Introduction au CyFun CCB
CyFun 2.0 (CyberFundamentals Framework v2.0) est la version actuelle du référentiel publié par le Centre pour la Cybersécurité Belgique (CCB). Mise à jour majeure de 2025 alignée sur les exigences de la directive NIS2 et du NIST CSF v2.0, elle introduit le niveau « Small » pour les très petites organisations et raffine les exigences des niveaux Basic, Important et Essential. Cette page documente la v2.0 actuelle.
Objectifs du CyFun
- Accessibilité : Mesures compréhensibles pour toutes les organisations
- Pragmatisme : Approche pratique et mise en œuvre réaliste
- Conformité : Alignement avec NIS2, RGPD, et normes internationales
- Évolutivité : Cadre adaptable selon la maturité de l'organisation
Structure du Référentiel
- 13 domaines de sécurité couvrant l'ensemble du SMSI
- 65+ mesures concrètes avec exigences détaillées
- Mapping complet avec NIS2 et ISO 27001
- Guides d'implémentation pour chaque mesure
Particularités du CyFun CCB
- Référentiel officiel belge reconnu par le CCB
- Adapté aux PME et ETI belges et européennes
- Intégration native des exigences NIS2 et RGPD
- Support en français, néerlandais et anglais
1. Gouvernance de la Sécurité
Établir le cadre de gouvernance de la cybersécurité avec des politiques, rôles et responsabilités clairs.
Politique de Sécurité de l'Information
Définir, approuver et communiquer une politique de sécurité de l'information alignée avec les objectifs métier
Exigences
- Document de politique approuvé par la direction
- Couverture de tous les aspects de sécurité
- Révision annuelle minimum
- Communication à tout le personnel
- Déclinaison en politiques spécifiques si nécessaire
Guide d'implémentation
Rédiger une politique concise (5-10 pages) définissant les principes, périmètre, responsabilités et engagement de la direction. La faire valider en comité exécutif et diffuser via intranet et formations.
Correspondances
NIS2 : Politiques de gestion des risques
Organisation de la Sécurité
Définir les rôles, responsabilités et structure organisationnelle pour la cybersécurité
Exigences
- Désignation d'un RSSI (ou équivalent)
- Définition des rôles de sécurité
- Comité de pilotage sécurité
- Lignes de reporting claires
- Séparation des tâches critiques
Guide d'implémentation
Créer un organigramme de sécurité avec RSSI, DPO, équipes IT et métiers. Établir un comité mensuel avec sponsors exécutifs. Documenter dans le référentiel RH.
Correspondances
NIS2 : Responsabilité de la direction, Gouvernance
Gestion des Risques
Mettre en place un processus formel d'identification, évaluation et traitement des risques cyber
Exigences
- Méthodologie de gestion des risques définie
- Analyse de risques formelle et documentée
- Réévaluation régulière (au moins annuelle)
- Plan de traitement des risques
- Acceptation formelle des risques résiduels par la direction
Guide d'implémentation
Adopter une méthode reconnue (ISO 27005, EBIOS Risk Manager). Réaliser des ateliers d'identification avec les métiers. Utiliser une matrice impact/probabilité. Documenter dans un registre des risques.
Correspondances
NIS2 : Analyse des risques cyber
Conformité et Obligations Légales
Identifier et respecter les exigences légales, réglementaires et contractuelles applicables
Exigences
- Registre des exigences légales
- Veille réglementaire active
- Évaluations de conformité périodiques
- Actions de mise en conformité
- Documentation des preuves de conformité
Guide d'implémentation
Créer un tableau recensant RGPD, NIS2, DORA (si applicable), sectorielles. Abonnement veille juridique. Audits annuels. Liaison avec legal/compliance.
Correspondances
2. Ressources Humaines et Sensibilisation
Assurer que le personnel est compétent, formé et sensibilisé aux enjeux de cybersécurité.
Sensibilisation et Formation
Développer et maintenir un programme de sensibilisation et formation cybersécurité pour tout le personnel
Exigences
- Programme de sensibilisation annuel obligatoire
- Formation à l'embauche
- Modules spécifiques par rôle
- Tests de connaissances (quiz, simulations)
- Suivi des participations et résultats
Guide d'implémentation
E-learning obligatoire annuel (30-45 min) couvrant: phishing, mots de passe, données sensibles, incidents. Compléter par des campagnes (affiches, newsletters). Simulations phishing trimestrielles.
