NIS2: Êtes vous dans le champ d'application ?
La nouvelle loi belge sur la cybersécurité entre en vigueur. Consultez-la maintenant.
Niveau 1 : Hygiène cybernétique de base
Le niveau 1 est le niveau le plus élémentaire de la cybermaturité ; il constitue le socle initial de la cybersécurité de base. Les pratiques mises en œuvre doivent soutenir l'hygiène de base de l'organisation en matière de cybersécurité, comme la gestion des mots de passe et la mise à jour des systèmes avec des correctifs. Ce niveau est destiné aux petites entreprises qui présentent un risque minimal pour leurs données.
Processus : Mise en œuvre
L’organisation met en œuvre des mesures de cybersécurité sur une base ad hoc et peut ou non s’appuyer sur de la documentation.
Pratiques : Hygiène cybernétique de base
L'organisation présente des processus de maturité de cybersécurité limités ou incohérents. À ce stade, les mesures de cybersécurité mises en œuvre offrent une protection limitée contre l'exfiltration de données et les actions malveillantes.
Source : Cybersecurity Maturity Model Certification (CMMC) 1.0
Niveau 2 : Hygiène cybernétique intermédiaire
Ce niveau exige qu'une organisation applique les mesures identifiées au niveau précédent 1 (mise en œuvre). Bien que ce niveau indique une hygiène cybernétique globale, il reste limité par rapport aux niveaux supérieurs. L'organisation peut encore avoir des difficultés à se défendre efficacement contre les menaces persistantes avancées (APT). En outre, l'organisation devra démontrer que les pratiques sont documentées dans des politiques et des procédures.
Procédures : Documentation
L'organisation établit et documente des pratiques et des politiques pour encadrer la mise en œuvre de ses efforts en matière de cybersécurité. La documentation des pratiques permet aux individus de les exécuter de manière répétitive. Les organisations développent des capacités matures en documentant leurs processus, puis en les mettant en pratique tels qu'ils sont documentés.
Pratiques : Hygiène cybernétique intermédiaire
L'organisation présente des processus de maturité de cybersécurité limités ou incohérents. À ce stade, les mesures de cybersécurité mises en œuvre offrent une protection limitée contre l'exfiltration de données et les actions malveillantes.
Source : Cybersecurity Maturity Model Certification (CMMC) 1.0
Niveau 3 : Hygiène cybernétique satisfaisante
Ce niveau exige que l'organisation applique les mesures identifiées aux niveaux précédents 1 et 2 (mise en œuvre et documentation). En outre, l'organisation devra établir, maintenir et fournir un plan pour démontrer qu'elle gère les activités de mise en œuvre pratique.
Procédures : Gestion
L'organisation établit, maintient et enrichit un plan démontrant la gestion des activités pour la mise en œuvre pratique. Le plan peut inclure des informations sur les missions, les objectifs, les plans de projet, les ressources, la formation requise et l'implication des parties prenantes concernées.
Pratiques : Hygiène cybernétique satisfaisante
L'organisation déploie des mesures pour adopter une approche de cybersécurité avancée ou progressive et cherche à réduire le risque de menaces persistantes avancées (APT). Les APT sont souvent des États-nations ou des groupes parrainés par des États, qui utilisent une expertise sophistiquée ainsi que des ressources étendues, ce qui leur permet d'attaquer continuellement les réseaux de sécurité en utilisant des vecteurs d'attaque multiples et variés, y compris la sécurité physique et la cybersécurité, ainsi que des techniques de tromperie.
Source : Cybersecurity Maturity Model Certification (CMMC) 1.0
Niveau 4 : Hygiène cybernétique proactive
Ce niveau exige de l'organisation qu’elle applique les mesures identifiées aux niveaux précédents 1, 2 et 3 (mise en œuvre, documentation et gestion). En outre, l'organisation devra mettre en œuvre les processus nécessaires pour examiner et mesurer les pratiques afin de démontrer leur efficacité, prendre des mesures correctrices et informer la direction générale lorsque les pratiques n'atteignent pas le niveau d'efficacité requis.
Procédures : Examen
Une organisation examine et mesure l'efficacité de ses pratiques. En plus de mesurer l'efficacité des pratiques, les organisations sont en mesure à ce niveau de prendre des mesures correctrices si nécessaire et d'informer le management de haut niveau de l'état ou des problèmes de façon récurrente.
Pratiques : Hygiène cybernétique cybernétique proactive
L'organisation déploie des mesures pour protéger les informations critiques de l'entreprise contre les menaces persistantes avancées (APT). Ces mesures améliorent les capacités de détection et de réponse d'une organisation pour faire face et s'adapter aux tactiques, techniques et procédures (TTP) changeantes utilisées par les APT.
Source : Cybersecurity Maturity Model Certification (CMMC) 1.0
Niveau 5 : Hygiène cybernétique avancée/proactive
Le niveau 5 est le plus haut niveau de maturité en matière de cybersécurité. Ce niveau exige d'une organisation qu'elle applique les mesures identifiées aux niveaux précédents 1, 2, 3 et 4 (mise en œuvre, documentation, gestion, examen et mesure). En outre, l'organisation devra mettre en œuvre les processus nécessaires pour standardiser et optimiser les pratiques afin de démontrer leur cohérence, leur efficacité et leur efficience dans l'ensemble de l'organisation.
Procédures : Optimiser
L'organisation standardise et optimise la mise en œuvre des processus à tous les niveaux de l'organisation.
Pratiques : Hygiène cybernétique avancée/proactive
L'organisation met en œuvre des pratiques supplémentaires qui augmentent la profondeur et la sophistication des capacités de cybersécurité.
Source : Cybersecurity Maturity Model Certification (CMMC) 1.0