Le Centre pour la Cybersécurité Belgique (CCB) a mis au point un outil permettant d'effectuer facilement une évaluation des risques et de sélectionner en connaissance de cause le Niveau d'Assurance approprié pour les CyberFondamentaux dans le contexte de NIS2. L'outil n'impose pas de méthodologie spécifique d'analyse des risques à utiliser par les organisations dans leur gestion quotidienne.
Inspiré par la directive NIS2 de l'UE, le CCB a procédé à des évaluations génériques des risques pour 17 secteurs, en tenant compte notamment des conséquences nationales ou sociétales d'une cyberattaque. Les résultats de ces évaluations de risques sont inclus dans l'outil en tant que valeurs par défaut.
Pour déterminer le Niveau d'Assurance des CyberFondamentaux approprié à votre organisation, veuillez suivre les quatre étapes suivantes :
Définissez la taille de votre organisation en entrant le nombre correct dans la cellule située à côté de la cellule "Taille de l'Organisation (L/M/S=3/2/1)".
Pour déterminer la taille de votre organisation, veuillez utiliser les critères suivants :
Taille Valeur | Taille | Critères de taille * |
| 3 | Grand | 250 salariés ou plus**, OU plus de 50 millions d'euros de chiffre d'affaires annuel, OU plus de 43 millions d'euros de bilan annuel. |
| 2 | Moyen | Entre petit et grand |
| 1 | Petit | Moins de 50 salariés ET moins de 10 millions d'euros de chiffre d'affaires annuel ET moins de 10 millions d'euros de total de bilan annuel |
* La taille moyenne de votre organisation au cours du dernier exercice comptable. Si vous faites partie d'une organisation plus grande (par exemple, une holding) ou si vous avez une organisation partenaire, vous devez également tenir compte de sa taille dans votre calcul, à moins que vous ne puissiez prouver une indépendance suffisante par rapport à son réseau et à ses systèmes d'information.
** Équivalents temps plein de l'ensemble du personnel ayant travaillé dans ou pour l'organisation au cours du dernier exercice comptable.
Pour plus de détails, voir la Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises.
Fort de son expérience, le CCB a sélectionné les catégories de cyberattaques suivantes :
Pour chaque catégorie de cyberattaque, le niveau d'impact national, sociétal ou commercial a été déterminé dans la colonne ("Impact"). Vous pouvez accepter le niveau d'impact par défaut ou l'adapter pour refléter la situation spécifique de votre organisation.
Le document "Description des niveaux d'impact Élevé, Moyen et Faible" fournit plus d'informations sur la façon de déterminer l'impact.
Lorsque la valeur par défaut a été modifiée, il est important d'en expliquer les raisons.
Fort de son expérience, le CCB a sélectionné les types d'acteurs de la menace suivants :
Une probabilité par défaut (Elevée, Moyenne ou Faible) par catégorie de cyberattaque et par acteurs de la menace a été déterminée.
Les critères de probabilité sont expliqués dans l'onglet "critères" du CyFun Selection Tool.
Vous pouvez accepter la probabilité par défaut ou l'adapter à la situation spécifique de votre organisation.
Lorsque la valeur par défaut a été modifiée, il est important d'en expliquer les raisons.
Dans l'onglet "Critères" de l'outil de sélection CyFun, vous trouverez plus d'informations sur la signification des probabilités Faible, Moyenne et Élevée.
L'outil génère automatiquement le niveau d'assurance des CyberFondamentaux approprié dans la cellule "Niveau CyFun".
Si votre organisation relève de plusieurs secteurs, c'est le Niveau d'Assurance CyFun le plus élevé qui s'applique.
Lorsque le "niveau CyFun" généré diffère du "niveau CyFun" par défaut, il est important d'en documenter la raison.
Les commentaires concernant l'outil peuvent être envoyés à certification@ccb.belgium.be.
L'outil est uniquement disponible en anglais.
