Niveaux CyberFundamentals: Small vs Basic vs Important vs Essential

CyberFundamentals propose quatre niveaux de securite, chacun s'appuyant sur le precedent. Choisir le bon niveau depend de la taille de votre entreprise, des exigences reglementaires et du risque que vous pouvez vous permettre de porter. Voici comment decider.

Comprendre les Niveaux

Le CCB a concu CyberFundamentals avec une approche progressive. Vous commencez ou vous etes et evoluez selon vos besoins. Chaque niveau est un niveau complet - pas une implementation partielle d'un niveau superieur.

Comparaison Niveau par Niveau

Niveau Controles Couverture Adapte Pour Statut NIS2
Small 7 Fondation Demarrage, micro-entreprises Non suffisant
Basic 34 82% PME < 25 employes Non suffisant
Important 117 94% Moyennes entreprises, supply chains Requis pour Entites Importantes
Essential 140 100% Infrastructure critique Requis pour Entites Essentielles

Couverture = pourcentage des types d'attaques courants contre lesquels vous etes protege

Niveau Small: Le Point de Depart

7 controles Niveau fondation Gratuit

Le niveau Small couvre les bases absolues que chaque organisation devrait avoir en place. Il ne s'agit pas de conformite - il s'agit d'avoir des portes avec des serrures.

Ideal pour:

  • Organisations qui commencent avec la cybersecurite
  • Micro-entreprises (< 10 employes)
  • Quiconque veut une base de securite rapide

Les 7 controles:

  1. 1 Authentification Multi-Facteurs (MFA)
  2. 2 Mises a jour de securite regulieres
  3. 3 Logiciel antivirus
  4. 4 Securite reseau (pare-feu)
  5. 5 Sauvegardes regulieres
  6. 6 Droits administrateur limites
  7. 7 Mesures de securite physique

Niveau Basic: Protection Solide

34 controles 82% couverture attaques

Le niveau Basic fournit une vraie protection contre la majorite des menaces. Pour beaucoup de petites entreprises, c'est le point ideal - bonne securite sans complexite ecrasante.

Ideal pour:

  • PME avec moins de 25 employes
  • Entreprises hors du champ NIS2
  • Entreprises avec ressources IT limitees
  • Organisations voulant des avantages d'assurance

Ajouts par rapport a Small:

  • Inventaire et gestion des actifs
  • Formation de sensibilisation a la securite
  • Procedures de reponse aux incidents
  • Standards de configuration securisee
  • Controles de securite email
  • Bases de gestion des appareils mobiles

Niveau Important: Pret pour NIS2

117 controles 94% couverture attaques

Le niveau Important est concu pour les organisations qui ont besoin d'une protection complete - soit en raison des exigences NIS2 soit parce qu'elles traitent des donnees sensibles et ne peuvent pas se permettre de lacunes de securite significatives.

Ideal pour:

  • "Entites Importantes" NIS2
  • Entreprises dans les chaines d'approvisionnement d'infrastructures critiques
  • Organisations traitant des donnees clients sensibles
  • Entreprises ou une violation serait tres couteuse

Ajouts par rapport a Basic:

  • Cadre de gestion des risques
  • Securite tiers/fournisseurs
  • Controles d'acces avances
  • Surveillance et journalisation de securite
  • Planification de continuite d'activite
  • Programme de gestion des vulnerabilites

Niveau Essential: Protection Maximale

140 controles 100% couverture attaques

Le niveau Essential fournit le plus haut niveau de protection dans le cadre CyberFundamentals. Il est concu pour les organisations ou les defaillances de securite pourraient avoir un impact societal generalise.

Ideal pour:

  • "Entites Essentielles" NIS2
  • Operateurs d'infrastructure critique
  • Grandes organisations avec environnements complexes
  • Entreprises avec les exigences de tolerance au risque les plus elevees

Ajouts par rapport a Important:

  • Detection avancee des menaces
  • Capacites de Centre d'Operations de Securite (SOC)
  • Securite complete de la chaine d'approvisionnement
  • Forensique d'incident detaillee
  • Documentation de conformite reglementaire

Comment Choisir Votre Niveau

Le bon niveau depend de trois facteurs:

Classification NIS2

Si vous etes une Entite Essentielle, vous avez besoin du niveau Essential. Si vous etes une Entite Importante, vous avez besoin du niveau Important. Non negociable.

