Pour soutenir le ‘CyberFundamentals Framework’, le Centre pour la Cybersécurité Belgique (CCB) a développé un outil en MS© Excel.
L'outil d'auto-évaluation prend en compte les exigences des niveaux d'assurance ‘Basic’, ‘Important’ et ‘Essential’ d'une version spécifique du cadre, ainsi que les exigences identifiées dans le schéma d'évaluation de la conformité (CAS). Les versions du ‘CyberFundamentals Framework’ et du CAS sur lesquelles l'outil est aligné sont identifiées dans l'outil. C'est pourquoi l'outil ne peut pas être modifié dans le cadre d'une activité de vérification ou de certification.
L'outil d'auto-évaluation est disponible électroniquement en anglais dans la boîte à outils CyFun. (www.cyfun.be)
L'outil d'auto-évaluation dans MS© Excel comprend plusieurs onglets, chacun ayant sa propre fonction. Outre l'introduction, les niveaux de maturité et les références, il y a des onglets avec les contrôles pour les niveaux d'assurance ‘Basic’, ‘Important’ et ‘Essential’ (onglet ‘details’) et pour chaque niveau d'assurance un résumé (onglet ‘summary’).
Les contrôles sont évalués sous deux angles :
| Policy Maturity: | Le ‘Policy Maturity’ permet de déterminer dans quelle mesure les règles et procédures écrites satisfont aux contrôles du ‘CyberFundamentals Framework’. |
| Implementation Maturity: | L'évaluation de la maturité de la mise en œuvre permet de déterminer le degré de maturité des pratiques opérationnelles réelles par rapport au ‘CyberFundamentals Framework’. |
Le tableau ci-dessous présente les différents niveaux de maturité et les définitions utilisées pour évaluer la maturité des deux points de vue:
Le document ci-joint fournit une description holistique des différents niveaux de maturité utilisés dans CyberFundamentals et est destiné à guider les évaluations.
3. Méthode de calcul
Une sous-catégorie peut comprendre plusieurs contrôles et chacun de ces contrôles doit être évalué en termes de documentation et de mise en œuvre conformément au tableau de maturité ci-dessus. Une valeur de 1 à 5 doit être saisie pour chaque contrôle dans l'onglet ‘details’ du niveau d'assurance applicable. L'outil calcule une moyenne arithmétique pour la documentation et la mise en œuvre par sous-catégorie (par exemple ID.AM-1) pour ensuite calculer une autre moyenne arithmétique pour la documentation et la mise en œuvre par catégorie (par exemple ID.AM).
Ces valeurs calculées sont visibles dans l'onglet ‘details’ du niveau d'assurance applicable.
L'onglet ‘summary’ pour les différents niveaux d'assurance des CyberFondamentaux contient:
Détermination de la conformité avec le schéma d'évaluation de la conformité (CAS)
La vue d'ensemble comprend les notes cibles déterminées pour les niveaux d'assurance spécifiques décrits dans le CAS. C'est par rapport à ces notes cibles que les valeurs de l'auto-évaluation sont évaluées.
Lorsque les valeurs sont de couleur rouge, le niveau de maturité requis n'est pas atteint, tandis que la couleur verte indique la conformité.
Le schéma d'évaluation de la conformité (CAS) est en cours de discussion avec l'organisme national d'accréditation BELAC.
Feedback concernant l'outil peuvent être envoyé à certification@ccb.belgium.be
Un mode d'emploi clair est disponible via le lien ci-dessous.
