Preparation Audit CyFun : Le Plan de 8 Semaines pour Etre Pret pour un Audit CAB
Un audit Conformity Assessment Body (CAB) au niveau CyFun BASIC est realisable en huit semaines si vous travaillez les bons artefacts dans le bon ordre. Voici le plan : ce que produit chaque semaine, ce que la workbook CCB CyberFundamentals attend de voir, et ou une plateforme de conformite geree remplace des heures d'echafaudage manuel.
Pourquoi Ces Huit Semaines, Dans Cet Ordre
La workbook CCB CyberFundamentals est l'artefact qui voyage — vers un auditeur CAB, vers un grand client professionnel faisant de la due diligence fournisseur, vers le portail Safeonweb @work pour la soumission d'auto-evaluation. Le plan de 8 semaines retro-concoit cette workbook :
- Perimetre et inventaire des actifs en premier — chaque autre controle reference "les actifs dans le perimetre". Sans cette liste, la workbook n'est pas exploitable.
- Registre des risques deuxieme — la famille de controles GV-RM reference explicitement "evaluation des risques documentee" comme preuve. Les politiques qui suivent sont cadrees comme traitements de risques.
- Politiques avant preuves — les preuves sont sans signification a moins qu'une politique ne dise a quoi ressemble la qualite.
- Mock-run avant soumission — un reviseur exterieur trouve les gaps que le CAB trouvera. Moins cher a corriger en S7 qu'en semaine 12 d'un audit.
Nouveau a CyberFundamentals ? Commencez par qu'est-ce que CyberFundamentals et comment fonctionne la notation de maturite CyFun avant de travailler ce plan.
Perimetre : Definir Ce que Vous Certifiez
Objectif. Decidez ce qui est dans le perimetre et ce qui ne l'est pas, et ecrivez-le. Les auditeurs ne vous laisseront pas redefinir le perimetre en cours d'audit.
Ce que vous livrez cette semaine
- Declaration de perimetre : entite legale, sites, processus metiers, systemes IT dans et hors perimetre.
- Inventaire des actifs : materiel, logiciels, services cloud, magasins de donnees. Mappes a quel element du perimetre possede chaque actif.
- Carte des parties prenantes : qui est responsable de chaque element du perimetre (personnes nommees, pas roles).
Registre des Risques : Documenter les Risques que Vos Controles Mitigent
Objectif. Un registre des risques qui nomme les menaces, les classe, et pointe chacun vers le(s) controle(s) qui le mitigent. La workbook CCB CyberFundamentals reference "evaluation des risques documentee" dans sa colonne de preuves pour la famille de controles GV-RM.
Ce que vous livrez cette semaine
- Liste des menaces : ransomware, phishing, mauvais usage interne, compromission fournisseur, vol de donnees, DDoS — au minimum les six que le catalogue de risques CCB met en evidence pour les PME.
- Notation probabilite × impact par menace (matrice 5×5 est le standard belge).
- Decisions de traitement : mitiger (pointer vers controles), accepter (avec approbation), transferer (assurance, contrats), eviter.
Politiques (1/2) : Securite de l'Information et Reponse aux Incidents
Objectif. Deux des quatre politiques que la workbook CCB verifie : une Politique de Securite de l'Information approuvee au niveau de la direction, et un Plan de Reponse aux Incidents qui nomme les roles et les droits de decision.
Ce que vous livrez cette semaine
- Politique de Securite de l'Information : perimetre, principes, roles, cadence de revision. Signee par une autorite qui existe dans l'organigramme.
- Plan de Reponse aux Incidents : niveaux de severite, arbre d'escalade, chemin de notification 24 heures vers le CCB (Article 23 NIS2), liste de contacts avec backups, modele de lecons apprises.
Politiques (2/2) : Controle d'Acces et Securite des Fournisseurs
Objectif. Les deux politiques BASIC restantes : une Politique de Controle d'Acces (least privilege, joiner-mover-leaver, application MFA) et une Politique de Securite des Fournisseurs (l'Article 21(2)(d) NIS2 n'est pas negociable).
Ce que vous livrez cette semaine
- Politique de Controle d'Acces : cycle de vie d'identite, application MFA, separation des comptes privilegies, cadence de revision d'acces trimestrielle.
