L’essentiel en 30 secondes
- ISO 27001, NIST, EBIOS… Un référentiel de sécurité n’est qu’un guide, pas une protection.
- Sans implémentation concrète, votre conformité n’existe que sur le papier.
- Le NIST CSF 2.0 structure la sécurité en 6 fonctions claires, de la gouvernance à la restauration.
- Chaque fonction peut être couverte par des outils open source accessibles aux PME.
- Première action : vérifiez ce que vous avez réellement en face de chaque fonction.
Le NIST Cybersecurity Framework 2.0 est un cadre de référence publié par le National Institute of Standards and Technology qui organise la sécurité informatique autour de six fonctions : gouverner, identifier, protéger, détecter, répondre et restaurer. Conçu pour être adaptable à toute taille d’organisation, il fournit une grille de lecture structurée pour évaluer, construire et améliorer sa posture de sécurité.
Pourquoi les référentiels de sécurité ne protègent pas (à eux seuls) ?
Un référentiel de sécurité donne un cadre. Il liste ce qu’il faudrait faire, organise les priorités, propose une grille de lecture. Mais il ne déploie rien, ne configure rien, ne surveille rien. La conformité n’est pas la sécurité.
C’est pourtant une confusion fréquente. Un dirigeant fait réaliser un audit, reçoit un document de 40 pages avec des recommandations structurées, et considère le sujet traité. Le rapport rejoint un dossier partagé. Six mois plus tard, rien n’a changé sur l’infrastructure.
Le problème n’est pas le référentiel. Le problème, c’est l’écart entre le cadre théorique et ce qui tourne réellement sur vos serveurs. Entre la ligne « Détecter les menaces » cochée dans un tableur et un système qui vous alerte à 3h du matin quand un comportement anormal apparaît sur votre réseau, il y a un monde. Ce monde, c’est l’implémentation : les outils déployés, configurés, maintenus. Les politiques rédigées et appliquées. Les procédures testées, pas supposées.
Cas client — Agence digitale, 15 collaborateurs
Situation : L’agence avait fait réaliser un audit de sécurité un an plus tôt. Le rapport listait 25 recommandations classées par priorité. Aucune n’avait été implémentée.
Action : Reprise du rapport, priorisation des 8 actions critiques, déploiement en 6 semaines.
Résultat : 3 vulnérabilités exploitables corrigées, dont un accès SSH ouvert sur un serveur de production oublié.
Les référentiels restent indispensables. Ils posent les bonnes questions et structurent la démarche. Mais sans exécution concrète, ils créent un faux sentiment de sécurité — parfois plus dangereux que l’absence totale de cadre, parce qu’on croit être protégé.
Qu’est-ce que le NIST Cybersecurity Framework 2.0 ? {#nist-csf-definition}
Le NIST Cybersecurity Framework est un cadre publié par l’agence fédérale américaine des standards technologiques. Sa première version date de 2014. La version 2.0, publiée en février 2024, ajoute une sixième fonction — Gouverner — et élargit son périmètre à toutes les organisations, pas seulement les infrastructures critiques.
Son principe est simple : plutôt que de prescrire des solutions techniques précises, il organise la sécurité autour de six fonctions complémentaires qui couvrent l’ensemble du cycle de protection.
- Gouverner (Govern) : définir les rôles, les responsabilités et les politiques de sécurité.
- Identifier (Identify) : savoir ce qu’on a — actifs, données, risques.
- Protéger (Protect) : mettre en place les mesures qui réduisent les risques.
- Détecter (Detect) : repérer les événements anormaux quand ils se produisent.
- Répondre (Respond) : agir efficacement quand un incident survient.
- Restaurer (Recover) : revenir à un état normal après un incident.
Pourquoi le NIST CSF plutôt qu’un autre référentiel ?
ISO 27001, EBIOS, COBIT… les référentiels ne manquent pas. Chacun a son utilité, mais pour une PME qui cherche un cadre structurant sans viser la certification, le NIST CSF présente plusieurs avantages.
| Critère | NIST CSF 2.0 | ISO 27001 | EBIOS RM |
|---|---|---|---|
| Coût d’accès | Gratuit, documentation publique | Norme payante + certification coûteuse | Gratuit, publié par l’ANSSI |
| Complexité | 6 fonctions, lisible par un dirigeant | 93 contrôles, vocabulaire spécialisé | Méthodologie d’analyse de risques, plus technique |
| Objectif | Structurer et évaluer sa posture globale | Certifier un système de management | Analyser des scénarios de risques précis |
| Adapté aux PME | Oui, conçu pour être scalable | Possible mais lourd sans accompagnement | Pertinent mais nécessite une expertise |
Le NIST CSF ne remplace pas ces référentiels. Il les complète. Vous pouvez l’utiliser comme grille de lecture principale et intégrer des éléments d’ISO 27001 ou d’EBIOS là où c’est pertinent. L’essentiel est d’avoir un cadre structurant qui mène à l’action, pas un document de plus dans un tiroir.
