Partenaire IT? Decouvrez comment livrer la conformite NIS2

Voir offre partenaire →

Comment Effectuer un Mock-audit CyFun par Vous-meme (Auto-verification NIS2 Belge)

Un mock-audit est l'assurance la moins chere contre un audit CAB qui derape. L'exercice : prenez la workbook CCB CyberFundamentals, notez chaque controle honnetement contre vos preuves collectees, et trouvez les gaps qu'un auditeur Conformity Assessment Body (CAB) trouverait — avant qu'ils ne vous coutent un cycle de re-audit. Voici comment en effectuer un vous-meme.

Pourquoi un Mock-audit Vaut une Semaine d'Effort

Un vrai audit CAB au niveau IMPORTANT ou ESSENTIAL coute 5K€-25K€ en frais d'audit plus des semaines d'effort de semaine d'audit. Une conclusion qui declenche un re-audit coute une fraction significative de cela a nouveau. Un mock-audit attrape la meme conclusion pour le prix d'une semaine de temps interne focalise, avant que le compteur de frais d'audit ne commence a courir.

Trois schemas que l'exercice de mock-audit fait apparaitre de maniere fiable :

  • Deficits de couverture caches dans les chiffres de resume. Un chiffre de couverture MFA de 95% est toujours un "non" pour BASIC PR-AA-01. Le mock-audit vous force a regarder les 5% manquants par nom.
  • Artefacts non testes. Backups qui existent mais n'ont jamais ete testes en restauration. Plans de reponse aux incidents qui ont ete ecrits mais jamais exerces en tabletop. La workbook CCB reference explicitement "teste" dans la colonne de preuves pour RC-BA et RS-IR.
  • Propriete orpheline. Politiques dont le proprietaire nomme a quitte l'organisation il y a 18 mois. Fournisseurs classifies "critiques" sans due-diligence actuelle au dossier. Le defi second-reviseur de la Phase 5 fait apparaitre celles-ci a chaque fois.

Phase 1 — Prep des Preuves (Jour 1-2)

Objectif. Tirez les preuves que la workbook attend avant de noter quoi que ce soit. Essayer de noter un controle sans l'artefact devant vous produit des chiffres de souhait, pas une vraie image.

Actions concretes

  • Telechargez la derniere workbook CCB CyberFundamentals pour votre niveau (BASIC = 34 controles, IMPORTANT = 132, ESSENTIAL = 217).
  • Pour chaque controle, trouvez l'artefact nomme dans la colonne de preuves de la workbook : reference de politique, capture d'ecran, echantillon de log, registre de formation. Si l'artefact n'existe pas ou n'est pas recuperable en 5 minutes, marquez le controle "preuve manquante" et passez.
  • Compilez un dossier unique (ou wiki, ou tiroir de preuves ECP) avec une entree par controle. La convention de nommage compte : votre futur-vous et le CAB vous remercieront tous les deux.

Phase 2 — Noter la Maturite Documentation (Jour 3-4)

Objectif. La rubrique CCB note chaque controle sur deux axes : maturite Documentation (la politique/procedure est-elle ecrite ?) et maturite Implementation (est-elle reellement suivie ?). La Phase 2 traite le premier axe.

Actions concretes

  • Pour chaque controle, notez Documentation 1-5 en utilisant la rubrique CMMI-derivee CCB : 1 = Initial (ad-hoc), 2 = Repetable (quelque documentation), 3 = Defini (politique formelle), 4 = Gere (mesure + revise), 5 = Optimisant (continuellement ameliore).
  • Soyez honnete. Documentation 5 signifie que la politique est revisee a une cadence definie avec des signaux d'amelioration mesurables — pas "nous avons ecrit une politique il y a deux ans".
  • Deficit courant que le CCB a signale dans ses directives publiees : noter des politiques qui existent mais n'ont pas de cadence de revision documentee comme Documentation 4 ou 5. La rubrique les traite comme Documentation 3 au plus.

Phase 3 — Noter la Maturite Implementation (Jour 5-6)

Objectif. L'autre axe. Une politique parfaitement ecrite que personne ne suit note haut sur Documentation et bas sur Implementation — c'est un schema reel et courant.

