Quatre cadres, un même objectif : protéger votre entreprise
Plusieurs cadres de référence structurent la cybersécurité dans le monde. Pour une PME suisse, quatre sont particulièrement pertinents : l'ISO 27001 (norme internationale certifiable, 93 contrôles, 70 000+ entreprises certifiées), le NIST CSF (cadre volontaire américain, 5 fonctions, gratuit), le cadre de l'ANSSI (référence francophone, 42 mesures d'hygiène) et le Standard minimal TIC suisse (recommandé par l'OFAE pour les infrastructures critiques).
Chacun a ses forces : certification internationale, flexibilité, pragmatisme francophone ou ancrage suisse. Le tableau ci-dessous vous aide à choisir le cadre adapté à votre situation. Chez Bexxo, nous accompagnons les PME suisses depuis 2006 dans la mise en conformité avec ces référentiels.
Tableau comparatif des 4 normes de cybersécurité
| Critère | ISO 27001 | NIST CSF | ANSSI | Standard TIC (CH) |
|---|---|---|---|---|
| Type | Norme certifiable | Cadre volontaire | Recommandations étatiques | Standard fédéral suisse |
| Organisme | ISO / IEC | NIST (USA) | ANSSI (France) | OFAE (Suisse) |
| Structure | 93 contrôles (Annexe A) | 5 fonctions, 23 catégories | 42 mesures d'hygiène + EBIOS RM | 106 mesures basées sur NIST |
| Certification | Oui (audit tiers) | Non (auto-évaluation) | Visa de sécurité ANSSI | Non (auto-évaluation) |
| Coût estimé | 10 000 – 50 000 CHF | Gratuit | Gratuit (guides publics) | Gratuit |
| Renouvellement | Tous les 3 ans | Continu | Continu | Continu |
| Flexibilité | Cadre strict | Très adaptable | Pragmatique | Adaptable par secteur |
| Cible idéale | PME voulant certification | PME débutant en cyber | PME francophones | Infrastructures critiques CH |
| Pertinence Suisse | Reconnue par la nLPD | Recommandé par l'OFCS | Référence francophone | Recommandé par l'OFAE |
| Dernière version | ISO 27001:2022 | CSF 2.0 (fév. 2024) | Guide hygiène v2 (2017) | Version 2023 |
Ces quatre cadres sont complémentaires. Le Standard TIC suisse et le NIST CSF sont les meilleurs points de départ pour une PME suisse. Les guides ANSSI apportent un pragmatisme apprécié en contexte francophone. L'ISO 27001 est le choix idéal pour obtenir une certification reconnue internationalement. Chez Bexxo, nous combinons ces référentiels selon votre contexte.
Qu'est-ce que le NIST CSF ?
Le NIST Cybersecurity Framework propose des lignes directrices volontaires pour gérer et réduire les risques liés à la cybersécurité. Ces recommandations s'adaptent aux divers besoins des entreprises, quelles que soient leur taille et leur secteur d'activité. Contrairement à l'ISO 27001, les exigences du NIST sont souples et conçues pour évoluer avec l'organisation.
Les 5 fonctions du NIST CSF
Le Framework Core repose sur 5 fonctions principales, réparties en 23 catégories :
- Identifier — Comprendre les actifs, les risques et la gouvernance de l'organisation
- Protéger — Mettre en place les mesures de protection (contrôle d'accès, formation, chiffrement)
- Détecter — Déployer les capacités de détection des incidents de sécurité
- Répondre — Planifier et exécuter la réponse aux incidents détectés
- Récupérer — Restaurer les services et tirer les leçons de l'incident
Pour qui est le NIST CSF ?
Le NIST CSF s'adresse à toute organisation souhaitant structurer sa démarche cybersécurité sans investissement initial important. C'est le point de départ idéal pour les PME suisses qui n'ont pas encore de cadre formel. L'OFCS (Office fédéral de la cybersécurité) recommande d'ailleurs ce framework comme base pour les entreprises suisses.
Qu'est-ce que l'ISO 27001 ?
L'ISO 27001 est une norme internationale qui définit les meilleures pratiques pour les systèmes de gestion de la sécurité de l'information (SGSI). Elle permet aux organisations de démontrer leur approche de la sécurité et de la confidentialité des données via une certification vérifiable par un auditeur tiers accrédité. Plus de 70 000 entreprises dans le monde sont certifiées (ISO Survey 2023).
