CyberFundamentals Frequently Asked Questions (FAQ)

L'autorité de certification du CCB (NCCA) vérifiera si la déclaration d'applicabilité justifiée (SoA) a le même niveau que le niveau d'assurance CyFun® pertinent. L'inclusion des contrôles CyFun® dans la déclaration d'applicabilité ISO/IEC 27001 reste une décision de l'entité concernée.

En ce qui concerne ce qui précède, l'autorité de certification du CCB (NCCA) appliquera les délais prévus à l'article 22 de l'AR du 09 juin 2024 :

• dans les 18 mois suivant l'entrée en vigueur de la loi NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2, le champ d'application du SMSI et une déclaration d'applicabilité (SoA) justifiée du même niveau que celui stipulé dans CyFun® Basic ou CyFun® Important et
• dans les 30 mois, une certification ISO/IEC 27001:2022 où la SoA justifiée a le même niveau que celui défini dans CyFun® Important ou Essential, selon que l'entité est importante ou essentielle.

La définition de « justifiée » est celle de la clause 9.3.2.2 (f) de la norme ISO/IEC 27006-1:2024 ; la justification de la déclaration d'applicabilité (SoA) doit permettre l'évaluation de la mise en œuvre et de l’efficacité des contrôles. En d'autres termes : il doit y avoir des preuves qu'un contrôle est mis en œuvre et qu'il est efficace.

L'objectif est de créer des conditions de concurrence équitables pour toutes les entités enregistrées en Belgique, qu'elles choisissent CyFun® ou ISO/IEC 27001:2022. Compte tenu de la spécificité des CyFun® adoptés par diverses parties prenantes, NCCA utilise les mesures identifiées dans le niveau d'assurance respectif de CyFun® pour examiner la déclaration d'applicabilité d'une entité certifiée ISO/IEC 27001:2022 afin de s'assurer que des contrôles équivalents sont définis et mis en œuvre de manière efficace. NCCA accordera ici une attention particulière aux mesures clés définies dans CyFun® puisque ces mesures découlent directement des cyber-attaques qui se sont produites en Belgique.

En tant qu'autorité de contrôle, nous ne sommes pas autorisés à donner des conseils sur la manière dont est établie la relation entre le niveau d'assurance pertinent des CyberFundamentals et le SoA de la norme ISO/IEC 2700:2022.

Les exclusions dans CyFun® pourraient être des exigences spécifiques de CyFun® auxquelles l'organisation ne peut répondre. Le principe de CyFun® étant que les contrôles peuvent être remplis de manière proportionnelle sur la base de la gestion des risques, il a été sciemment décidé de ne pas offrir cette possibilité dans l'outil d'auto-évaluation CyFun®, compte tenu de l'improbabilité de ces exclusions motivées.

La non-application d'un contrôle est une « exception » (« exception ») comme prévu dans la CyFun® Maturity Level Description (CyFun® Toolbox).

La documentation doit permettre de vérifier que l'exclusion est correctement motivée, documentée et autorisée par les cadres supérieurs de l'organisation.

La mise en œuvre doit vérifier qu'il existe suffisamment de preuves de diligence raisonnable pour démontrer que l'exclusion d'un contrôle CyFun ne compromet pas le respect d'obligations légales, réglementaires et/ou contractuelles spécifiques".

À l’origine, le CyberFundamentals Framework est un cadre belge développé par le Centre pour la Cybersécurité Belgique (CCB) qui a néanmoins été conçu de manière à pouvoir être reconnu au niveau européen. Ce processus a été initié par BELAC. Pour l'instant, CyFun® a été enregistré dans la législation belge uniquement pour pouvoir supposer, jusqu'à preuve du contraire, que l'entité satisfait à ses obligations de cybersécurité NIS2 (présomption de conformité). Entre-temps, le cadre a été officiellement adopté par la Roumanie, qui examine désormais comment l’utiliser dans le cadre du déploiement opérationnel de NIS2. D'autres pays européens (dont la France) reconnaissent également la valeur de CyFun® et examinent comment ils pourraient reconnaître, voire adopter complètement ce cadre.

Le CCB gère le cadre et tous les documents associés au système en tant que Primary Scheme Owner (propriétaire principal du système). Ceci fait l'objet d'une procédure formelle qui permet le déploiement de CyFun® dans d'autres pays européens.

