programme
NIST GV.SC est l’une des parties les plus utiles de la fonction Govern pour les PME, car les PME modernes dépendent fortement de fournisseurs : fournisseurs cloud, processeurs de paiement, plateformes RH, systèmes de centre d’assistance, référentiels de code, chaînes d’outils CI/CD, outils de surveillance et services de sécurité managés.
L’Annexe A d’ISO 27001:2022 soutient cette démarche par les mesures relatives aux fournisseurs et au cloud, notamment 5.19 Sécurité de l’information dans les relations avec les fournisseurs, 5.20 Traitement de la sécurité de l’information dans les accords fournisseurs, 5.21 Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC, 5.22 Surveillance, revue et gestion des changements des services fournisseurs, 5.23 Sécurité de l’information pour l’utilisation des services cloud et 5.30 Préparation des TIC à la continuité d’activité.
La Politique de sécurité des tiers et des fournisseurs pour PME Politique de sécurité des tiers et des fournisseurs pour PME rend l’exigence d’éléments probants claire :
Ces revues doivent être documentées et conservées avec le dossier du fournisseur. Les actions de suivi doivent être clairement suivies.
Il s’agit de la clause 6.3.2 de la Politique de sécurité des tiers et des fournisseurs pour PME.
Un modèle fournisseur allégé pour PME peut utiliser trois niveaux :
| Niveau fournisseur | Critères | Éléments probants minimaux | Fréquence de revue |
|---|---|---|---|
| Critique | Soutient la production, les données clients, l’authentification, la surveillance de sécurité, les flux de paiement ou la fourniture de services réglementés | Questionnaire de diligences raisonnables, clauses de sécurité contractuelles, SLA, contact incident, plan de sortie, revue des risques | Annuelle et lors de tout changement significatif |
| Important | Soutient les activités de l’organisation ou des informations internes sensibles, sans fournir directement un service critique | Synthèse sécurité, clauses de traitement des données, revue d’accès, acceptation du risque en cas d’écarts | Tous les 18 mois |
| Standard | Outils à faible risque sans données sensibles ni dépendance critique | Approbation du responsable métier, vérification de base des données et des accès | À l’intégration et au renouvellement |
Ce modèle simple soutient NIST GV.SC, les mesures fournisseurs d’ISO 27001:2022, les diligences raisonnables clients et les attentes contractuelles liées à DORA des clients financiers.
La fin de la relation avec un fournisseur mérite une attention particulière. NIST GV.SC attend une gouvernance sur tout le cycle de vie du fournisseur, y compris la clôture de la relation. Les éléments probants doivent inclure la restitution ou la suppression des données, la révocation des accès, la planification de la transition de service, les enregistrements contractuels conservés et la revue du risque résiduel.
Utiliser Zenith Controls pour la conformité transverse, pas comme un ensemble de contrôles distinct
Zenith Controls: The Cross-Compliance Guide de Clarysec Zenith Controls est un guide de conformité transverse permettant de cartographier les thèmes de contrôle ISO/IEC 27002:2022 avec plusieurs référentiels et angles d’audit. Il ne s’agit pas de « contrôles Zenith » distincts. Ce sont des contrôles ISO/IEC 27002:2022 analysés dans Zenith Controls pour un usage de conformité transverse.
