Le blog de Philippe

CyberFundamentals

P.Leclercq dans Sécurité    2025-04-24   conseils  gouvernance 

article header image

Le CyberFundamentals Framework

Selon son créateur, le Centre for Cybersecurity Belgium (CCB), “le CyberFundamentals Framework est un ensemble de mesures concrètes visant à protéger les données, à réduire considérablement le risque des cyberattaques les plus courantes et à accroître la cyberrésilience d’une organisation.”

En bref, CyberFundamentals, en raccourci CyFun, est un cadre de travail englobant un ensemble de règles de sécurité pratiques qui ont été élaborées sur base d’autres cadres préexistants (NIST CSF, ISO 27001, CIS controls, IEC 62443) et de l’expertise acquise par le CCB en combattant et analysant les attaques subies par les entreprises au cours des dernières années.

Les différents niveaux

CyFun est applicable à tous les types d’entreprises grâce à une classification des mesures de défense en fonction essentiellement de leur taille, mais aussi de leur secteur d’activité et du type d’adversaires potentiels.

Le tableau ci-dessous résume les différents niveaux.

Niveau Cible % attaques couvertes Contrôles
Small Micro-organisations, compétences techniques limitées N/A 8
Basique Toutes les entreprises standards 82 34
Important Cibles de cyberattaques par des acteurs avec des connaissances et des ressources ordinaires 94 117
Essentiel Cibles de cyberattaques sophistiquées par des acteurs avec des connaissances et des ressources étendues 100 140

Les outils

Consultez le site de CyFun.
Le CCB fournit plusieurs outils pour faciliter l’adoption de CyFun:

  • Un tableur pour l’évaluation des risques et la sélection du niveau d’assurance;
  • Des listes de mesures à implémenter pour chaque niveau;
  • Un tableur pour l’auto-évaluation de l’état des lieux des mesures;
  • Des exemples de politiques et instructions basées sur le niveau “Basique”;
  • Une liste des organismes d’évaluation de la conformité autorisés.

La certification

Excepté pour le niveau “Small”, la conformité avec les mesures peut faire l’objet d’une vérification ou certification officielle par un organisme agréé.

  • Pour les niveaux “Basique” et “Important”, l’entreprise soumettra son formulaire d’auto-évaluation à l’organisme vérificateur, qui délivrera une assurance de vérification en cas de succès;
  • Pour le niveau “Essentiel”, un audit sur site sera nécessaire pour obtenir la certification, à renouveler tous les 3 ans.

Pourquoi toutes les entreprises devraient appliquer les mesures du niveau “Small”

  1. Les petites structures sont les plus vulnérables.
    Les cybercriminels savent que les petites entreprises ont souvent moins de moyens pour se protéger. Résultat : elles sont plus faciles à attaquer.
  2. Un incident peut avoir un impact grave, voire fatal.
    Contrairement aux grandes entreprises, une petite structure ne dispose pas toujours des ressources nécessaires pour rebondir après une attaque. Une fuite de données peut ruiner la confiance de vos clients. Une paralysie informatique peut interrompre votre activité pendant plusieurs jours. Et parfois, c’est la survie même de l’entreprise qui est en jeu.
  3. La cybersécurité renforce votre image et la confiance de vos clients.
    Aujourd’hui, les clients sont de plus en plus sensibles à la protection de leurs données. Montrer que vous appliquez des bonnes pratiques rassure et vous donne un avantage concurrentiel. C’est un signe de sérieux et de professionnalisme.
  4. Les bonnes pratiques sont simples, peu coûteuses et très efficaces.
    Pas besoin d’être expert ou de dépenser des fortunes.
  5. La réglementation évolue, et vous pourriez y être soumis aussi.
    Même les petites entreprises doivent respecter des règles comme le RGPD. En cas de faille de sécurité non anticipée, vous pourriez être sanctionné. Mieux vaut prévenir que guérir.

Les contrôles pour le niveau “Small”

  1. Protégez toutes les connexions grâce à l’authentification multifactorielle.
  2. Installez immédiatement toutes les mises à jour de sécurité.
  3. Installez un antivirus.
  4. Sécurisez votre réseau.
  5. Sauvegardez vos données.
  6. N’utilisez pas de droits d’administration pour les tâches quotidiennes.
  7. Recommandations finales:
    • Protégez physiquement vos appareils.
    • Sachez comment et qui contacter en cas de cyber-incident.

Nous détaillerons certains de ces points dans de futurs articles.

Conclusion

Investir un peu de temps et d’effort dans la cybersécurité, c’est se protéger soi-même, ses proches, ses clients, et l’avenir de son entreprise. Le risque est trop grand pour être totalement ignoré.

Etiquettes conseils  gouvernance 
Accueil   Début