CyFun® est conçu pour aider les organisations à protéger leurs données, à réduire le risque de cyberattaques courantes et à accroître leur cyber-résilience. Il est basé sur quatre cadres de cybersécurité couramment utilisés (NIST CSF, ISO/IEC 27001, CIS Controls et IEC 62443) et utilise également des données historiques anonymes provenant de cyberattaques réussies pour identifier les différentes mesures du cadre. Le cadre CyFun® dispose d'un système formel d'évaluation de la conformité et se concentre sur des mesures pratiques d'identification, d'évaluation et d'atténuation des risques de cybersécurité, en mettant l'accent sur la résilience et la récupération après les cyber-incidents.

ISO/IEC 27001:2022 est une norme internationale pour les systèmes de gestion de la sécurité de l'information (SGSI), qui fournit un cadre pour la gestion et la protection des actifs informationnels et comprend des exigences pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un SGSI, conformément à d'autres normes ISO relatives aux systèmes de gestion.

Le lien entre ISO/IEC 27001:2022 et CyFun® est visible dans la cartographie CyFun® disponible en ligne dans la CyFun®Toolbox.

Ce qui suit résume les explications détaillées dans le schéma d'évaluation de la conformité CyFun® disponible en ligne.

Une entité juridique belge peut opter pour une vérification afin d'obtenir afin d'obtenir un label CyberFundamentals « Basic » ou « Important » associé à un code QR. Pour obtenir et utiliser le label CyberFundamentals « Basic » ou « Important », l'entité doit soumettre au CCB l'auto-évaluation qui a été vérifiée et attestée dans une déclaration de vérification par le même organisme d'évaluation de la conformité (CAB) accrédité.

Pour le label CyberFundamentals « Essential », la même procédure s'applique, mais elle est basée sur une certification et non sur une vérification. La preuve de la mise en œuvre réussie des mesures clés doit être soumise en même temps que l'auto-évaluation. Les preuves requises pour chaque mesure clé consistent en une explication (1 page) accompagnée de preuves démontrables de la manière dont la mesure a été mise en œuvre.

Dans tous les cas, pour chaque demande de label, le CCB vérifiera si les exigences de chaque mesure clé ont été respectées et si le niveau de maturité global a été atteint. L'autorité de certification du CCB peut demander des informations supplémentaires.

Les entités belges peuvent obtenir un label CyberFundamentals sur la base d'un certificat ISO/IEC 27001:2022. Ce certificat doit être fourni au CCB, qui vérifiera ensuite l'éligibilité de la même manière que celle décrite dans les règles respectives pour l'obtention et l'utilisation d'un label CyberFundamentals « Basic », « Important » ou « Essential », en fonction de l'entité. L'autorité de certification du CCB (NCCA) vérifiera que la déclaration d'applicabilité justifiée (SoA) a le même niveau que le niveau d'assurance CyFun® correspondant.

Le champ d'application de l'évaluation de la conformité, ISO/IEC 27001:2022 et CyFun®, couvre une organisation dans son ensemble, à moins que les environnements IT/OT ne soient physiquement et/ou techniquement séparés. La séparation doit être effectuée de manière à ce que les environnements hors du champ d'application n'affectent pas les risques de l'environnement dans le champ d'application. Dans tous les cas, il convient de le préciser dans le champ d'application de l'évaluation de la conformité. Étant donné que le champ d'application couvre l'ensemble de l'organisation, cela s'applique également à la déclaration d'applicabilité prévue dans la norme ISO/IEC 27001:2022.

Le CyberFundamentals Framework est un référentiel appartenant au Centre for Cybersecurity Belgium (CCB), qui opère sous l'autorité du Premier ministre belge.

L'acronyme "CyFun" signifie "CyberFundamentals Framework" et est une marque déposée appartenant au CCB.

Le cadre CyFun et le CyberFundamentals schéma d'évaluation de la conformité (CAS) sont disponibles sur le site www.cyfun.be.

L'utilisation de l'acronyme "CyFun" et/ou de parties de ce document est autorisée, à condition que la source soit clairement mentionnée.

Toute utilisation commerciale de CyFun est soumise à un accord préalable avec le CCB.