C’est exactement cette logique qu’on va suivre dans les chapitres suivants : pour chaque fonction du framework, ce que ça signifie concrètement et ce que vous devriez avoir en place.
Gouverner : qui décide quoi en matière de sécurité ? {#gouverner}
La fonction Gouverner est la nouveauté majeure du NIST CSF 2.0. Elle chapeaute toutes les autres. Son message est clair : la sécurité est un sujet de direction, pas un sujet technique isolé. Sans gouvernance, les cinq autres fonctions restent des initiatives dispersées, portées par la bonne volonté d’un développeur ou d’un prestataire, sans vision d’ensemble.
Gouverner, en pratique, signifie trois choses.
Premièrement, poser une politique de sécurité écrite. C’est la PSSI — Politique de Sécurité du Système d’Information. Pas un document de 80 pages rédigé pour cocher une case. Un document opérationnel de 10 à 15 pages qui répond aux questions essentielles : qu’est-ce qu’on protège, qui est responsable de quoi, quelles sont les règles d’accès, que fait-on en cas d’incident. Si votre PSSI existe mais que personne ne sait où elle est, elle ne sert à rien.
Deuxièmement, attribuer des rôles clairs. Qui valide l’ouverture d’un accès à un serveur ? Qui est prévenu en premier quand quelque chose dysfonctionne ? Qui décide de couper un service compromis ? Dans une PME, ces rôles sont souvent implicites. Le problème survient le jour où il faut agir vite et que personne ne sait qui fait quoi.
Troisièmement, intégrer la conformité réglementaire. Le RGPD impose un registre des traitements. Ce registre, souvent perçu comme une obligation administrative, est en réalité un excellent outil de gouvernance : il vous oblige à lister vos données, leurs flux, leurs protections. C’est un point de départ concret pour structurer votre sécurité.
Ce que ça donne concrètement
Pour une PME de 10 à 50 personnes, la gouvernance sécurité tient en quelques livrables clés :
- Une PSSI opérationnelle : règles d’accès, politique de mots de passe, règles d’utilisation des équipements, procédure en cas d’incident.
- Une matrice de responsabilités : qui gère les accès, qui supervise l’infrastructure, qui est le contact en cas de crise.
- Un registre des traitements RGPD à jour : données collectées, finalités, durées de conservation, mesures de protection.
- Une revue périodique : un point trimestriel ou semestriel pour vérifier que les règles sont encore appliquées et adaptées.
Aucun de ces livrables ne nécessite un outil sophistiqué. Un document partagé et maintenu vaut mieux qu’un logiciel de GRC (Governance, Risk, Compliance) déployé mais jamais alimenté. Ce qui compte, c’est que ces documents vivent — qu’ils soient lus, appliqués et mis à jour quand l’organisation évolue.
Identifier et protéger : que faut-il sécuriser et comment ? {#identifier-proteger}
On ne protège que ce qu’on connaît. C’est le principe fondamental de la fonction Identifier. Avant de déployer le moindre outil de sécurité, il faut répondre à une question simple : qu’est-ce qui tourne, où, et qui y a accès ?
Dans beaucoup de PME, cette cartographie n’existe pas. Les serveurs se sont accumulés au fil des projets. Un VPS ici pour un ancien site, un serveur dédié là pour l’application métier, un compte cloud ouvert pour un test jamais fermé. Chaque machine oubliée est une surface d’attaque ignorée.
La fonction Identifier demande de recenser trois choses :
- Les actifs techniques : serveurs, applications, bases de données, noms de domaine, certificats SSL, services tiers.
- Les données sensibles : données clients, données financières, accès aux comptes bancaires en ligne, propriété intellectuelle.
- Les accès : qui a un compte sur quoi, avec quel niveau de privilège, depuis quand.
Ce recensement révèle presque toujours des surprises. Un ancien prestataire qui a encore un accès SSH. Un compte admin partagé entre trois personnes. Une base de données de production accessible sans mot de passe depuis le réseau interne.