Pour NIST CSF 2.0 Govern, trois domaines de contrôle ISO/IEC 27002:2022 sont particulièrement importants :
| Domaine de contrôle ISO/IEC 27002:2022 dans Zenith Controls | Lien avec NIST CSF 2.0 Govern | Interprétation pratique pour une PME |
|---|---|---|
| 5.1 Politiques de sécurité de l’information | GV.PO | Les politiques doivent être approuvées, communiquées, appliquées, revues et mises à jour lorsque les menaces, la technologie, la réglementation ou les objectifs métier évoluent |
| 5.4 Responsabilités de management | GV.RR et GV.OV | Les responsabilités de sécurité doivent être attribuées aux niveaux de direction et opérationnel, avec ressources, reporting et revue |
| 5.31 Exigences légales, statutaires, réglementaires et contractuelles | GV.OC-03 | Les obligations doivent être identifiées, cartographiées avec les contrôles et les propriétaires, surveillées pour détecter les changements, et étayées par des éléments probants |
Le Zenith Blueprint, phase Contrôles en action, étape 22, « Contrôles organisationnels », fournit le modèle opérationnel :
Formaliser la gouvernance de la sécurité de l’information
Assurez-vous que vos politiques de sécurité de l’information (5.1) sont finalisées, approuvées et versionnées. Désignez des propriétaires nominatifs pour chaque domaine de politique (par exemple, accès, chiffrement, sauvegarde) et documentez les rôles et responsabilités dans l’ensemble du SMSI (5.2). Revoyez la séparation des tâches (5.3) dans les domaines à haut risque tels que la finance, l’administration système et le contrôle des changements. Produisez une cartographie simple de gouvernance indiquant qui approuve, qui met en œuvre et qui surveille la politique de sécurité.
Cette cartographie de gouvernance est l’un des livrables justificatifs les plus utiles qu’une PME puisse créer. Elle répond à NIST GV.RR, aux exigences de leadership d’ISO 27001:2022, aux attentes de responsabilité de la direction au titre de NIS2 et aux questions des clients sur la propriété du risque cyber.
Un seul modèle de gouvernance pour NIS2, DORA, GDPR, NIST et ISO
La fonction Govern prend toute sa valeur lorsqu’une PME fait face à des exigences qui se chevauchent.
NIS2 exige que les entités essentielles et importantes relevant de son champ d’application adoptent des mesures appropriées et proportionnées de gestion des risques de cybersécurité. Elle impose également aux organes de direction d’approuver les mesures de gestion des risques de cybersécurité, d’en superviser la mise en œuvre et de suivre une formation. NIST GV.RR soutient la responsabilité de la direction. GV.RM soutient les mesures fondées sur les risques. GV.SC soutient la sécurité de la chaîne d’approvisionnement. GV.PO soutient les politiques. GV.OV soutient la revue de performance.
La gouvernance des incidents NIS2 introduit également des attentes de reporting par étapes, notamment une alerte précoce dans les 24 heures, une notification d’incident dans les 72 heures et un rapport final dans le mois pour les incidents significatifs. Ces délais doivent être reflétés dans les procédures de réponse aux incidents, les circuits d’escalade, les plans de communication et le reporting à la direction.
DORA s’applique depuis le 17 janvier 2025 aux entités financières de l’UE, mais de nombreuses PME en ressentent l’impact par les contrats clients. Les clients financiers peuvent répercuter les exigences DORA sur les fournisseurs TIC, éditeurs logiciels, prestataires de services managés et fournisseurs dépendants du cloud. DORA se concentre sur la gestion des risques liés aux TIC, la responsabilité de l’organe de direction, la notification des incidents, les tests de résilience, le risque lié aux tiers TIC, les exigences contractuelles et la supervision.
GDPR ajoute une responsabilité concernant le traitement des données à caractère personnel. Les PME doivent comprendre si elles sont responsables du traitement, sous-traitantes ou les deux, quelles données à caractère personnel elles traitent, quels systèmes et fournisseurs sont concernés, quelles bases légales s’appliquent et quels scénarios d’incident pourraient devenir des violations de données à caractère personnel.
Le Zenith Blueprint, phase Gestion des risques, étape 14, recommande de croiser les exigences DORA, NIS2 et GDPR avec l’ensemble de contrôles ISO 27001:2022 :
Pour chaque réglementation applicable, vous pouvez créer un tableau de cartographie simple (par exemple une annexe à un rapport) listant les principales exigences de sécurité de la réglementation et les contrôles/politiques correspondants dans votre SMSI. Ce n’est pas obligatoire dans ISO 27001, mais c’est un exercice interne utile pour vérifier que rien n’est passé entre les mailles du filet.