- Politique de Securite des Fournisseurs : criteres de fournisseurs critiques, checklist de due diligence, clauses de securite contractuelles, attentes de notification de breach.
- Registre des fournisseurs : au minimum les fournisseurs marques "critiques" avec une notation de risque documentee.
Collecte de Preuves (1/2) : Identite, Acces et Endpoint
Objectif. Parcourez les controles BASIC dans les fonctions GV, ID et PR et collectez les preuves que la colonne de preuves de la workbook nomme. Cette semaine traite l'identite, l'acces et la protection endpoint.
Ce que vous livrez cette semaine
- MFA active pour tous les comptes admin : capture d'ecran de la liste de roles admin, capture d'ecran de la politique d'application MFA.
- Processus joiner-mover-leaver : le ticket de leaver le plus recent montrant les horodatages de revocation d'acces.
- Protection endpoint deployee : capture d'ecran de console EDR ou AV montrant le pourcentage de couverture, rapport de conformite des correctifs.
- Revision d'acces trimestrielle : le document de revision le plus recent avec approbation.
Collecte de Preuves (2/2) : Backup, Logging et Sensibilisation
Objectif. Les fonctions BASIC restantes : detect, respond et recover. La verification de backup, le logging de securite et la formation de sensibilisation sont les trois domaines qui echouent le plus souvent a une revision de workbook.
Ce que vous livrez cette semaine
- Verification de backup : rapport de test de restauration le plus recent, document de politique de retention, preuve que les backups sont stockes hors-ligne ou immuables.
- Logging de securite : capture d'ecran de SIEM ou d'agregateur de logs, periode de retention de logs, preuve de cadence de revision d'alertes.
- Formation de sensibilisation a la securite : pourcentage d'achevement, resume du contenu de formation, dates de la derniere campagne par employe.
- Exercice tabletop : document de walkthrough de scenario d'incident avec participants nommes et lecons apprises.
Mock-Auto-Evaluation
Objectif. Un passage complet par la rubrique de notation de la workbook contre vos preuves collectees, par quelqu'un qui ne les a pas collectees. Le mock-run trouve les trous qu'un CAB trouvera.
Ce que vous livrez cette semaine
- Workbook completee de bout en bout avec le score de maturite CCB 1-5 par controle sur les axes Documentation et Implementation.
- Liste de gaps : chaque controle note sous le seuil BASIC, avec dates cibles de remediation et proprietaires.
- Revision interne par une seconde paire d'yeux (un collegue, un MSP, ou un peer compliance lead) qui defie chaque score.
- Entrees de registre des risques mises a jour pour tout gap qui augmente materiellement un risque documente.
Soumission : Workbook + Roadmap
Objectif. Remettez la workbook. Pour une entite importante apres la deadline du 18 avril 2026, c'est la soumission d'auto-evaluation tardive via le portail CCB Safeonweb @work. Pour une entite essentielle, c'est le kickoff d'engagement CAB.
Ce que vous livrez cette semaine
- Workbook CCB CyberFundamentals finale (le fichier Excel que le CCB publie et que le CAB attend).
- Feuille de route de remediation : chaque gap de S7 avec date cible, proprietaire et dependance.
- Declaration de perimetre et inventaire des actifs joints.
- Pour les soumissionnaires tardifs : une note de couverture documentant la timeline de rattrapage et l'etat actuel.
Apres Soumission : Que se Passe-t-il Ensuite
Pour une soumission d'auto-evaluation, le CCB ne retourne pas un verdict comme un CAB le fait — la soumission entre dans les registres et soutient toute revision de supervision ulterieure. Pour un audit CAB, l'auditeur retourne une workbook annotee avec des conclusions que l'organisation doit adresser.
Dans les deux cas, la workbook est l'artefact de travail. Si vous avez soumis via Safeonweb @work, planifiez un cycle de revision trimestriel pour garder les preuves a jour. Si vous etes passe par un CAB, la workbook annotee devient la prochaine feuille de route de remediation — meme structure, etat de depart different.