Correspondances
NIS2 : Formation et sensibilisation obligatoire
Processus d'Embauche Sécurisé
Intégrer la sécurité dans le processus de recrutement et d'intégration
Exigences
- Vérification des antécédents selon le poste
- Clauses de sécurité dans contrats
- Accords de confidentialité (NDA)
- Formation sécurité obligatoire à l'arrivée
- Remise de la charte informatique
Guide d'implémentation
Screening selon criticité (références, diplômes, casier pour postes sensibles). Contrat incluant obligations sécurité. NDA systématique. Kit onboarding sécurité J1.
Correspondances
NIS2 : Sélection du personnel
Processus de Départ
Gérer de manière sécurisée la fin d'emploi ou le changement de poste
Exigences
- Procédure de départ formalisée
- Révocation immédiate des accès
- Restitution de tous les actifs
- Rappel des obligations post-emploi
- Désactivation badges, comptes, VPN
Guide d'implémentation
Checklist de départ validée par RH et IT. Désactivation J-1 ou J0. Récupération matériel, badges, clés. Entretien de sortie rappelant confidentialité. Archivage compte email 90j puis suppression.
Correspondances
NIS2 : Gestion du cycle de vie des accès
Gestion des Privilèges Utilisateurs
Contrôler strictement l'attribution et l'utilisation des droits d'accès privilégiés
Exigences
- Principe du moindre privilège appliqué
- Comptes nominatifs (pas de comptes partagés)
- MFA obligatoire pour comptes à privilèges
- Surveillance des actions privilégiées
- Revue trimestrielle des droits
Guide d'implémentation
Solution PAM (Privileged Access Management). Comptes admin séparés des comptes utilisateurs. Sessions enregistrées. Workflow d'élévation temporaire. Revues par les managers.
Correspondances
NIS2 : Contrôle d'accès, Moindre privilège
3. Gestion des Actifs
Identifier, classifier et protéger les actifs informationnels critiques de l'organisation.
Inventaire des Actifs
Maintenir un inventaire à jour de tous les actifs informationnels et technologiques
Exigences
- Inventaire complet et à jour
- Propriétaires identifiés pour chaque actif
- Localisation des actifs
- Classification de criticité
- Mise à jour lors de changements
Guide d'implémentation
CMDB (Configuration Management Database) ou outil d'inventaire automatisé. Scanner réseau mensuel. Attribution ownership dans l'outil. Tags de criticité (1-5). Workflow de validation changements.
Correspondances
NIS2 : Cartographie des actifs critiques
Classification de l'Information
Classifier l'information selon son niveau de sensibilité et appliquer les protections appropriées
Exigences
- Schéma de classification défini (ex: Public, Interne, Confidentiel, Secret)
- Critères de classification clairs
- Étiquetage des documents et données
- Règles de traitement par niveau
- Révision périodique
Guide d'implémentation
4 niveaux: Public (vert), Interne (jaune), Confidentiel (orange), Secret (rouge). Étiquettes automatiques email/documents. Règles DLP selon classification. Formation utilisateurs.
Correspondances
NIS2 : Classification et protection des données
Gestion des Supports
Gérer de manière sécurisée les supports de stockage physiques et électroniques
Exigences
- Procédures de manipulation des supports
- Chiffrement des supports amovibles
- Contrôle des transferts hors site
- Destruction sécurisée en fin de vie
- Traçabilité des supports sensibles
Guide d'implémentation
Interdiction USB sauf autorisés et chiffrés (BitLocker to Go). Registre des sorties de supports. Broyage certifié ou effacement cryptographique. Destruction physique disques sensibles.
Correspondances
NIS2 : Protection des supports de données
Protection des Données Sensibles
Protéger spécifiquement les données à caractère personnel et sensibles
Exigences
- Identification des données sensibles/personnelles
- Mesures de protection renforcées
- Chiffrement des données sensibles
- Minimisation et pseudonymisation
- Conformité RGPD
Guide d'implémentation
Registre des traitements RGPD. Data mapping. Chiffrement AES-256 au repos et TLS 1.2+ en transit. Anonymisation données de test. Privacy by design dans projets.
Correspondances
NIS2 : Protection des données, RGPD
4. Contrôle d'Accès et Identité
Gérer les accès aux systèmes et données selon le principe du moindre privilège.
Politique de Contrôle d'Accès
Définir et appliquer une politique formelle de contrôle d'accès
Exigences
- Politique de contrôle d'accès documentée
- Principe du besoin d'en connaître (need-to-know)
- Règles d'octroi, modification, révocation
- Séparation des environnements
- Revues régulières des accès
Guide d'implémentation
Politique définissant: processus de demande, approbation manager obligatoire, provisioning IT, revue trimestrielle. RBAC (Role-Based Access Control) où possible. Séparation prod/dev/test.