Une cartographie pratique de conformité transverse peut se présenter ainsi :
| Exigence de gouvernance | NIST CSF 2.0 Govern | Ancrage ISO 27001:2022 | Pertinence NIS2, DORA, GDPR | Élément probant principal |
|---|---|---|---|---|
| Responsabilité de la direction | GV.RR et GV.OV | Clauses 5.1, 5.3 et 9.3, Annexe A 5.4 | Supervision par l’organe de direction NIS2, responsabilité de l’organe de direction DORA | Cartographie de gouvernance, RACI, comptes rendus de revue de direction |
| Obligations légales et contractuelles | GV.OC-03 | Clauses 4.2, 4.3 et 6.1.3, Annexe A 5.31 et 5.34 | Principe de responsabilité GDPR, périmètre légal NIS2, répercussions contractuelles DORA | Registre de conformité, cartographie des obligations clients, registre de protection de la vie privée |
| Mesures de sécurité fondées sur les risques | GV.RM | Clauses 6.1.2, 6.1.3, 8.2 et 8.3 | Mesures de gestion des risques NIS2, cadre de gestion des risques TIC DORA, sécurité du traitement GDPR | Registre des risques, plan de traitement des risques, SoA |
| Gouvernance des fournisseurs | GV.SC | Annexe A 5.19 à 5.23 et 5.30 | Sécurité de la chaîne d’approvisionnement NIS2, risque lié aux tiers TIC DORA, sous-traitants GDPR | Inventaire des fournisseurs, diligences raisonnables, contrats, journaux de revue |
| Gouvernance des politiques | GV.PO | Clause 5.2 et Annexe A 5.1 | Tous les référentiels attendent des règles documentées, approuvées et communiquées | Registre des politiques, historique des versions, attestations de prise de connaissance |
| Audit et amélioration | GV.OV | Clauses 9.1, 9.2, 9.3, 10.1 et 10.2 | Tests et remédiation DORA, efficacité NIS2, principe de responsabilité GDPR | Rapports d’audit interne, KPI, actions correctives |
La valeur réside dans l’efficacité. Un SMSI ISO 27001:2022 correctement piloté, guidé par NIST CSF 2.0 Govern, peut générer des éléments probants réutilisables pour plusieurs référentiels à la fois.
Le point de vue de l’auditeur : prouver que la gouvernance est réelle
Une politique rangée sur une étagère n’est pas de la gouvernance. Les auditeurs et évaluateurs recherchent un fil conducteur : politique de haut niveau, processus défini, enregistrement opérationnel, revue de direction et action d’amélioration.
Les différents évaluateurs testeront ce fil conducteur de manière différente.
| Angle d’audit | Points d’attention | Éléments probants efficaces |
|---|---|---|
| Auditeur ISO 27001:2022 | Si la gouvernance est intégrée au SMSI, si le traitement des risques est traçable, si les décisions SoA sont justifiées et si l’information documentée est maîtrisée | Périmètre du SMSI, registre des politiques, registre des risques, SoA, comptes rendus de revue de direction, rapports d’audit interne, actions correctives |
| Évaluateur NIST CSF 2.0 | Si les profils actuels et cibles existent, si les écarts sont priorisés et si les résultats Govern sont reliés au risque métier et à la supervision | Profil CSF, analyse des écarts, POA&M, déclaration d’appétence au risque, tableau de bord de la direction, profil cible fournisseur |
| Auditeur COBIT 2019 ou de type ISACA | Si les objectifs de gouvernance, les droits de décision, les mesures de performance, la propriété des contrôles et les activités d’assurance sont définis | Cartographie de gouvernance, RACI, tableau de bord KPI et KRI, attestations des responsables de contrôle, plan d’audit, suivi des points |
| Évaluateur GDPR | Si les obligations de protection de la vie privée sont identifiées, si les traitements sont cartographiés, si les mesures de sécurité sont appropriées et si des éléments probants de responsabilité existent | Registre des traitements, cartographie des bases légales, DPIA si nécessaire, processus de réponse aux violations, clauses de traitement des données fournisseurs |
| Évaluateur sécurité client | Si la PME peut prouver, sans délai excessif, la sécurité opérationnelle, le contrôle des fournisseurs, la préparation aux incidents et la responsabilité exécutive | Dossier d’éléments probants, politiques, revues fournisseurs, résultats d’exercices sur table d’incident, revues d’accès, tests de sauvegarde, feuille de route sécurité |
La Politique relative aux rôles et responsabilités de gouvernance Enterprise de Clarysec Politique relative aux rôles et responsabilités de gouvernance indique :
La gouvernance doit soutenir l’intégration avec d’autres disciplines (par exemple, risques, juridique, IT, RH), et les décisions du SMSI doivent être traçables jusqu’à leur source (par exemple, enregistrements d’audit, journaux de revue, comptes rendus de réunion).
