FAQ et commentaires

Le CyberFundamentals Framework définit trois niveaux d'assurance :

• Basic – ce niveau comprend les mesures standard de sécurité de l'information pour toutes les entreprises.
• Important – tce niveau est conçu pour minimiser les risques de cyberattaques ciblées par des acteurs disposant de compétences et de ressources courantes, en plus des risques connus en matière de cybersécurité.
• Essential – ce niveau va plus loin et est conçu pour traiter le risque de cyberattaques avancées par des acteurs disposant de compétences et de ressources étendues.

Chaque niveau s'appuie sur le précédent, avec des attentes croissantes en termes de contrôles, de gouvernance et de résilience.

En outre, un questionnaire et des conseils sont disponibles pour le niveau « small». Ces outils sont destinés aux micro-organisations ou aux organisations disposant de connaissances techniques limitées.

L'attribution d'un niveau d'assurance spécifique à une organisation repose sur les résultats d'une évaluation des risques. L'évaluation des risques et la détermination du niveau d'assurance approprié relèvent de la compétence des autorités nationales. Vous trouverez plus d'informations sur la page nationale « À propos ».

Oui, ce cadre consiste en un processus structuré en trois étapes, chacune étant essentielle pour atteindre et maintenir des normes de cybersécurité robustes. Tout d'abord, une évaluation des risques afin de déterminer le niveau d'assurance de votre organisation. Ensuite, une auto-évaluation afin d'examiner dans quelle mesure votre organisation a mis en œuvre les mesures de cybersécurité requises pour le niveau d'assurance choisi. La dernière étape, facultative, consiste à demander une vérification ou une certification par un organisme d'évaluation de la conformité accrédité.

Ces exigences constituent un contrôle de cybersécurité fondamental que les organisations sont tenues de mettre en œuvre dans le cadre de leur niveau d'assurance.

Choisir le bon niveau de maturité peut s'avérer difficile au premier abord. C'est pourquoi nous avons créé des conseils supplémentaires pour vous aider dans ce processus. D'une part, ce document fournit une explication générale des différents niveaux de maturité. D'autre part, pour chaque mesure clé, nous avons inclus un cas d'utilisation qui explique plus en détail quel niveau s'applique dans quelle situation.

Une mise à jour de CyFun® 2023 était nécessaire pour rester en conformité avec le cadre de cybersécurité (CSF) 2.0 du NIST et pour tenir compte de la législation européenne pertinente, telle que la directive NIS2.

La nouvelle version de CyFun®®, actuellement en phase de validationd semestre 2025. Elle:

• S'aligne sur le cadre de cybersécurité (CSF) 2.0 du NIST et la législation européenne pertinente (par exemple, NIS2).
• Intègre les développements récents en matière d'information et de cybersécuritéIntègre les commentaires des utilisateurs de CyFun® 2023.
• Mets davantage l'accent sur la sécurité de la chaîne d'approvisionnement et les technologies opérationnelles (OT).
• Reformule les contrôles et les lignes directrices afin d'améliorer la clarté et l'auditabilité.
• Ajoute un objectif spécifique à chaque contrôle afin d'améliorer la compréhension.
• Fournit des conseils plus complets sur l'interprétation des exigences.
• Introduit des « mesures de gouvernance » afin de s'aligner sur les meilleures pratiques mondiales en matière de supervision de la cybersécurité au niveau du conseil d'administration.
• Corrige les problèmes grammaticaux, orthographiques et éditoriaux.

Le Règlement transitoire BELAC a été élaboré en concertation avec l'autorité de certification belge (NCCA) du Centre pour la Cybersécurité Belgique (CCB) et tient compte de l'application spécifique de CyFun® pour déterminer la présomption de conformité avec la législation NIS2 belge.

Points clés du règlement transitoire

• Les organismes de vérification et de certification (OV et OC) doivent obtenir l'accréditation pour la vérification ou la certification selon CyFun® 2025 au plus tard le 18 avril 2027.
• CyFun® 2023 et CyFun® 2025 continueront à coexister jusqu'au 18 avril 2027, et les entités auront le choix de la version de CyFun® à appliquer jusqu'à cette date.
• Les organismes de vérification et de certification (VB et CB) ont la possibilité d'effectuer des vérifications ou des certifications selon CyFun® 2023 jusqu'au 18 avril 2027 au plus tard.
• Les déclarations de vérification et les certificats selon CyFun® 2023 sont valables jusqu'au 18 avril 2028 au plus tard.

Vous trouverez ici des informations plus détaillées.

Vous trouverez ici un tableau de correspondance.

