Last update: 29/03/2024

Le Centre pour la Cybersécurité Belgique (CCB) a mis au point un outil permettant d'effectuer facilement une évaluation des risques et de sélectionner en connaissance de cause le Niveau d'Assurance approprié pour les CyberFondamentaux dans le contexte de NIS2. L'outil n'impose pas de méthodologie spécifique d'analyse des risques à utiliser par les organisations dans leur gestion quotidienne.

Inspiré par la directive NIS2 de l'UE, le CCB a procédé à des évaluations génériques des risques pour 17 secteurs, en tenant compte notamment des conséquences nationales ou sociétales d'une cyberattaque. Les résultats de ces évaluations de risques sont inclus dans l'outil en tant que valeurs par défaut.

Pour déterminer le Niveau d'Assurance des CyberFondamentaux approprié à votre organisation, veuillez suivre les quatre étapes suivantes :
 

1. Ouvrez votre Evaluation des Risques par défaut
 

  • Téléchargez l'outil de sélection CyFun (fichier Microsoft Excel).
  • Sélectionnez l'onglet "Secteur" approprié en bas du fichier.
  • Si votre organisation relève de plusieurs secteurs, veuillez effectuer l'analyse de risque pour chacun de ces secteurs.
     

2. Définissez la taille de votre organisation
 

Définissez la taille de votre organisation en entrant le nombre correct dans la cellule située à côté de la cellule "Taille de l'Organisation (L/M/S=3/2/1)".

Pour déterminer la taille de votre organisation, veuillez utiliser les critères suivants :

Taille

Valeur

TailleCritères de taille *
3Grand

250 salariés ou plus**, OU

plus de 50 millions d'euros de chiffre d'affaires annuel, OU

plus de 43 millions d'euros de bilan annuel.

2MoyenEntre petit et grand
1Petit

Moins de 50 salariés ET

moins de 10 millions d'euros de chiffre d'affaires annuel ET

moins de 10 millions d'euros de total de bilan annuel

* La taille moyenne de votre organisation au cours du dernier exercice comptable. Si vous faites partie d'une organisation plus grande (par exemple, une holding) ou si vous avez une organisation partenaire, vous devez également tenir compte de sa taille dans votre calcul, à moins que vous ne puissiez prouver une indépendance suffisante par rapport à son réseau et à ses systèmes d'information.

** Équivalents temps plein de l'ensemble du personnel ayant travaillé dans ou pour l'organisation au cours du dernier exercice comptable.

Pour plus de détails, voir la Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises.
 

3. Confirmez ou déterminez le niveau d'impact estimé par catégorie de cyberattaque
 

Fort de son expérience, le CCB a sélectionné les catégories de cyberattaques suivantes :

  • Sabotage/perturbation (DDOS...)
  • Vol d'informations (espionnage...)
  • riminalité (demandes de rançons)
  • Hacktivisme (subversion, défacement...)
  • Désinformation (influence politique)

Pour chaque catégorie de cyberattaque, le niveau d'impact national, sociétal ou commercial a été déterminé dans la colonne ("Impact"). Vous pouvez accepter le niveau d'impact par défaut ou l'adapter pour refléter la situation spécifique de votre organisation.

Le document "Description des niveaux d'impact Élevé, Moyen et Faible" fournit plus d'informations sur la façon de déterminer l'impact.

Lorsque la valeur par défaut a été modifiée, il est important d'en expliquer les raisons.
 

4. Confirmez ou déterminez la probabilité estimée par catégorie de cyberattaque et par type d'acteur de la menace

Fort de son expérience, le CCB a sélectionné les types d'acteurs de la menace suivants :

  • Concurrents
  • Idéologues (hacktivists)
  • Terroristes
  • Cybercriminels
  • Acteurs des États-nations

Une probabilité par défaut (Elevée, Moyenne ou Faible) par catégorie de cyberattaque et par acteurs de la menace a été déterminée.

Les critères de probabilité sont expliqués dans l'onglet "critères" du CyFun Selection Tool.

Vous pouvez accepter la probabilité par défaut ou l'adapter à la situation spécifique de votre organisation.

Lorsque la valeur par défaut a été modifiée, il est important d'en expliquer les raisons.

Dans l'onglet "Critères" de l'outil de sélection CyFun, vous trouverez plus d'informations sur la signification des probabilités Faible, Moyenne et Élevée.
 

Résultat de l'évaluation des risques
 

L'outil génère automatiquement le niveau d'assurance des CyberFondamentaux approprié dans la cellule "Niveau CyFun".

Si votre organisation relève de plusieurs secteurs, c'est le Niveau d'Assurance CyFun le plus élevé qui s'applique.

Lorsque le "niveau CyFun" généré diffère du "niveau CyFun" par défaut, il est important d'en documenter la raison.

Les commentaires concernant l'outil peuvent être envoyés à certification@ccb.belgium.be.

L'outil est uniquement disponible en anglais.