Il s’agit de la clause 5.5 de la Politique relative aux rôles et responsabilités de gouvernance. Elle capture l’essence de la conformité transverse : les décisions de gouvernance doivent être traçables.
La Politique d’audit et de surveillance de la conformité pour PME Politique d’audit et de surveillance de la conformité pour PME ajoute une discipline critique relative aux éléments probants :
Les métadonnées (par exemple, qui les a collectées, quand et depuis quel système) doivent être documentées.
Cette citation provient de la clause 6.2.3 de la Politique d’audit et de surveillance de la conformité pour PME. Les métadonnées des éléments probants sont souvent ce qui distingue un dossier de captures d’écran d’un dossier probant de niveau audit.
La Politique d’audit et de surveillance de la conformité Enterprise Politique d’audit et de surveillance de la conformité ajoute l’exigence au niveau du programme :
L’organisation doit maintenir un programme structuré d’audit et de surveillance de la conformité intégré au SMSI, couvrant :
Il s’agit de la clause 5.1 de la Politique d’audit et de surveillance de la conformité. L’implication en matière de gouvernance est directe : l’audit n’est pas une course annuelle. Il fait partie des opérations du SMSI.
Erreurs fréquentes des PME lors de la cartographie de NIST Govern avec ISO 27001:2022
La première erreur est la surdocumentation sans propriété. Une PME rédige des politiques, mais ne désigne pas de propriétaires pour le traitement des risques, les revues fournisseurs, les approbations d’exceptions ou le reporting de management.
La deuxième erreur consiste à traiter les obligations légales comme distinctes du SMSI. NIST GV.OC-03 exige que les obligations soient comprises et gérées. ISO 27001:2022 exige que les exigences pertinentes des parties intéressées et les obligations légales, réglementaires et contractuelles soient prises en compte dans le SMSI.
La troisième erreur est un raisonnement SoA faible. La SoA n’est pas seulement une liste de contrôles applicables. C’est le dossier logique qui explique pourquoi les contrôles sont inclus, exclus ou mis en œuvre.
La quatrième erreur est l’absence d’éléments probants sur le cycle de vie des fournisseurs. La gouvernance des fournisseurs couvre l’intégration, les contrats, la surveillance, les incidents, les changements et la fin de la relation.
La cinquième erreur consiste à ne pas mettre à jour le profil cible. Un profil CSF doit évoluer lorsque l’entreprise entre dans une nouvelle zone géographique, signe un client majeur, adopte un fournisseur critique, lance un produit réglementé, modifie son architecture cloud ou subit un incident.
Une feuille de route NIST CSF 2.0 Govern sur 30 jours pour les PME
Si une PME doit avancer rapidement, elle doit commencer par un plan de mise en œuvre ciblé sur 30 jours.