Le cadre  CyFun® 2025 choisit délibérément de ne pas inclure l'IA en tant que fonction ou catégorie distincte dans son modèle de base. Cette approche s'aligne sur la méthodologie utilisée dans le cadre de cybersécurité 2.0 du NIST.

Les principales raisons sont les suivantes :

1. L'IA est traitée à travers des profils et des superpositions supplémentaires. 

Le cadre  CyFun® 2025 permet le développement de profils spécifiques ou d'extensions sectorielles pour des domaines tels que l'IA. Cela permet aux organisations qui développent ou utilisent des systèmes d'IA de suivre des orientations ciblées sans modifier le cadre de base.

2. Éviter la duplication des contrôles existants

Bon nombre des mesures de sécurité requises pour l'IA sont déjà couvertes par les contrôles  CyFun® 2025 existants. Afin d'éviter toute redondance, le cadre choisit de gérer les risques liés à l'IA à l'aide de principes établis tels que la gestion des risques, la gouvernance et la réponse aux incidents.

3. Approche spécifique aux cas d'utilisation

L'IA présente des risques uniques en fonction de son application (par exemple, l'IA générative, l'apprentissage automatique dans les infrastructures critiques). Le cadre CyFun® 2025 soutient une approche proportionnée et contextuelle, permettant aux organisations de déterminer les mesures de protection supplémentaires nécessaires en fonction de leur utilisation spécifique de l'IA.

4. Flexibilité orientée vers l'avenir

Le cadre est conçu pour évoluer parallèlement aux développements technologiques. L'IA pourra être davantage intégrée à l'avenir grâce à de nouveaux profils ou à des lignes directrices nationales, en fonction des besoins des organisations belges et des lois et réglementations belges et européennes.
 

 REMARQUE

🔹 Que sont les profils ?

Un profil est une application du cadre à un secteur, une organisation ou une technologie spécifique. Il permet de traduire les principes généraux du cadre en mesures concrètes adaptées à :

• 
  un type d'organisation spécifique (par exemple, un hôpital, une banque, une agence gouvernementale),
• une technologie spécifique (par exemple, le cloud, l'IA, l'OT),
• ou un contexte de risque spécifique (par exemple, les infrastructures critiques, les données sensibles en matière de confidentialité).

Exemple : un profil IA dans CyFun®® 2025 indiquerait quels contrôles existants sont pertinents pour les systèmes d'IA et quelles mesures supplémentaires sont nécessaires pour des applications d'IA sûres et responsables.

🔹 Que sont les superpositions?

Une superposition est une couche qui vient se greffer sur le cadre, fournissant des directives ou des ajustements supplémentaires pour une situation spécifique. Elle est plus restrictive qu'un profil et se concentre souvent sur des exigences techniques ou juridiques.

Exemple : une superposition pour l'IA générative pourrait indiquer comment les contrôles CyFun®® 2025 existants devraient être adaptés pour faire face à des risques tels que les deepfakes, les modèles hallucinogènes ou les questions de droits d'auteur.

En résumé:

· Profils= application du cadre à un contexte spécifique.

· Superpositions= couche supplémentaire contenant des lignes directrices pour des risques ou des technologies spécifiques.

Les deux garantissent que le cadre reste flexible et extensible, sans avoir à adapter constamment les principes fondamentaux.

Le CyberFundamentals Framework est à l'origine un cadre belge, développé par le Centre pour la Cybersécurité Belgique (CCB), mais conçu de manière à pouvoir être reconnu au niveau européen. Un processus qui a désormais été lancé par BELAC. À l'heure actuelle, CyFun®® n'est enregistré dans la législation belge que pour pouvoir présumer, jusqu'à preuve du contraire, que l'entité respecte ses obligations en matière de cybersécurité NIS2 (présomption de conformité). Entre-temps, le cadre a été officiellement adopté par Malte, la Roumanie et l'Irlande. La manière dont il sera utilisé dans le cadre de la mise en œuvre opérationnelle de la NIS2 est en cours d'élaboration dans ces pays. D'autres pays européens reconnaissent également la valeur de CyFun®® (dont la France) et examinent comment ils peuvent reconnaître, voire adopter pleinement ce cadre.
Le CCB gère le cadre et tous les documents associés au programme en tant que propriétaire principal du programme. Cela fait partie d'une procédure formelle qui permet le déploiement de CyFun® dans d'autres pays européens.

Le cadre CyFun® est une marque déposée appartenant au CCB. 
L'utilisation de l'acronyme « CyFun® » et/ou de parties du présent document est autorisée, à condition que la source soit clairement mentionnée.
Toute utilisation commerciale de CyFun® est soumise à un accord préalable avec le CCB. Veuillez contacter le service juridique du CCB si vous souhaitez réutiliser le cadre.