La deadline de certification du 18 avril 2027 pour les entites essentielles est le prochain point de pression. Les entites importantes au niveau BASIC aujourd'hui devraient planifier une mise a niveau de tier si leur classification NIS2 ou la pression de la chaine d'approvisionnement les pousse vers IMPORTANT.
Executez les 8 Semaines dans ECP au Lieu de Sharepoint
Chaque artefact de ce plan — declaration de perimetre, inventaire des actifs, registre des risques, les quatre politiques, preuves par controle, notation mock-run, feuille de route de remediation, la workbook Excel compatible CCB — est un objet first-class dans Easy Cyber Protection. Vous travaillez le plan ; la plateforme produit la workbook.
- Modeles mappes CyFun pour chaque controle BASIC, IMPORTANT et ESSENTIAL.
- Integrations en direct (Microsoft Graph, Sophos, Bitdefender, autres) alimentent les preuves dans le bon controle automatiquement.
- Export Excel compatible CCB et reimport auditeur CAB (livre en avril 2026).
- Audit Readiness Snapshot — l'artefact d'une page que vous remettez au reviseur S7.
Questions Frequentes
8 semaines est-il realiste pour une preparation audit CyFun BASIC ?
Pour une organisation avec une hygiene de securite existante raisonnable (MFA, EDR, backups, quelque documentation), oui. Pour une organisation partant de zero documentation, 12-16 semaines est plus realiste — le travail de securite lui-meme prend du temps, et la workbook ne peut pas prouver ce qui n'existe pas. Le plan de 8 semaines suppose que les controles sont grossierement en place ; le travail consiste a les documenter et a collecter les preuves.
Ai-je besoin d'un audit CAB, ou une auto-evaluation suffit-elle ?
Les entites importantes sous NIS2 doivent une auto-evaluation au minimum au niveau BASIC (soumise via le portail CCB Safeonweb @work). Les entites essentielles doivent un audit Conformity Assessment Body (CAB) au niveau IMPORTANT (132 controles) ou ESSENTIAL (217 controles) d'ici le 18 avril 2027. Certaines entites importantes choisissent un audit CAB volontaire parce que les grands clients professionnels demandent un certificat externe.
Que faire si mon mock-run en S7 fait apparaitre des gaps serieux ?
Soumettez quand meme en S8 avec la feuille de route de remediation. Le CCB ne penalise pas les organisations pour des gaps documentes avec un plan credible ; il penalise les organisations pour preuves manquantes et pour refus de remediation. Une workbook qui note honnetement avec dates cibles par gap est une position plus forte qu'un mur de vert qui ne survit pas a une revision CAB.
Puis-je utiliser ce plan si ma deadline est deja passee ?
Oui — c'est exactement le schema de rattrapage. La deadline d'auto-evaluation du 18 avril 2026 est passee, mais le portail CCB Safeonweb @work accepte les soumissions tardives. Travaillez le plan de 8 semaines, soumettez la workbook avec une roadmap, et vous etes dans les registres comme remediant avant la deadline de certification entite-essentielle du 18 avril 2027. Voir l'article missed-deadline pour les trois voies de remediation.
Comment ce plan se mappe-t-il au niveau IMPORTANT ou ESSENTIAL ?
La structure (perimetre → registre des risques → politiques → preuves → mock-run → soumission) est la meme. Le volume change : le niveau IMPORTANT couvre 132 controles (vs 34 pour BASIC), ESSENTIAL couvre 217. Prevoyez 16-24 semaines pour IMPORTANT et 24-36 pour ESSENTIAL avec la meme structure semaine-par-semaine adaptee. Le cycle d'audit CAB ajoute 4-8 semaines supplementaires.
A quoi ressemble reellement la workbook CCB CyberFundamentals ?
C'est le fichier Excel officiel maintenu par le Centre pour la Cybersecurite Belgique (CCB), telechargeable depuis le portail Safeonweb @work. Chaque controle a des lignes pour la maturite Documentation (1-5) et la maturite Implementation (1-5), une colonne de preuves ou vous referencez l'artefact (nom de document, chemin de capture d'ecran, echantillon de log), et une colonne de commentaires. Le meme fichier est ce qu'un CAB recoit, annote et retourne.