Les 93 contrôles de l'ISO 27001:2022
La version 2022 de l'ISO 27001 définit 93 contrôles répartis en 4 catégories dans l'Annexe A :
- Contrôles organisationnels (37) — Politiques, rôles, gestion des actifs, relations fournisseurs
- Contrôles humains (8) — Sélection du personnel, sensibilisation, formation
- Contrôles physiques (14) — Périmètre de sécurité, équipements, surveillance
- Contrôles technologiques (34) — Authentification, chiffrement, journalisation, développement sécurisé
Coût et processus de certification ISO 27001
Le coût d'une certification ISO 27001 pour une PME suisse se situe entre 10 000 et 50 000 CHF, selon la taille de l'organisation et la complexité de son périmètre. Le processus comprend : analyse des écarts, mise en place du SGSI, audit interne, puis audit de certification par un organisme accrédité. Chez Bexxo, nous accompagnons les PME dans chaque étape de ce processus, de l'analyse initiale à l'obtention de la certification.
Le cadre ANSSI (France)
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité française en matière de cybersécurité. Son Guide d'hygiène informatique définit 42 mesures essentielles couvrant la sensibilisation, l'authentification, la sécurité des postes, du réseau et la gestion des incidents. Publié gratuitement, il est la référence la plus pragmatique pour les PME francophones.
Les 42 mesures d'hygiène informatique
Les 42 mesures de l'ANSSI couvrent 10 domaines :
- Sensibilisation — Former et responsabiliser les utilisateurs
- Authentification — Politique de mots de passe et MFA
- Postes de travail — Mises à jour, chiffrement, antivirus
- Réseau — Segmentation, pare-feu, surveillance
- Nomadisme — VPN, sécurisation du télétravail
- Administration — Comptes privilégiés, journalisation
- Maintien en conditions de sécurité — Veille, correctifs
- Supervision — Détection d'incidents, alertes
- Gestion des incidents — Plans de réponse, communication
- Continuité d'activité — Sauvegardes, PCA/PRA
EBIOS Risk Manager
L'ANSSI propose également EBIOS Risk Manager, une méthode d'analyse de risques en 5 ateliers, adoptée par les administrations françaises et de nombreuses entreprises francophones. Elle permet d'identifier les scénarios de menaces les plus réalistes et de prioriser les mesures de sécurité. Comparable au risk assessment du NIST, EBIOS est particulièrement appréciée pour sa rigueur méthodologique en contexte francophone.
Le Standard minimal TIC suisse
Le Standard minimal TIC est un cadre développé par l'Office fédéral pour l'approvisionnement économique (OFAE) en collaboration avec l'OFCS. Basé sur le NIST CSF, il définit 106 mesures organisées autour des 5 fonctions NIST, adaptées au contexte suisse. Il est recommandé pour les exploitants d'infrastructures critiques mais applicable à toute PME suisse.
Pourquoi le Standard TIC est pertinent pour les PME suisses
Le Standard minimal TIC présente plusieurs avantages pour les PME suisses :
- Gratuit et public — disponible en français, allemand et italien sur le site de l'OFAE
- Adapté au contexte suisse — intègre les exigences de la nLPD et les recommandations de l'OFCS
- Compatible NIST — même structure en 5 fonctions, facilitant une transition vers le NIST CSF ou l'ISO 27001
- Auto-évaluation — inclut un outil Excel d'évaluation permettant de mesurer sa maturité
Quel cadre choisir pour votre PME ?
Vous débutez en cybersécurité ? Commencez par le Standard minimal TIC suisse (gratuit, adapté au contexte local) ou le guide ANSSI (42 mesures pragmatiques). Ces deux cadres vous donnent une base solide sans investissement initial.
Vous voulez structurer votre démarche ? Le NIST CSF offre un framework flexible avec des niveaux de maturité mesurables (score 0-4). L'OFCS le recommande pour les PME suisses.
Vous visez la certification ? L'ISO 27001 est le seul cadre certifiable par un auditeur tiers. C'est un avantage concurrentiel fort pour les PME traitant des données sensibles ou travaillant avec des grands comptes. Chez Bexxo, nous recommandons souvent une approche progressive : Standard TIC → NIST CSF → ISO 27001.