Risque Commercial

Que vous couterait un incident de securite? Pas seulement les couts directs - pensez reputation, confiance client, responsabilite juridique. Risque plus eleve = niveau plus eleve.

Ressources

Pouvez-vous implementer et maintenir les controles? Les niveaux superieurs necessitent plus d'effort continu. Soyez realiste sur ce que votre equipe peut maintenir.

Guide de Decision Rapide

Utilisez cet arbre de decision simple:

Etes-vous une Entite Essentielle NIS2?

→ Niveau Essential (obligatoire)

Etes-vous une Entite Importante NIS2?

→ Niveau Important (obligatoire)

Avez-vous 25+ employes ou traitez-vous des donnees sensibles?

→ Considerez le niveau Important

Etes-vous une petite entreprise qui commence?

→ Commencez par Basic, mettez a niveau selon les besoins

Nouveau en cybersecurite?

→ Commencez par le niveau Small aujourd'hui

Pouvez-Vous Evoluer Plus Tard?

Oui, absolument. CyberFundamentals est concu pour la progression:

  • Chaque niveau s'appuie sur le precedent - votre travail n'est pas perdu
  • Vous pouvez evoluer a votre rythme selon vos besoins ou ressources
  • Beaucoup d'organisations commencent par Basic et passent a Important en 12-18 mois
  • Les preuves et la documentation des niveaux inferieurs sont conservees

Commencez avec Easy Cyber Protection

Nous vous guidons a travers le niveau qui vous convient:

Niveau Small gratuit — Commencez avec les 7 essentiels sans frais
Evaluation de niveau — Nous vous aidons a determiner le bon niveau
Implementation progressive — Travaillez les controles a votre rythme
Suivi de conformite — Voyez vos progres vers n'importe quel niveau

Questions Frequentes

Puis-je etre certifie a n'importe quel niveau?

Oui. Le CCB offre la certification pour les quatre niveaux. La certification fournit une validation externe que vous avez correctement implemente les controles. C'est optionnel mais precieux pour demontrer la conformite aux clients et regulateurs.

Et si je ne suis pas sur de mon statut NIS2?

Consultez notre article "Qui Doit Se Conformer" pour les criteres detailles. Generalement, si vous etes dans l'un des 18 secteurs critiques et avez 50+ employes ou 10M€+ de CA, vous etes probablement dans le champ. En cas de doute, consultez le CCB ou un expert en conformite.

Le niveau Basic suffit-il si je ne suis pas dans le champ NIS2?

Pour la plupart des petites entreprises, le niveau Basic fournit une excellente protection (82% des types d'attaques). C'est un excellent choix si vous voulez une securite solide sans la charge des niveaux superieurs. Vous pouvez toujours evoluer si votre situation change.

Combien de temps prend l'implementation de chaque niveau?

Niveau Small: jours a semaines. Niveau Basic: 1-3 mois. Niveau Important: 3-6 mois. Niveau Essential: 6-12 mois. Ce sont des fourchettes typiques - votre calendrier depend de votre posture de securite actuelle et des ressources disponibles.

Quelle est la difference de cout entre les niveaux?

Le niveau Small est gratuit. Les couts augmentent avec chaque niveau en raison de plus de controles, d'outils et d'exigences de documentation. Cependant, le cout d'une violation depasse generalement largement le cout d'implementation a n'importe quel niveau.

Articles Connexes

Sources

  1. CCB CyberFundamentals Framework — Documentation officielle des niveaux
  2. Centre for Cybersecurity Belgium (CCB) — Autorite belge
  3. NIS2 Directive (EU) 2022/2555 — Exigences de niveau NIS2