De l’inventaire à la protection concrète
Une fois la cartographie posée, la fonction Protéger consiste à réduire la surface d’attaque identifiée. Trois principes guident cette étape.
Le moindre privilège. Chaque personne n’accède qu’à ce dont elle a besoin pour travailler. Pas de compte admin « au cas où ». Pas de clé SSH partagée entre toute l’équipe. Cela paraît évident, mais c’est rarement appliqué dans les structures où la sécurité s’est construite de manière organique.
La centralisation des accès. Plutôt que des mots de passe dispersés dans des emails et des post-its, un gestionnaire de mots de passe d’équipe (Vaultwarden, Bitwarden) et une authentification centralisée quand l’infrastructure le permet. L’objectif est de savoir, à tout moment, qui a accès à quoi — et de pouvoir couper un accès en une action.
Le durcissement des configurations. Fermer les ports inutiles, désactiver les services par défaut non utilisés, mettre à jour les systèmes. Ce n’est pas spectaculaire, mais c’est ce qui élimine les failles de sécurité les plus couramment exploitées.
Cas client — Éditeur SaaS, 30 collaborateurs
Situation : Aucun inventaire formalisé. L’audit initial a révélé 4 serveurs « oubliés » encore actifs, dont 2 avec des versions de Debian non maintenues.
Action : Cartographie complète, suppression des machines inutiles, rotation de tous les accès, mise en place d’un gestionnaire de mots de passe partagé.
Résultat : Surface d’attaque réduite de 40%, temps de revue des accès passé de « jamais » à une revue trimestrielle de 30 minutes.
L’identification et la protection ne sont pas des étapes ponctuelles. L’infrastructure évolue, les équipes changent, les outils s’ajoutent. Sans revue régulière, la cartographie devient obsolète en quelques mois — et les angles morts réapparaissent.
Détecter : comment savoir que quelque chose d’anormal se passe ? {#detecter}
Protéger ne suffit pas. Aucune défense n’est infaillible. La question n’est pas de savoir si un incident arrivera, mais quand — et surtout, en combien de temps vous le saurez. En moyenne, une intrusion reste non détectée pendant plusieurs mois dans les structures qui n’ont pas de système de détection actif. Plusieurs mois pendant lesquels un attaquant peut explorer, exfiltrer, préparer.
La fonction Détecter repose sur un principe : rendre visible ce qui se passe sur votre infrastructure, en temps réel. Cela passe par trois piliers.
Les logs centralisés : la base de tout
Chaque serveur, chaque application, chaque service génère des journaux d’événements. Connexions, erreurs, modifications de fichiers, tentatives d’accès refusées. Le problème, c’est que ces logs sont souvent dispersés sur chaque machine, dans des formats différents, et personne ne les consulte.
Centraliser les logs, c’est les collecter dans un point unique où ils deviennent exploitables. Une stack comme Grafana + Loki + Promtail permet de le faire avec des outils open source, sans licence. Les logs arrivent en temps réel, sont indexés, consultables et filtrables. Quand un événement suspect survient, vous avez l’historique complet pour comprendre ce qui s’est passé.
Le monitoring et les alertes automatiques
Collecter ne suffit pas. Il faut analyser et alerter. Un monitoring efficace surveille en continu les métriques clés : charge CPU anormale, espace disque critique, pic de connexions inhabituelles, service qui tombe. Des outils comme Prometheus pour la collecte de métriques et Grafana pour la visualisation permettent de construire des tableaux de bord et des règles d’alerte qui vous préviennent avant que vos clients ne le fassent.
L’alerte doit arriver au bon endroit, au bon moment. Un email noyé dans une boîte de réception ne sert à rien. Un message instantané sur un canal dédié (Slack, Mattermost) ou une notification push sur téléphone change tout. L’objectif est clair : savoir en minutes, pas en semaines.
Les scans de vulnérabilités planifiés
Votre infrastructure évolue. De nouvelles vulnérabilités sont découvertes chaque jour. Un serveur parfaitement configuré aujourd’hui peut devenir vulnérable demain si une faille est publiée sur un de ses composants. Des outils comme Trivy ou OpenVAS permettent de scanner régulièrement vos machines et vos conteneurs pour identifier les vulnérabilités connues avant qu’elles ne soient exploitées.
Ces scans doivent être planifiés et automatisés, pas lancés manuellement une fois par an. Un scan hebdomadaire avec un rapport envoyé automatiquement crée une routine de sécurité et fiabilité des systèmes IT qui ne repose pas sur la mémoire humaine.
