Des cadres complémentaires, non interchangeables
ISO 27001, ISO 27002, NIST CSF, COBIT, MITRE ATT&CK et TOGAF ne se remplacent pas. Ils répondent à des besoins différents : management, mesures, pilotage, gouvernance, connaissance de l’adversaire et architecture d’entreprise.
Leur valeur apparaît lorsqu’ils sont articulés. Une organisation mature ne les accumule pas pour produire des documents ; elle les utilise pour mieux décider, contrôler, auditer et améliorer sa sécurité.
Tableau comparatif
| Cadre | Objectif | Niveau | Lien avec le PFE |
|---|---|---|---|
| ISO 27001 | Management de la sécurité de l’information | Stratégique / gouvernance | Structurer le SMSI et l’amélioration continue. |
| ISO 27002 | Mesures de sécurité | Technique / organisationnel | Catalogue de contrôles applicables. |
| ISO 27005 | Gestion des risques de sécurité de l’information | Risque | Identifier, évaluer et traiter les risques. |
| ISO 27031 | Continuité numérique | Résilience | Préparer la continuité et la reprise. |
| NIST CSF 2.0 | Cadre de fonctions cyber | Gouvernance / pilotage | Gouverner, identifier, protéger, détecter, répondre, rétablir. |
| NIST AI RMF | Gestion des risques IA | IA / gouvernance | Encadrer les risques liés à l’intelligence artificielle. |
| COBIT | Gouvernance du SI | Gouvernance SI | Aligner objectifs IT, contrôles et responsabilité. |
| MITRE ATT&CK | Base de tactiques adverses | Technique / renseignement | Comprendre le comportement de l’attaquant. |
| TOGAF | Architecture d’entreprise | Architecture | Intégrer la sécurité dans l’architecture globale. |
| Zero Trust | Modèle de sécurité | Technique / gouvernance | Ne jamais faire confiance par défaut, vérifier continuellement. |