Correspondances
NIS2 : Politique de contrôle d'accès
Gestion des Identités
Gérer le cycle de vie complet des identités numériques
Exigences
- Processus de création d'identités
- Comptes nominatifs (un compte = une personne)
- Désactivation automatique des comptes inactifs
- Suppression des comptes après départ
- Traçabilité des actions
Guide d'implémentation
IDM (Identity Management) intégré RH. Provisioning automatique à l'embauche. Désactivation auto après 90j inactivité. Suppression J+30 après départ. Logs d'authentification 1 an.
Correspondances
NIS2 : Gestion des identités numériques
Authentification Forte
Mettre en œuvre l'authentification multi-facteurs pour les accès sensibles
Exigences
- MFA obligatoire pour accès à distance (VPN, webmail)
- MFA pour comptes à privilèges
- MFA pour applications critiques
- Méthodes d'authentification robustes (non SMS si possible)
- Politique de mots de passe forte
Guide d'implémentation
Solution MFA (Microsoft Authenticator, Yubikey, Duo). MFA sur: VPN, O365, admin, apps critiques. Mots de passe: 12 car min, complexité, rotation 90j comptes admin. Pas de réutilisation.
Correspondances
NIS2 : Authentification multi-facteurs obligatoire
Gestion des Accès Distants
Sécuriser les accès à distance aux ressources de l'organisation
Exigences
- VPN obligatoire pour accès distant
- Chiffrement fort des connexions
- MFA sur VPN
- Restriction d'accès basée sur la source
- Monitoring des connexions distantes
Guide d'implémentation
VPN SSL/IPSec avec MFA. Split tunneling désactivé. Accès conditionnel: géolocalisation, device compliance. Session timeout 8h. Logs centralisés SIEM. Politique BYOD stricte.
Correspondances
NIS2 : Sécurisation accès distants, Télétravail
5. Cryptographie et Protection des Données
Protéger la confidentialité et l'intégrité des données sensibles par la cryptographie.
Politique Cryptographique
Définir les standards et règles d'utilisation de la cryptographie
Exigences
- Politique cryptographique formalisée
- Algorithmes et longueurs de clés approuvés
- Interdiction des algorithmes faibles (MD5, SHA-1, DES, RC4)
- Règles de gestion des clés
- Conformité aux standards (NIST, ANSSI)
Guide d'implémentation
Document listant: AES-256, RSA-2048+, SHA-256+, TLS 1.2+. Interdire: <1024 bits, algo obsolètes. Référence: ANSSI RGS, NIST. Revue annuelle pour évolution menaces.
Correspondances
NIS2 : Politique cryptographique
Chiffrement des Données au Repos
Chiffrer les données sensibles stockées sur tous types de supports
Exigences
- Chiffrement des disques des postes de travail
- Chiffrement des serveurs hébergeant données sensibles
- Chiffrement des bases de données sensibles
- Chiffrement des sauvegardes
- Chiffrement des supports amovibles
Guide d'implémentation
BitLocker/FileVault sur postes. Full Disk Encryption serveurs. TDE (Transparent Data Encryption) sur bases. Veeam/Commvault avec chiffrement. USB chiffrés uniquement.
Correspondances
NIS2 : Chiffrement des données sensibles
Chiffrement des Communications
Sécuriser les communications internes et externes par chiffrement
Exigences
- TLS/SSL pour tous les services web (HTTPS)
- Chiffrement des emails contenant données sensibles
- VPN pour communications site-à-site
- Chiffrement WiFi WPA3
- Messagerie sécurisée si nécessaire
Guide d'implémentation
HTTPS obligatoire (HSTS activé). S/MIME ou PGP pour emails sensibles. IPsec site-to-site. WiFi WPA3-Enterprise + 802.1X. Signal/WhatsApp Business si messagerie instantanée.
Correspondances
NIS2 : Sécurisation des communications
Gestion des Clés Cryptographiques
Gérer de manière sécurisée le cycle de vie des clés cryptographiques
Exigences
- Génération sécurisée des clés
- Stockage sécurisé (HSM, Key Vault)
- Distribution sécurisée
- Rotation régulière des clés
- Destruction sécurisée en fin de vie
Guide d'implémentation
HSM (Hardware Security Module) ou Cloud Key Vault (Azure Key Vault, AWS KMS). Génération aléatoire forte. Rotation annuelle minimum. Escrow des clés critiques. Procédure destruction.
Correspondances
NIS2 : Gestion sécurisée des clés
6. Sécurité Physique et Environnementale
Protéger les locaux, équipements et infrastructures contre les menaces physiques.