Comment un CTO externe gère ça pour vous Mettre en place une stack de détection demande des compétences en administration système, en configuration d’outils et en définition de règles d’alerte pertinentes. Un CTO externe déploie et configure l’ensemble — collecte de logs, monitoring, scans de vulnérabilités — puis assure le maintien en condition opérationnelle. Vous recevez des alertes quand c’est critique et un rapport de synthèse régulier. Pas besoin de surveiller des dashboards vous-même.
Répondre et restaurer : que faire quand l’incident arrive ? {#repondre-restaurer}
Vous détectez une activité suspecte sur un serveur. Un compte admin se connecte à 4h du matin depuis une adresse IP inconnue. Que faites-vous ? Qui appelez-vous ? Qui décide de couper le serveur ?
Si la réponse est « on verra le moment venu », vous avez un problème. Un incident de sécurité ne laisse pas le temps d’improviser. Les premières heures sont déterminantes. Une réaction trop lente laisse l’attaquant progresser. Une réaction désordonnée peut aggraver les dégâts — couper le mauvais service, perdre des preuves, oublier de prévenir les personnes concernées.
La procédure de réponse aux incidents
La fonction Répondre du NIST CSF demande une chose simple : avoir un plan écrit, connu et testé. Ce plan n’a pas besoin d’être complexe. Pour une PME, il tient en une à deux pages et couvre quatre étapes.
- Qualifier : confirmer qu’il s’agit bien d’un incident et évaluer sa gravité. Un pic de charge n’est pas une intrusion. Une connexion admin à 4h du matin depuis un pays où personne ne travaille, si.
- Contenir : isoler le système compromis pour empêcher la propagation. Couper l’accès réseau du serveur touché, révoquer les credentials suspects, bloquer l’adresse IP source.
- Analyser : comprendre ce qui s’est passé grâce aux logs. Point d’entrée, actions réalisées par l’attaquant, données potentiellement exposées. C’est ici que la centralisation des logs prend toute sa valeur.
- Communiquer : prévenir les parties prenantes. En interne d’abord (direction, équipe technique). En externe si nécessaire — le RGPD impose une notification à la CNIL sous 72 heures en cas de violation de données personnelles.
La différence entre « on a des sauvegardes » et « on peut restaurer »
La fonction Restaurer est peut-être la plus sous-estimée. Presque tout le monde fait des sauvegardes. Très peu de gens testent leurs restaurations.
Une sauvegarde qui n’a jamais été testée est une promesse non vérifiée. Le jour où vous en avez besoin, vous découvrez que le dump de base de données est corrompu, que la procédure de restauration prend 48 heures au lieu de 4, ou que personne ne sait dans quel ordre relancer les services.
La stratégie 3-2-1 reste la référence : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Mais au-delà de la stratégie de sauvegarde, ce qui compte c’est le test de restauration régulier. Une fois par trimestre, restaurez un service complet à partir de vos sauvegardes. Mesurez le temps réel. Documentez la procédure pas à pas. C’est la seule manière de savoir si votre plan de reprise fonctionne réellement.
Cas client — Commerce en ligne, 12 collaborateurs
Situation : Ransomware chiffrant le serveur de production un samedi soir. Des sauvegardes quotidiennes existaient sur un NAS interne.
Problème : Le NAS était sur le même réseau — il avait été chiffré aussi. Aucune copie hors site.
Résolution : Reconstruction complète à partir d’une sauvegarde partielle vieille de 3 semaines, récupérée chez l’hébergeur. Cinq jours d’arrêt. Perte de données estimée à 18 jours de commandes.
Après intervention : Mise en place de sauvegardes chiffrées hors site (stockage S3 distant), test de restauration trimestriel, procédure de réponse documentée.
Ce cas illustre une réalité fréquente : ce n’est pas l’absence de sauvegarde qui pose problème, c’est l’absence de stratégie de restauration testée. Le jour de l’incident, vous ne voulez pas découvrir votre plan de reprise — vous voulez le dérouler.
