P.I.L.O.T.E

2 min de lecture

9. Profils CSF (NIST CSF Profiles)

Objectif du chapitre

Ce chapitre explore la notion de profils (profiles) dans le NIST Cybersecurity Framework. Les profils permettent de faire le lien entre la situation actuelle d’une organisation et ses objectifs en matière de cybersécurité, afin de construire une feuille de route réaliste, cohérente et contextualisée.

1. Définition d’un profil CSF

Un profil est une sélection personnalisée de sous-catégories du CSF appliquées à une organisation spécifique, en tenant compte de son secteur, de ses obligations, de son exposition aux risques, de ses priorités stratégiques et de ses ressources.

Info

Un profil n’est pas une liste rigide, mais un outil de dialogue, de planification et d’alignement.

2. Typologie des profils

A. Profil actuel (Current Profile)

  • Représente la situation réelle de l’organisation en matière de cybersécurité.
  • Il est déterminé via :
    • Auto-évaluation
    • Audit
    • Revue de maturité

B. Profil cible (Target Profile)

  • Définit le niveau souhaité de cybersécurité.
  • Peut être orienté par :
    • Exigences réglementaires (ex : RGPD, DORA)
    • Menaces spécifiques (ex : ransomware sectoriel)
    • Objectifs métier ou volonté de certification

3. Écart entre profils et plan d’action

La comparaison entre le profil actuel et le profil cible permet d’identifier :

  • Les écarts de capacité (capacités manquantes ou faibles)
  • Les priorités d’investissement
  • Les mesures à court, moyen et long terme

Cela alimente un plan de remédiation / roadmap SSI structuré.

4. Personnalisation des profils

Chaque organisation peut créer des profils :

  • Par entité ou filiale
  • Par type d’activité ou métier (ex : production, R&D, support)
  • Par niveau d’exposition (site critique, cloud, fournisseur…)

Un grand groupe peut ainsi utiliser un métaprofil de gouvernance + des profils opérationnels pour ses entités.

5. Revue périodique

Les profils doivent être :

  • Revus régulièrement (au moins une fois par an)
  • Mis à jour après tout changement significatif :
    • Refonte SI, incident majeur, audit, fusion, nouvelle réglementation…

Example

Une PME qui migre vers le cloud doit réévaluer ses profils CSF pour intégrer la sécurité des API et des fournisseurs SaaS.

Synthèse opérationnelle

ÉlémentRecommandation
Profil actuelÉtabli par évaluation formelle (audit, diagnostic)
Profil cibleAligné sur les objectifs SSI et les obligations
ÉcartDocumenté + plan d’action associé
Mise à jourAnnuellement ou après changement majeur
PersonnalisationPar entité, métier, niveau de criticité

Vue Graphique