Périmètres de Sécurité
Définir et protéger les périmètres physiques des zones sensibles
Exigences
- Identification des zones sensibles
- Barrières physiques appropriées
- Contrôle d'accès aux entrées
- Signalétique des zones restreintes
- Protection périmétrique extérieure
Guide d'implémentation
Zonage: public, interne, restreint, haute sécurité. Portes sécurisées avec badges. Sas pour salles serveurs. Panneaux 'Accès Interdit'. Clôtures, cameras externes.
Correspondances
NIS2 : Sécurité physique des installations
Contrôle d'Accès Physique
Contrôler et tracer les accès physiques aux zones sensibles
Exigences
- Système de badges électroniques
- Gestion des visiteurs
- Logs d'accès physiques
- Révocation immédiate des badges lors des départs
- Zones serveurs à accès très restreint
Guide d'implémentation
Badges RFID avec photo. Réception dédiée visiteurs + badge temporaire + accompagnement. Logs 1 an. Désactivation badge J0 départ. Datacenter: double authentification.
Correspondances
NIS2 : Contrôle des accès physiques
Sécurité des Équipements
Protéger les équipements informatiques contre le vol, dommage ou compromission
Exigences
- Équipements sécurisés physiquement
- Baies serveurs verrouillées
- Antivols sur équipements portables
- Étiquetage et inventaire
- Procédure de sortie d'équipements
Guide d'implémentation
Serveurs en datacenter ou salle fermée. Racks verrouillés. Kensington lock portables. Asset tags. Autorisation écrite pour sortie matériel + scan sécurité.
Correspondances
NIS2 : Protection des équipements
Protection Environnementale
Protéger contre les menaces environnementales (incendie, inondation, etc.)
Exigences
- Système de détection et extinction incendie
- Protection contre les inondations
- Contrôle de température et humidité
- Alimentation électrique sécurisée (UPS, groupe électrogène)
- Maintenance préventive régulière
Guide d'implémentation
Détection incendie + extinction gaz inerte (FM-200) datacenter. Rez-de-chaussée évité ou protection. Climatisation redondante. UPS N+1 + générateur. Contrats maintenance 24/7.
Correspondances
NIS2 : Résilience des installations critiques
7. Sécurité Opérationnelle
Assurer la sécurité des opérations quotidiennes et la gestion des vulnérabilités.
Gestion de la Configuration
Maintenir une configuration sécurisée et cohérente des systèmes
Exigences
- Baseline de configuration sécurisée
- Gestion centralisée des configurations
- Hardening selon standards (CIS Benchmarks)
- Contrôle des changements de configuration
- Audits de configuration réguliers
Guide d'implémentation
Standards CIS Level 1 minimum. Configuration as Code (Ansible, Puppet). Scans de conformité hebdomadaires (Nessus, Qualys). Alertes dérives. Validation avant prod.
Correspondances
NIS2 : Configuration sécurisée des systèmes
Gestion des Vulnérabilités
Identifier, évaluer et corriger les vulnérabilités de manière proactive
Exigences
- Scans de vulnérabilités réguliers (au moins mensuel)
- Veille sur les CVE et bulletins de sécurité
- Priorisation selon criticité (CVSS)
- Processus de remédiation avec SLA
- Validation des correctifs
Guide d'implémentation
Scans automatiques hebdo. Abonnement flux CVE (CERT, vendors). Matrice: Critique 48h, Haute 7j, Moyenne 30j, Basse 90j. Tests patchs en preprod. Déploiement orchestré.
Correspondances
NIS2 : Gestion des vulnérabilités
Gestion des Correctifs
Appliquer les correctifs de sécurité en temps opportun
Exigences
- Processus de gestion des patchs défini
- Tests préalables en environnement de test
- Planification et communication
- Déploiement selon criticité
- Vérification post-déploiement
Guide d'implémentation
WSUS/SCCM pour Windows, gestionnaires de paquets Linux. Fenêtre maintenance mensuelle. Patchs critiques: urgence dans les 48h. Test systematique preprod. Rollback plan ready.
Correspondances
NIS2 : Application des correctifs de sécurité
Surveillance et Logging
Surveiller les systèmes et collecter les logs pour détecter les anomalies
Exigences
- Centralisation des logs (SIEM)
- Logs des événements de sécurité
- Monitoring 24/7 (ou selon criticité)
- Alertes automatiques
- Rétention selon exigences légales (min 6 mois)
Guide d'implémentation
SIEM (Splunk, QRadar, ELK). Collecte: authentifications, accès privilégiés, firewall, EDR. Règles de corrélation. SOC interne ou externalisé. Retention 12 mois (NIS2: preuves incidents).