Tableau récapitulatif : les 6 fonctions, leurs outils et leurs livrables {#tableau-recapitulatif}
Les chapitres précédents détaillent chaque fonction du NIST CSF 2.0 individuellement. Ce tableau les rassemble en une vue d’ensemble opérationnelle. Pour chaque fonction, il répond à trois questions : quel est l’objectif, avec quoi on l’atteint, et comment on prouve qu’il est couvert.
| Fonction | Objectif | Outils concrets | Livrable / preuve |
|---|---|---|---|
| Gouverner | Définir les règles et les responsabilités | Document partagé (Notion, wiki interne) | PSSI opérationnelle, matrice des rôles, registre RGPD |
| Identifier | Cartographier actifs, données et accès | Inventaire réseau, gestionnaire de mots de passe (Vaultwarden) | Cartographie des actifs, registre des accès, revue trimestrielle |
| Protéger | Réduire la surface d’attaque | Pare-feu (iptables, nftables), durcissement système, mises à jour automatisées | Configurations documentées, politique de moindre privilège appliquée |
| Détecter | Repérer les événements anormaux en temps réel | Grafana + Loki (logs), Prometheus (métriques), Trivy / OpenVAS (vulnérabilités) | Alertes actives, dashboards, rapports de scans planifiés |
| Répondre | Agir vite et méthodiquement en cas d’incident | Procédure écrite, canal d’alerte dédié (Mattermost, Slack) | Plan de réponse documenté et testé, journal d’incident |
| Restaurer | Revenir à un état normal après un incident | Sauvegardes 3-2-1, stockage S3 hors site, scripts de restauration | Test de restauration trimestriel documenté, RTO/RPO mesurés |
RTO (Recovery Time Objective) désigne le temps maximal acceptable pour remettre un service en ligne. RPO (Recovery Point Objective) désigne la quantité maximale de données que vous acceptez de perdre — autrement dit, l’ancienneté de votre dernière sauvegarde exploitable. Ces deux indicateurs doivent être définis avant l’incident, pas pendant.
Ce que ce tableau révèle
Imprimez-le. Parcourez chaque ligne. Pour chacune, posez-vous une seule question : qu’est-ce que j’ai réellement en face ? Un outil en place et une procédure appliquée — ou une case vide ?
C’est exactement l’exercice qu’un audit de sécurité permet de formaliser. Pas pour produire un document de plus, mais pour obtenir une photographie honnête de votre posture. Les cases vides ne sont pas un problème en soi. Ce qui est dangereux, c’est de ne pas savoir où elles sont.
La plupart des PME qui font cet exercice pour la première fois constatent que la colonne « Détecter » est la plus vide. On investit dans la protection (pare-feu, antivirus, sauvegardes), mais on oublie la visibilité. Or, un pare-feu sans monitoring, c’est une porte blindée sans judas : vous ne savez pas qui frappe, ni si quelqu’un est déjà entré.
L’ensemble de ces outils repose sur des solutions open source, déployables sur une infrastructure on-premise ou cloud, sans coût de licence. Ce qui demande un investissement, c’est le temps de déploiement, de configuration et de maintien. C’est précisément le type de mission qu’un CTO externalisé prend en charge pour les structures qui n’ont pas de ressource technique dédiée.
Quelles erreurs éviter quand on structure sa sécurité ? {#erreurs-courantes}
Adopter un cadre comme le NIST CSF 2.0 est une excellente décision. Mais le chemin entre la décision et une sécurité réellement opérationnelle est semé d’erreurs classiques. En voici quatre qui reviennent systématiquement.
Vouloir tout faire d’un coup
Le tableau des 6 fonctions peut donner le vertige. PSSI, cartographie, monitoring, scans, plan de réponse, sauvegardes testées… Tout semble urgent. La tentation est de lancer tous les chantiers en parallèle. Le résultat habituel : rien n’est terminé correctement, l’équipe s’essouffle, le projet « sécurité » est abandonné au bout de deux mois.
L’approche qui fonctionne : commencer par un périmètre restreint. Sécuriser d’abord l’application la plus critique ou le serveur le plus exposé. Déployer le monitoring sur ce périmètre. Valider que ça tourne. Puis élargir progressivement. Une sécurité partielle mais réelle vaut mieux qu’une sécurité totale mais théorique.
Confondre outil et politique
Installer Grafana ne signifie pas que vous avez une stratégie de détection. Déployer Vaultwarden ne signifie pas que votre politique d’accès est définie. L’outil est un moyen, pas une fin. Sans politique claire qui encadre son usage — qui consulte les alertes, à quelle fréquence, selon quels critères d’escalade — l’outil devient un tableau de bord que personne ne regarde.
Chaque outil déployé doit répondre à une question précise : qui l’utilise, pour quoi, et que se passe-t-il quand il signale quelque chose ?