| Jours | Activité | Livrable |
|---|---|---|
| 1 à 3 | Définir le périmètre CSF Govern et collecter les politiques, contrats, enregistrements de risques, listes de fournisseurs et éléments probants d’audit existants | Note de périmètre et inventaire des éléments probants |
| 4 à 7 | Construire le registre des éléments probants Govern pour GV.OC, GV.RM, GV.RR, GV.PO, GV.OV et GV.SC | Profil actuel et écarts initiaux |
| 8 à 12 | Cartographier les obligations avec les politiques ISO 27001:2022, les domaines de contrôle de l’Annexe A et les propriétaires | Registre de conformité et cartographie de propriété des politiques |
| 13 à 17 | Mettre à jour le registre des risques et le plan de traitement des risques, puis aligner les entrées SoA | Registre des risques, plan de traitement, mises à jour SoA |
| 18 à 22 | Prioriser la gouvernance des fournisseurs, y compris la classification des fournisseurs critiques, les écarts contractuels et les éléments probants de revue | Registre des risques fournisseurs et outil de suivi des actions |
| 23 à 26 | Préparer un dossier d’éléments probants d’audit avec métadonnées, approbations, journaux de revue et décisions de direction | Dossier d’éléments probants et index d’audit |
| 27 à 30 | Réaliser la revue de direction et approuver la feuille de route du profil cible | Comptes rendus de revue de direction, décisions, feuille de route |
Ce plan crée suffisamment d’éléments probants de gouvernance pour répondre à des questions sérieuses de clients et d’audit, tout en posant les bases de la certification ISO 27001:2022, de la préparation NIS2, de l’assurance client DORA et du principe de responsabilité GDPR.
Le résultat pratique : un seul récit de gouvernance, plusieurs usages de conformité
Lorsque Sarah revient devant le conseil d’administration, elle n’a plus cinq chantiers de conformité déconnectés. Elle dispose d’un seul récit de gouvernance.
Les résultats NIST CSF 2.0 Govern sont cartographiés avec les politiques, propriétaires, risques, contrôles et éléments probants ISO 27001:2022. Le périmètre du SMSI inclut les dépendances clients, fournisseurs, cloud, légales, réglementaires, de protection de la vie privée et contractuelles. Le registre des risques pilote les décisions de traitement et l’applicabilité SoA. Les politiques sont approuvées, versionnées, attribuées à des propriétaires, communiquées et revues. Les risques fournisseurs sont hiérarchisés, contractualisés, surveillés et suivis. Les obligations de traitement GDPR, les attentes de responsabilité NIS2 et les répercussions clients DORA sont référencées de manière croisée lorsque cela s’applique. Les éléments probants d’audit comprennent les métadonnées, les enregistrements de décision et les livrables de revue de direction.
Voilà à quoi ressemble la gouvernance lorsqu’elle est opérationnelle.
Prochaine étape : constituer votre dossier d’éléments probants Govern pour PME avec Clarysec
Si vous préparez ISO 27001:2022, répondez à des diligences raisonnables de clients entreprise, cartographiez les résultats NIST CSF 2.0 Govern ou cherchez à aligner NIS2, DORA et GDPR sans créer de programmes distincts, commencez par la couche de gouvernance.
Clarysec peut vous aider à construire :
- Un profil NIST CSF 2.0 Govern actuel et cible.
- Une cartographie des politiques ISO 27001:2022 et de la SoA.
- Un registre des obligations de conformité transverse avec Zenith Controls Zenith Controls.
- Une feuille de route de mise en œuvre du SMSI en 30 étapes avec Zenith Blueprint Zenith Blueprint.
- Des éléments probants de politiques adaptés aux PME avec la boîte à outils de politiques Clarysec, notamment la Politique relative aux rôles et responsabilités de gouvernance pour PME Politique relative aux rôles et responsabilités de gouvernance pour PME, la Politique de gestion des risques pour PME Politique de gestion des risques pour PME, la Politique de conformité juridique et réglementaire pour PME Politique de conformité juridique et réglementaire pour PME, la Politique de sécurité des tiers et des fournisseurs pour PME Politique de sécurité des tiers et des fournisseurs pour PME, et la Politique d’audit et de surveillance de la conformité pour PME Politique d’audit et de surveillance de la conformité pour PME.
Le chemin le plus rapide n’est pas un tableur de plus. C’est un SMSI gouverné, fondé sur les risques et prêt à produire les éléments probants attendus, qui permet à votre PME de répondre avec assurance à une seule question :
Pouvez-vous prouver que la cybersécurité est gérée, attribuée à des propriétaires, revue et améliorée en continu ?
Avec Clarysec, la réponse devient oui.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
