CyberFundamentals Framework 2025

CyFun® 2025 a été créé pour répondre aux normes internationales telles que le NIST Cybersecurity Framework 2.0 et aux législations et réglementations nationales et européennes, telles que la directive européenne NIS2. Il intègre les dernières connaissances et les meilleures pratiques en matière de cybersécurité.

En 2025, plus de 80 experts et organisations ont contribué à la révision de la première ébauche. Leurs commentaires ont permis de rendre le cadre plus facile à comprendre et plus pratique à utiliser.

Principales améliorations

• Conformité avec le cadre de cybersécurité (CSF) 2.0 du NIST et la législation pertinente (par exemple, NIS2).
• Intégration des dernières évolutions en matière d'information et de cybersécurité.
• Intégration des commentaires des utilisateurs de CyFun®2023.
• Accent accru sur la sécurité de la chaîne d'approvisionnement et les technologies opérationnelles (OT)..
• Reformulation des contrôles et des lignes directrices pour améliorer la clarté et l'auditabilité.
• Ajout d'un objectif spécifique à chaque contrôle pour améliorer la compréhension.
• Fournit des conseils plus complets sur l'interprétation des exigences.
• Introduction de « mesures de gouvernance » pour s'aligner sur les meilleures pratiques mondiales en matière de surveillance de la cybersécurité au niveau du conseil d'administration.
• Correction des problèmes grammaticaux, orthographiques et rédactionnels.

Période de transition

Afin de faciliter la transition, CyFun® 2023 et CyFun® 2025 seront tous deux disponibles pendant un certain temps. Passé ce délai, seule la nouvelle version sera acceptée pour les auto-évaluations et les évaluations de conformité par des tiers.

1. Généralités

Afin de soutenir le CyberFundamentals Framework, l'outil de Self-Assessment MS Excel® a été développé. Cet outil intègre les exigences des niveaux d'assurance « Basique », « Important » et « Essentiel » de la version spécifique du cadre auquel il est aligné, ainsi que les exigences définies dans le Conformity Assessment Scheme (CAS). Les versions du cadre et du CAS utilisées sont clairement indiquées dans l'outil. Pour cette raison, l'outil ne doit pas être modifié pendant un processus de vérification ou de certification.. 

2. Disposition des outils

Dans CyFun ® 2025, la structure a été améliorée pour plus de flexibilité et de facilité d'utilisation:

• Il existe trois outils de Self-Assessment distincts, un pour chaque niveau d'assurance:
  • Basic
  • Important
  • Essential
• Chaque outil comprend six fonctions:
  • Gouverner, Identifier, Protéger, Détecter, Réagir, Récupérer
  • Chaque fonction dispose de sa propre fiche pour plus de clarté.
• Nouvelle fonctionnalité de filtrage :
  • Chaque contrôle dispose d'un filtre qui affiche uniquement les éléments correspondant au niveau d'assurance sélectionné (Basic, Important ou Essential).
  • Les organisations qui visent les niveaux important ou essentiel peuvent commencer par les contrôles basiques en sélectionnant le filtre basique dans chaque feuille.
  • Pour le niveau Important, les contrôles importants peuvent être ajoutés une fois les contrôles Basic terminés, à l'aide du même outil. Pour le niveau « Essential », les contrôles « Essential » peuvent être ajoutés après avoir terminé les contrôles « Basic et Important », toujours à l'aide du même outil.
  • Cette approche élimine le besoin de transférer les scores entre différents outils, ce qui rend le processus d'évaluation plus facile et plus efficace.
     
• Les contrôles sont évalués selon deux perspectives: 
  • Maturité des politiques: elle mesure dans quelle mesure les règles et procédures écrites de l'organisation répondent aux exigences du CyberFundamentals Framework.
  • Maturité de la mise en œuvre: elle mesure dans quelle mesure les pratiques quotidiennes de l'organisation sont conformes au CyberFundamentals Framework.
     
• Le tableau ci-dessous explique les différents niveaux de maturité et la manière dont ils sont utilisés pour évaluer la maturité des politiques et la maturité de la mise en œuvre.
   

  

  3. Méthode de calcul

Une sous-catégorie peut inclure plusieurs contrôles, et chacun de ces contrôles doit être évalué tant au niveau de la documentation que de la mise en œuvre à l'aide des niveaux de maturité indiqués ci-dessus. Pour chaque contrôle, une note comprise entre 1 et 5 doit être attribuée.  L'outil calcule ensuite la note moyenne pour la documentation et la note moyenne pour la mise en œuvre pour chaque sous-catégorie (par exemple, ID.AM-01), puis utilise ces notes pour calculer une autre moyenne pour chaque catégorie (par exemple, ID.AM).

    4. Rapport de synthèse 

L'onglet « Synthèse » de chaque niveau d'assurance CyberFundamentals contient les éléments suivants:

• Niveau de maturité total: Note globale de maturité calculée comme la moyenne des niveaux de maturité de toutes les catégories.
• Aperçu de la maturité par catégorie: Un résumé des niveaux de maturité pour chaque catégorie, basé sur les valeurs moyennes calculées dans l'onglet de la fonction correspondante.
• Liste des mesures clés: Un aperçu des principales mesures à respecter, sur la base des valeurs saisies dans l'onglet de la fonction correspondante.
• Graphique radar (graphique en araignée): Une représentation visuelle des scores de maturité par catégorie, basée sur les données du résumé.

Détermination de la conformité aux seuils du Conformity Assessment Scheme (CAS) 

• Le tableau récapitulatif contient les scores cibles (seuils) fixés pour chaque niveau de sécurité dans le Conformity Assessment Scheme (CAS). Les résultats de l'auto-évaluation sont comparés à ces scores cibles.
• Lorsqu'une valeur apparaît en rouge, cela signifie que le niveau de maturité requis n'a pas été atteint.
• Lorsqu'une valeur apparaît en vert, cela signifie que le niveau de maturité requis a été atteint.