Les niveaux et les mesures clés

Pour répondre à la gravité de la menace à laquelle une organisation est exposée, en plus du niveau initial Small, 3 niveaux d'assurance sont prévus : Basic, Important et Essentiel.

cyberfundamentals small illustration

Small

Le niveau de départ Small permet à une organisation de procéder à une première évaluation. Il est destiné aux micro-organisations ou aux organisations ayant des connaissances techniques limitées.

pdf
Download
cyberfundamentals basic illustration

Basic

 

Le niveau d'assurance Basic contient les mesures de sécurité de l'information standard pour toutes les entreprises. Ceux-ci fournissent une valeur de sécurité efficace avec des technologies et des processus qui sont généralement déjà disponibles. Lorsque cela se justifie, les mesures sont adaptées et affinées.

pdf
Download
cyberfundamentals important illustration

Important

 

Le niveau d'assurance Important est conçu pour minimiser les risques de cyberattaques ciblées par des acteurs disposant de compétences et de ressources communes, en plus des risques de cybersécurité connus.

pdf
Download
cyberfundamentals essential illustration

Essentiel

 

Le niveau d'assurance Essentiel va plus loin et est conçu pour faire face au risque de cyberattaques avancées par des acteurs disposant de compétences et de ressources étendues.

pdf
Download

Le cadre des CyberFundamentals est un ensemble de mesures concrètes visant à :

  • protéger les données
  • réduire de manière significative le risque des cyber-attaques les plus courantes,
  • accroître la cyber-résilience d'une organisation. 

Le cadre est basé sur quatre cadres de cybersécurité couramment utilisés, auxquels il est lié : NIST CSF, ISO 27001 / ISO 27002, CIS Controls et IEC 62443.

Il utilise les fonctions de tout cadre de cybersécurité.

Les niveaux et les mesures clés

Pour répondre à la gravité de la menace à laquelle une organisation est exposée, en plus du niveau initial Small, 3 niveaux d'assurance sont prévus : Basic, Important et Essentiel. 

Sur la base de nos données historiques, un rétrofit a été effectué sur les cyber-attaques réussies en utilisant des données anonymes. La conclusion est la suivante :

  • les mesures du niveau d'assurance Basic sont capables de couvrir 82% des attaques,
  • les mesures du niveau d'assurance Important permettent de couvrir 94 % des attaques,
  • les mesures du niveau d'assurance Essentiel sont capables de couvrir 100 % des attaques.

Sur la base de ces attaques, des mesures clés ont été identifiées à chaque niveau afin de hiérarchiser les contre-mesures de protection contre les cyberattaques connues et pertinentes pour ce niveau d'assurance.

Schéma d'évaluation de la conformité CyberFundamentals

La conformité aux exigences des différents niveaux d'assurance du CyberFundamentals Framework sera évaluée conformément aux exigences énoncées dans le schéma d'évaluation de la conformité du CyberFundamentals Framework (CAS).

L'évaluation de la conformité du CyberFundamentals Framework est effectuée par un organisme d'évaluation de la conformité accrédité et agréé.

Un organisme d'évaluation de la conformité sera accrédité conformément au règlement (CE) n° 765/2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché, à moins que la législation belge n'en dispose autrement. Les demandes d'accréditation peuvent être adressées à BELAC selon la procédure applicable.

L' agréation est donnée par le CCB en tant qu'Autorité Nationale de Certification en matière de Cybersécurité. L'accréditation est l'une des conditions de l'agréation.

CyFun CAS document

CyFun-Toolbox

Pour faciliter l'utilisation du CyberFundamentals Framework, plusieurs outils en anglais sont disponibles pour faciliter la mise en œuvre du framework :

  • L'outil de sélection CyFun est un outil d'évaluation des risques qui permet de sélectionner en toute connaissance de cause le niveau d'assurance approprié pour les CyberFundamentals.
  • CyFun Self-Assessment tool est un outil (au format xls) pour la préparation de l'auto-évaluation. Il comprend des diagrammes en toile d'araignée pour étayer les rapports de gestion.
  • La cartographie du CyberFundamentals Framework donne un aperçu des exigences et des liens avec d'autres frameworks (au format xls).
Image
nist_framework_functions_wheel_1.png