Négliger le maintien en condition opérationnelle
La sécurité n’est pas un projet avec une date de fin. C’est un processus continu. Un scan de vulnérabilités configuré en janvier et jamais mis à jour ne détectera pas les failles publiées en mars. Une PSSI rédigée en 2023 qui ne reflète plus l’infrastructure actuelle donne une fausse image de votre posture.
Le maintien en condition opérationnelle — ce que l’on appelle la maintenance technique — est le travail invisible qui fait que tout continue de fonctionner. Mises à jour des outils, rotation des accès, revue des règles d’alerte, vérification des sauvegardes. C’est moins gratifiant que le déploiement initial, mais c’est ce qui sépare une infrastructure protégée d’une infrastructure qui l’était.
Oublier le facteur humain
Vous pouvez avoir la meilleure stack technique du marché. Si un collaborateur clique sur un lien de phishing et saisit ses identifiants sur une fausse page de connexion, votre pare-feu n’y changera rien. Le facteur humain reste le premier vecteur d’intrusion.
La sensibilisation ne demande pas un programme de formation coûteux. Quelques règles simples, rappelées régulièrement, couvrent l’essentiel : ne jamais saisir ses identifiants depuis un lien reçu par email, signaler tout comportement suspect, utiliser le gestionnaire de mots de passe pour chaque compte. La meilleure défense technique ne remplace pas un réflexe humain bien ancré.
FAQ
Le NIST CSF est-il obligatoire en France ?
Non. Le NIST CSF est un cadre volontaire, pas une obligation réglementaire. En France, les exigences légales en matière de sécurité relèvent principalement du RGPD et, pour certains secteurs, de la directive NIS 2. Cependant, le NIST CSF est un excellent outil pour structurer sa conformité à ces obligations. Suivre ses 6 fonctions couvre naturellement une grande partie des exigences du RGPD en matière de protection des données.
Combien coûte la mise en place d’un cadre de sécurité pour une PME ?
Avec des outils open source, le coût logiciel est quasi nul. L’investissement réel porte sur le temps humain : entre 5 et 15 jours de travail pour un déploiement initial couvrant les 6 fonctions sur un périmètre standard (quelques serveurs, une application principale). Le maintien représente ensuite 1 à 2 jours par mois. Un accompagnement en conseil et support technique permet de réduire significativement ces délais.
Peut-on appliquer le NIST CSF sans RSSI en interne ?
Oui. Le framework est conçu pour être adaptable à toute taille d’organisation. Dans une PME sans RSSI, le rôle de pilotage peut être porté par un dirigeant appuyé par un prestataire technique, ou par un CTO externalisé qui assure à la fois la mise en œuvre et le suivi. L’important est qu’une personne identifiée porte le sujet.
Quelle différence entre NIST CSF et ISO 27001 ?
Le NIST CSF est un cadre de structuration : il aide à organiser et évaluer votre sécurité. ISO 27001 est une norme certifiable : elle définit un système de management de la sécurité de l’information avec des exigences précises à respecter. Le NIST CSF est plus accessible pour démarrer. ISO 27001 est pertinente si vous avez besoin d’une certification reconnue, par exemple pour répondre aux exigences d’un client grand compte.
Par quelle fonction commencer quand on part de zéro ?
Par Identifier. Vous ne pouvez pas protéger ce que vous ne connaissez pas. Listez vos serveurs, vos applications, vos comptes d’accès. Ce premier inventaire prend quelques heures et révèle presque toujours des angles morts immédiats à traiter. Ensuite, posez les bases de Gouverner (une PSSI courte, des rôles clairs) avant de passer à Protéger et Détecter.
Ce que vous devriez faire cette semaine
- Faites l’inventaire de vos actifs — Listez tous vos serveurs, applications et services actifs. Incluez les machines oubliées, les comptes de test, les accès d’anciens prestataires. Un tableur suffit pour commencer.
- Testez une restauration de sauvegarde — Prenez votre sauvegarde la plus récente et restaurez-la sur un environnement de test. Mesurez le temps réel. Si vous n’y arrivez pas, vous avez votre première priorité.
- Parcourez le tableau des 6 fonctions — Pour chaque ligne, notez ce que vous avez réellement en place. Les cases vides sont votre feuille de route.
Besoin d’un regard externe ? Contactez-nous
Besoin d’un accompagnement ?
Je propose un audit de posture sécurité basé sur le NIST CSF 2.0 : cartographie de vos actifs, évaluation fonction par fonction, identification des angles morts et plan d’action priorisé. Vous repartez avec un état des lieux concret et une feuille de route adaptée à votre budget et vos ressources.