Correspondances
NIS2 : Surveillance continue, Logging
Sauvegarde et Restauration
Assurer la sauvegarde régulière et la capacité de restauration des données critiques
Exigences
- Stratégie de sauvegarde 3-2-1 (3 copies, 2 supports, 1 hors site)
- Sauvegardes chiffrées
- Tests de restauration réguliers (au moins trimestriel)
- Sauvegarde hors ligne (protection ransomware)
- Documentation des procédures
Guide d'implémentation
Backup quotidien incrémental, hebdo complet. NAS local + cloud (immutable). Tests restauration mensuelle. Air gap ou WORM pour copie finale. RPO/RTO documentés par système.
Correspondances
NIS2 : Sauvegardes, Capacité de restauration
Gestion des Changements
Contrôler et documenter tous les changements sur les systèmes de production
Exigences
- Processus formel de gestion des changements
- Évaluation des risques avant changement
- Tests et validation
- Approbation par CAB (Change Advisory Board)
- Documentation et traçabilité
Guide d'implémentation
ITSM (ServiceNow, Jira Service Desk). RFC obligatoire. CAB hebdo pour changements standard, urgence pour critiques. Tests preprod mandatory. Rollback procedure. CMDB mise à jour.
Correspondances
NIS2 : Gestion des changements
8. Sécurité des Communications
Sécuriser les réseaux et les échanges d'informations internes et externes.
Sécurité Réseau
Implémenter une architecture réseau sécurisée avec défense en profondeur
Exigences
- Segmentation réseau (VLANs, sous-réseaux)
- Pare-feu avec règles de filtrage strictes
- IDS/IPS pour détection d'intrusions
- DMZ pour services exposés
- Micro-segmentation si possible
Guide d'implémentation
VLANs: utilisateurs, serveurs, VoIP, IoT, invités. Firewalls Next-Gen (Palo Alto, Fortinet). IPS inline. DMZ pour web, mail. Zero Trust Network Access (ZTNA) en évolution.
Correspondances
NIS2 : Sécurisation du réseau
Sécurité WiFi
Sécuriser les réseaux sans fil de l'organisation
Exigences
- WPA3-Enterprise avec 802.1X
- SSIDs séparés (corporate, invités)
- Isolation client WiFi
- Détection de rogues APs
- Chiffrement fort
Guide d'implémentation
WPA3-Enterprise + RADIUS. SSID corporate invisible. Guest network isolé + portail captif. WIPS (Wireless IPS) pour détection. Audit site survey annuel.
Correspondances
NIS2 : Sécurité des accès sans fil
Sécurité de la Messagerie
Protéger la messagerie électronique contre les menaces
Exigences
- Filtrage anti-spam et anti-malware
- Protection anti-phishing avancée
- SPF, DKIM, DMARC configurés
- Sandboxing des pièces jointes
- Formation utilisateurs phishing
Guide d'implémentation
Gateway email (Proofpoint, Mimecast). ATP (Advanced Threat Protection) O365/Google. SPF/DKIM/DMARC à enforcement. Sandbox Cuckoo/FireEye. Simulations phishing mensuelles.
Correspondances
NIS2 : Protection contre phishing et malware
Transferts Sécurisés
Sécuriser les transferts de fichiers et données sensibles
Exigences
- Protocoles sécurisés (SFTP, HTTPS, FTPS)
- Interdiction FTP, Telnet non chiffrés
- Plateforme d'échange sécurisé
- Chiffrement end-to-end si très sensible
- Traçabilité des transferts
Guide d'implémentation
SFTP ou HTTPS uniquement. Plateforme type Tresorit, Oodrive. DLP pour bloquer canaux non autorisés (Dropbox perso). Logs centralisés. Signature électronique si requis.
Correspondances
NIS2 : Sécurisation des transferts de données
9. Développement et Acquisition Sécurisés
Intégrer la sécurité dès la conception des systèmes et applications.
Secure SDLC
Implémenter un cycle de développement logiciel sécurisé
Exigences
- Méthodologie Secure SDLC définie
- Security by Design
- Threat modeling sur projets critiques
- Security requirements dès la conception
- Security testing à chaque phase
Guide d'implémentation
Adopter Microsoft SDL ou OWASP SAMM. Threat modeling (STRIDE) en phase design. Security stories dans backlog. Gates de sécurité avant prod. DevSecOps culture.
Correspondances
NIS2 : Sécurité dès la conception
Codage Sécurisé
Appliquer les bonnes pratiques de codage sécurisé
Exigences
- Standards de codage sécurisé (OWASP)
- Validation des entrées
- Gestion sécurisée des erreurs
- Pas de secrets en dur dans le code
- Code reviews avec focus sécurité
Guide d'implémentation
Guidelines OWASP. Input validation systématique. Try-catch sans exposition d'infos sensibles. Secrets dans vault (HashiCorp, Azure). Peer reviews + automated checks (SonarQube).
