NIS2: Êtes vous dans le champ d'application ?
La nouvelle loi belge sur la cybersécurité entre en vigueur. Consultez-la maintenant.
Last update: 29/03/2024
1. Généralités
Pour soutenir le ‘CyberFundamentals Framework’, le Centre pour la Cybersécurité Belgique (CCB) a développé un outil en MS© Excel.
L'outil d'auto-évaluation prend en compte les exigences des niveaux d'assurance ‘Basic’, ‘Important’ et ‘Essential’ d'une version spécifique du cadre, ainsi que les exigences identifiées dans le schéma d'évaluation de la conformité (CAS). Les versions du ‘CyberFundamentals Framework’ et du CAS sur lesquelles l'outil est aligné sont identifiées dans l'outil. C'est pourquoi l'outil ne peut pas être modifié dans le cadre d'une activité de vérification ou de certification.
L'outil d'auto-évaluation est disponible électroniquement en anglais dans la boîte à outils CyFun. (www.cyfun.be)
2. Tool layout
L'outil d'auto-évaluation dans MS© Excel comprend plusieurs onglets, chacun ayant sa propre fonction. Outre l'introduction, les niveaux de maturité et les références, il y a des onglets avec les contrôles pour les niveaux d'assurance ‘Basic’, ‘Important’ et ‘Essential’ (onglet ‘details’) et pour chaque niveau d'assurance un résumé (onglet ‘summary’).
Les contrôles sont évalués sous deux angles :
| Policy Maturity: | Le ‘Policy Maturity’ permet de déterminer dans quelle mesure les règles et procédures écrites satisfont aux contrôles du ‘CyberFundamentals Framework’. |
| Implementation Maturity: | L'évaluation de la maturité de la mise en œuvre permet de déterminer le degré de maturité des pratiques opérationnelles réelles par rapport au ‘CyberFundamentals Framework’. |
Le tableau ci-dessous présente les différents niveaux de maturité et les définitions utilisées pour évaluer la maturité des deux points de vue:
Le document ci-joint fournit une description holistique des différents niveaux de maturité utilisés dans CyberFundamentals et est destiné à guider les évaluations.
3. Méthode de calcul
Une sous-catégorie peut comprendre plusieurs contrôles et chacun de ces contrôles doit être évalué en termes de documentation et de mise en œuvre conformément au tableau de maturité ci-dessus. Une valeur de 1 à 5 doit être saisie pour chaque contrôle dans l'onglet ‘details’ du niveau d'assurance applicable. L'outil calcule une moyenne arithmétique pour la documentation et la mise en œuvre par sous-catégorie (par exemple ID.AM-1) pour ensuite calculer une autre moyenne arithmétique pour la documentation et la mise en œuvre par catégorie (par exemple ID.AM).
Ces valeurs calculées sont visibles dans l'onglet ‘details’ du niveau d'assurance applicable.
4. Rapport de synthèse
L'onglet ‘summary’ pour les différents niveaux d'assurance des CyberFondamentaux contient:
- Un niveau de maturité global (‘Total Maturity Level’) calculé comme une moyenne arithmétique des niveaux de maturité des catégories.
- Un résumé des différents niveaux de maturité pour chaque catégorie en utilisant les valeurs respectives des moyennes arithmétiques de ce qui a été calculé dans l'onglet ‘details’.
- Une liste des mesures clés à respecter, dont les données sont issues des valeurs introduites dans l'onglet ‘details’.
- Un graphique en radar (graphique en araignée) est également disponible sur la base des données du résumé des catégories.
Détermination de la conformité avec le schéma d'évaluation de la conformité (CAS)
La vue d'ensemble comprend les notes cibles déterminées pour les niveaux d'assurance spécifiques décrits dans le CAS. C'est par rapport à ces notes cibles que les valeurs de l'auto-évaluation sont évaluées.
Lorsque les valeurs sont de couleur rouge, le niveau de maturité requis n'est pas atteint, tandis que la couleur verte indique la conformité.
Le schéma d'évaluation de la conformité (CAS) est en cours de discussion avec l'organisme national d'accréditation BELAC.
Feedback concernant l'outil peuvent être envoyé à certification@ccb.belgium.be
5. Mode d’emploi
Un mode d'emploi clair est disponible via le lien ci-dessous.