Les éléments ci-dessous sont identifiés dans le schéma d'évaluation de la conformité CyFun®. Ce document est disponible sur www.cyfun.be

• Le certificat ISO/IEC 27001:2022 délivré par un organisme de certification accrédité.
• La déclaration d'applicabilité liée au certificat ISO/IEC 27001:2022 fourni.
• Une déclaration claire indiquant que le niveau d'assurance pour lequel le demandeur souhaite obtenir un label est « Basic » ou « Important » (prévu dans l'outil).
• La déclaration d'applicabilité qui fait partie de la certification ISO/IEC 27001:2022 doit inclure les exigences du niveau d'assurance « Basic » ou « Important » de CyberFundamentals. Cela peut être prouvé par un « mapping ».
• La preuve de la mise en œuvre réussie de toutes les mesures clés (key measures).

Bien que le schéma d'évaluation de la conformité CyFun® n'impose pas de format spécifique pour les preuves à fournir, celles-ci doivent permettre d'évaluer la mise en œuvre effective des mesures clés (key measures).

L'autorité de certification du CCB peut demander des informations supplémentaires.

Les éléments ci-dessous sont identifiés dans le schéma d'évaluation de la conformité CyFun®. Ce document est disponible sur www.cyfun.be

• Le certificat ISO/IEC 27001:2022 délivré par un organisme de certification accrédité.
• La déclaration d'applicabilité liée au certificat ISO/IEC 27001:2022 fourni.
• Une déclaration claire indiquant que le niveau d'assurance pour lequel le demandeur souhaite obtenir un label est « Essential » (prévu dans l'outil)
• La déclaration d'applicabilité qui fait partie de la certification ISO/IEC 27001:2022 doit inclure les exigences du niveau d'assurance « Essential » de CyberFundamentals. Cela peut être prouvé par un « mapping ».
• La preuve de la mise en œuvre réussie de toutes les mesures clés  (key measures) par une explication (1-pager) avec des preuves démontrables de la manière dont la mesure a été déployée.

L'autorité de certification du CCB peut demander des informations supplémentaires.

Voici une liste non exhaustive d'éléments possibles qui prouvent qu'une organisation comprend et gère efficacement sa chaîne d'approvisionnement :

1. Documentation des listes de fournisseurs et de clients

Documentation contrôlée (contrôle de version, approbation, etc.) des listes de toutes les organisations en amont (fournisseurs de matières premières, fabricants de composants, prestataires de services, etc.) et en aval (clients), détaillant les services fournis, les possibilités, les produits et les articles que chaque fournisseur fournit.

2. Visualisation de la chaîne d'approvisionnement

Création d'une visualisation de la chaîne d'approvisionnement (par exemple, dans une carte mentale) qui montre le flux de biens et de services des fournisseurs vers votre organisation et de votre organisation vers les clients.

Les fournisseurs et les clients critiques qui sont essentiels aux opérations de votre organisation doivent être mis en évidence.

3. Communication avec la chaîne d'approvisionnement

Des enregistrements de la communication avec les organisations en amont et en aval doivent être disponibles, montrant que vous avez communiqué la position de votre propre organisation et l'importance cruciale de chaque organisation individuelle dans votre chaîne d'approvisionnement pour vos activités. Cela est également possible par le biais de réunions régulières avec les fournisseurs et les clients importants que vous organisez pour discuter de la coopération et résoudre les problèmes éventuels. Il est important de documenter ces réunions et les points discutés.

4. Contrats et accords

Création, mise à jour et suivi des contrats et accords avec les fournisseurs et les clients, tels que définis par la clause 7.5 de la norme ISO/IEC 27001:2022. Ces documents devraient inclure les rôles, responsabilités et autorités de chaque partie et leur importance pour vos activités.

5. Plans de gestion des risques documentés et contrôlés

Des plans de gestion des risques devraient être documentés et tenus à jour afin d'identifier les risques potentiels associés aux fournisseurs et aux clients. Cela inclut également la mitigation de ces risques.

6. Revues et mises à jour régulières

Des revues régulières de votre chaîne d'approvisionnement devraient être planifiées et la documentation mise à jour en conséquence. Les fournisseurs ou les clients devraient être informés de tout changement.

7. Programmes de formation et de sensibilisation

Des programmes de formation destinés aux employés et, le cas échéant, aux fournisseurs et aux clients, devraient être mis en place pour s'assurer qu'ils comprennent l'importance de la chaîne d'approvisionnement pour votre organisation et leur rôle dans son maintien. Ces sessions de formation et leurs résultats devraient être documentés (liste de présence, supports de formation, programme, commentaires et actions entreprises à la suite de ces commentaires, tests d'évaluation et leurs résultats, etc.