Correspondances
NIS2 : Pratiques de codage sécurisé
Tests de Sécurité
Tester la sécurité des applications avant mise en production
Exigences
- SAST (analyse statique du code)
- DAST (tests dynamiques)
- SCA (analyse des composants tiers)
- Pentests applicatifs annuels
- Correction des vulnérabilités avant prod
Guide d'implémentation
SAST dans CI/CD (Checkmarx, Veracode). DAST avant release (OWASP ZAP, Burp). SCA (Snyk, BlackDuck). Pentest externe annuel. Policy: no High/Critical en prod.
Correspondances
NIS2 : Tests de sécurité applicatifs
Gestion des Dépendances
Gérer les risques liés aux bibliothèques et composants tiers
Exigences
- Inventaire des dépendances
- Scan des vulnérabilités des dépendances
- Mise à jour régulière
- Utilisation de sources fiables (npm, Maven Central)
- Restriction des dépendances obsolètes
Guide d'implémentation
Dependabot/Renovate pour alerts. OWASP Dependency Check dans build. Policy: update sous 30j si CVE. Private registry avec proxy (Nexus, Artifactory). Interdiction packages abandonnés.
Correspondances
NIS2 : Gestion de la supply chain logicielle
10. Sécurité de la Chaîne d'Approvisionnement
Gérer les risques liés aux fournisseurs et prestataires tiers.
Évaluation des Fournisseurs
Évaluer les risques de sécurité avant de contracter avec un fournisseur
Exigences
- Questionnaire de sécurité pré-contractuel
- Due diligence selon criticité
- Évaluation des certifications (ISO 27001, SOC 2)
- Analyse des risques fournisseur
- Validation par la sécurité
Guide d'implémentation
Questionnaire standard 50 questions. Due diligence approfondie si traitement données critiques. Vérification certifs. Matrice de risque. Approbation RSSI mandatory pour fournisseurs IT.
Correspondances
NIS2 : Évaluation sécurité des fournisseurs
Contrats et SLA
Inclure des clauses de sécurité robustes dans les contrats
Exigences
- Clauses de sécurité obligatoires
- SLA de sécurité définis
- Droit d'audit
- Notification d'incidents
- Responsabilités en cas de breach
Guide d'implémentation
Template contrat avec: exigences sécurité, SLA (disponibilité, incident response time), droit audit annuel, notification incident <24h, responsabilité limitée mais réelle, RGPD DPA.
Correspondances
NIS2 : Clauses contractuelles de sécurité
Surveillance des Fournisseurs
Surveiller en continu la sécurité des fournisseurs actifs
Exigences
- Revues périodiques de performance sécurité
- Audits sur site si critique
- Monitoring des incidents fournisseurs
- Renouvellement des évaluations
- Gestion des changements chez le fournisseur
Guide d'implémentation
Revue trimestrielle KPI sécurité. Audit on-site annuel fournisseurs critiques. Veille sur breaches publics. Réévaluation tous les 2 ans. Notification obligatoire changements majeurs (rachat, délocalisation).
Correspondances
NIS2 : Surveillance continue des fournisseurs TIC
Sécurité Cloud
Gérer spécifiquement les risques des services cloud
Exigences
- Évaluation fournisseurs cloud (AWS, Azure, GCP)
- Modèle de responsabilité partagée compris
- Configuration sécurisée (CIS Benchmarks)
- Chiffrement données cloud
- Stratégie de sortie (exit strategy)
Guide d'implémentation
Validation: SOC 2 Type II, ISO 27001, certifs régionales. Shared responsibility model documenté. Cloud Security Posture Management (CSPM). Customer-managed keys. Data export capability testée.
Correspondances
NIS2 : Sécurité des services cloud
11. Gestion des Incidents de Sécurité
Détecter, répondre et tirer les leçons des incidents de cybersécurité.
Processus de Gestion des Incidents
Établir un processus formel de gestion des incidents de sécurité
Exigences
- Politique et procédures d'incident response
- Équipe de réponse (CSIRT/CERT)
- Playbooks par type d'incident
- Outils de gestion d'incidents
- Communication et escalade
Guide d'implémentation
Plan d'incident response SANS. CSIRT avec roles définis (lead, forensique, comm). Playbooks: ransomware, DDoS, data breach. Plateforme (TheHive, Resilient). Escalation matrix. Hotline 24/7.
Correspondances
NIS2 : Processus de gestion des incidents
Détection et Signalement
Détecter rapidement les incidents et faciliter leur signalement
Exigences
- Outils de détection (EDR, SIEM, IDS)
- Canaux de signalement clairs
- Formation des utilisateurs au signalement
- Triage et classification rapide
- Logging et alerting
Guide d'implémentation
EDR (CrowdStrike, SentinelOne). SIEM avec use cases. Email incidents@ + hotline. Campagnes 'Si vous voyez quelque chose, dites quelque chose'. Triage <1h. Matrice de criticité.
Correspondances
NIS2 : Détection et signalement d'incidents
Réponse et Récupération
Répondre efficacement aux incidents et restaurer les opérations
Exigences
- Containment rapide
- Éradication de la menace
- Récupération des systèmes
- Investigation forensique si nécessaire
- Documentation complète
Guide d'implémentation
Isolation réseau automatique (NAC). Éradication selon playbook. Restauration from clean backups. Forensique sur images disques. Documentation timeline dans outil. Debriefing post-incident.
Correspondances
NIS2 : Réponse aux incidents, Récupération
Notification et Communication
Notifier les parties concernées selon les délais réglementaires
Exigences
- Identification des incidents à notifier
- Notification autorités (CCB) dans les délais (24h alerte, 72h rapport)
- Communication interne
- Communication clients/partenaires si nécessaire
- Coordination avec CSIRT.be
Guide d'implémentation
Critères notification: impact significatif sur services essentiels. Template pré-rédigé. Alerte CCB <24h (email + portail). Rapport détaillé <72h. Comm interne par crise manager. Externe par Legal/PR.
Correspondances
Leçons Apprises
Tirer les enseignements des incidents pour améliorer la posture de sécurité
Exigences
- Post-mortem systematique
- Analyse des causes racines
- Actions correctives et préventives
- Mise à jour des procédures
- Partage des leçons
Guide d'implémentation
Réunion post-incident <7j après résolution. RCA (Root Cause Analysis) 5 Whys. Plan d'action dans JIRA. Update playbooks et détections. Partage anonymisé en réunion sécu mensuelle.
Correspondances
NIS2 : Amélioration continue
12. Continuité d'Activité et Résilience
Assurer la continuité des opérations critiques en cas de perturbation majeure.
Business Impact Analysis (BIA)
Identifier et évaluer l'impact des interruptions sur les processus critiques
Exigences
- BIA formelle documentée
- Identification des processus critiques
- Détermination RTO/RPO par processus
- Analyse des dépendances
- Révision annuelle
Guide d'implémentation
Ateliers BIA avec business owners. Questionnaires: impact financier, réputationnel, légal. Matrice criticité. RTO/RPO réalistes documentés. Cartographie dépendances (IT, humaines, tiers). Update annuel ou si changement majeur.
Correspondances
NIS2 : Business Impact Analysis
Plan de Continuité (BCP)
Développer et maintenir des plans de continuité d'activité
Exigences
- BCP documenté pour processus critiques
- Stratégies de continuité définies
- Procédures de basculement
- Ressources alternatives identifiées
- Maintien à jour
Guide d'implémentation
BCP par processus critique avec: stratégies (site alternatif, télétravail, workarounds manuels), procédures step-by-step, contacts clés, ressources nécessaires. Templates structurés. Versioning contrôlé.
Correspondances
NIS2 : Plan de Continuité d'Activité
Plan de Reprise (DRP)
Développer des plans de reprise des systèmes informatiques
Exigences
- DRP pour systèmes critiques
- Procédures de restauration détaillées
- Sites de secours ou cloud DR
- Ordre de priorité de reprise
- Documentation accessible hors ligne
Guide d'implémentation
DRP par système avec: procédures restore, séquence de démarrage, dépendances, contacts support. Site DR actif-passif ou cloud (AWS DR, Azure Site Recovery). Runbooks imprimés + USB chiffré offsite.
Correspondances
NIS2 : Plan de Reprise après Sinistre
Tests et Exercices
Tester régulièrement les plans de continuité et de reprise
Exigences
- Tests au moins annuels
- Différents types: tabletop, walkthrough, simulation complète
- Scénarios réalistes
- Participation des parties prenantes
- Rapport de test et améliorations
Guide d'implémentation
Calendrier tests: tabletop semestriel (discussion), walkthrough annuel (déroulé sans activation), full test bisannuel (activation réelle hors prod). Scénarios variés: ransomware, panne datacenter, pandémie. Rapport avec gaps et actions.
Correspondances
NIS2 : Tests réguliers de continuité
13. Conformité et Audit
Garantir la conformité légale, réglementaire et contractuelle.
Veille Réglementaire
Maintenir une veille active sur les évolutions réglementaires
Exigences
- Identification des réglementations applicables
- Veille sur les évolutions (NIS2, DORA, RGPD, etc.)
- Évaluation d'impact des changements
- Mise à jour des contrôles
- Communication aux parties prenantes
Guide d'implémentation
Registre réglementations (NIS2, DORA si financier, RGPD, sectorielles). Abonnements newsletters officielles (CCB, CNIL, etc.). Revue trimestrielle. Impact assessment. Plan de mise en conformité.
Correspondances
NIS2 : Conformité réglementaire
Audits de Sécurité
Réaliser des audits réguliers pour vérifier la conformité
Exigences
- Programme d'audit annuel
- Audits internes et externes
- Audits de conformité (ISO 27001, NIS2)
- Audits techniques (pentests, scans)
- Suivi des recommandations
Guide d'implémentation
Planning: audit interne annuel (checklist ISO 27001), audit externe certification tous les 3 ans + surveillance annuelle. Pentest externe annuel. Scan vulnérabilités hebdo. Tracking actions dans JIRA.
Correspondances
NIS2 : Audits et évaluations de sécurité
Protection des Données Personnelles (RGPD)
Assurer la conformité avec le Règlement Général sur la Protection des Données
Exigences
- Registre des activités de traitement
- Analyses d'impact (DPIA) si nécessaire
- Respect des droits des personnes
- Sécurité des données personnelles
- Notification de violations <72h CNIL
Guide d'implémentation
Registre RGPD à jour (outils: OneTrust, TrustArc). DPIA pour traitements à risque. Process exercice droits (accès, rectif, suppression). Privacy by design. Procedure breach: éval <72h, notif CNIL si requis.
Correspondances
NIS2 : RGPD et protection données
Documentation et Preuves
Maintenir une documentation complète et des preuves de conformité
Exigences
- Documentation à jour (politiques, procédures)
- Enregistrements de conformité
- Conservation des preuves (logs, rapports)
- Accessibilité pour audits
- Gestion documentaire sécurisée
Guide d'implémentation
GED (SharePoint, Confluence) avec versioning. Politiques datées et approuvées. Logs archivés 12 mois. Rapports d'audits, tests, formations conservés 3 ans. Accès contrôlé mais disponible pour auditeurs.
Correspondances
NIS2 : Documentation et traçabilité
Mapping CyFun CCB ↔ NIS2
Ce tableau montre l'alignement parfait entre les mesures CyFun CCB et les exigences NIS2 :
| Mesure NIS2 |
Domaines CyFun CCB |
Couverture |
| 1. Analyse des risques |
Gouvernance (GOV-01, GOV-02, GOV-03) |
100% |
| 2. Gestion des incidents |
Gestion Incidents (INC-01 à INC-05 complets) |
100% |
| 3. Continuité d'activité |
Continuité (BCM-01 à BCM-05) + Opérations (OPS-05) |
100% |
| 4. Sécurité chaîne approvisionnement |
Fournisseurs (SUP-01 à SUP-05 complets) |
100% |
| 5. Sécurité des systèmes |
Opérations (OPS-01 à OPS-06) + Développement (DEV-04) |
100% |
| 6. Contrôle d'accès |
Contrôle d'Accès (ACC-01 à ACC-05 complets) |
100% |
| 7. Cryptographie |
Cryptographie (CRY-01 à CRY-05) + Communications (COM-02) |
100% |
| 8. Ressources humaines |
RH et Sensibilisation (HUM-01 à HUM-05 complets) |
100% |
| 9. Tests de sécurité |
Développement (DEV-03, DEV-05) + Opérations (OPS-02) |
100% |
| 10. Communication |
Gouvernance (GOV-05) + Incidents (INC-04) + Conformité (COM-01) |
100% |
Taux de Couverture Global : 100%
Le CyFun CCB couvre intégralement les exigences NIS2. Avantages clés :
- Couverture totale : Toutes les 10 mesures NIS2 sont adressées
- Référentiel belge officiel : Reconnu par le CCB et les autorités
- Pragmatisme : Mesures adaptées aux PME et ETI
- Double mapping : Alignement NIS2 + ISO 27001 inclus
- Mises à jour régulières : Suivi des évolutions réglementaires
CyFun CCB vs ISO 27001
Les deux référentiels sont complémentaires :
- CyFun CCB : Référentiel belge officiel, pragmatique, spécifique NIS2
- ISO 27001 : Norme internationale, certifiable, reconnaissance mondiale
- Recommandation : Utiliser CyFun CCB pour la conformité NIS2 belge, puis évoluer vers ISO 27001 pour la certification