Actions concretes

  • Pour chaque controle, notez Implementation 1-5 contre les preuves reelles : echantillons de log, captures d'ecran, registres de presence, rapports de test de restauration.
  • Implementation 5 exige la preuve que le controle s'execute continuellement et s'ameliore au fil du temps — pas "nous avons fait ceci une fois quand l'auditeur etait la".
  • Les deficits de couverture comptent. 95% de couverture MFA sur les comptes admin est toujours un "non" pour BASIC PR-AA-01, qui attend tous les comptes admin. Notez le gap comme Implementation 2-3 avec une note de remediation plutot que d'arrondir a 4.

Phase 4 — Liste des Gaps + Roadmap (Jour 7)

Objectif. La vraie sortie du mock-audit n'est pas le score — c'est la liste des gaps. Un CAB entre et la workbook leur dit exactement quels controles sont sous le seuil ; vous voulez cette conversation cadree par votre roadmap, pas par leurs conclusions.

Actions concretes

  • Filtrez la workbook pour chaque controle note sous le seuil BASIC (la rubrique CCB traite Documentation 2 + Implementation 2 comme le minimum pour la certification BASIC ; les seuils specifiques au niveau sont plus eleves pour IMPORTANT et ESSENTIAL).
  • Pour chaque gap : date cible de remediation, proprietaire (une personne nommee, pas un role), et dependance (que doit-il se passer en premier).
  • Mettez a jour votre registre des risques si un gap augmente materiellement un risque documente. La famille de controles GV-RM reference explicitement "evaluation des risques documentee" comme preuve — les gaps qui n'atterrissent pas dans le registre des risques sont doublement visibles pour un CAB.

Phase 5 — Defi Second-reviseur (Jour 8)

Objectif. Un mock-audit que vous notez vous-meme attrape une fraction de ce qu'un reviseur exterieur attrape. La Phase 5 est la discipline qui separe un vrai mock-audit d'une auto-notation de souhait.

Actions concretes

  • Remettez la workbook notee a quelqu'un qui n'a pas collecte les preuves : un collegue, un MSP, un peer compliance lead dans une autre organisation.
  • Leur travail : defier chaque score au-dessus de 3. "Montrez-moi l'artefact derriere ce 4. Maintenant montrez-moi la cadence de revision derriere ce 5."
  • Laissez tomber les scores qui ne survivent pas au defi. Une workbook qui note honnetement avec des dates cibles par gap est une position plus forte qu'un mur de vert qui ne survit pas a une revision CAB.

La Rubrique d'Honnetete : Notez Comme un CAB Revise

Le plus grand mode d'echec d'un mock-audit auto-execute est de noter de maniere optimiste. Trois regles pour garder l'exercice honnete :

Effectuez le Mock-audit dans ECP au Lieu d'Excel

ECP execute la meme workbook CCB CyberFundamentals + rubrique de maturite 1-5 dans la plateforme. L'Audit Readiness Snapshot est l'artefact d'une page que vous remettez au reviseur de Phase 5. Les integrations en direct (Microsoft Graph, Sophos, Bitdefender) tirent les donnees de couverture dans les fentes de preuves pertinentes automatiquement — les gaps de couverture apparaissent comme des verifications de controle echouees, pas comme un pourcentage a investiguer plus tard.

  • Le moteur de notation de maturite CyFun fait apparaitre automatiquement les controles sous le seuil.
  • Export Excel compatible CCB — la meme workbook qu'un CAB recoit.
  • Reimport auditeur quand vous passez du mock au reel : le CAB renvoie une workbook annotee, ECP fusionne les conclusions dans l'etat live.
  • Les re-executions trimestrielles sont un bouton, pas un projet.

Questions Frequentes

Un mock-audit est-il different du vrai audit CAB ?

Meme workbook, meme rubrique de notation, signataire different. Un audit CAB est effectue par un Conformity Assessment Body accredite par BELAC, et produit un certificat. Un mock-audit est effectue en interne (ou par un MSP, consultant ou peer reviseur) et produit une calibration de confiance plus une liste de gaps. Le mock-run trouve les trous que le vrai audit trouvera — c'est le point.

Que se passe-t-il si mon mock-audit revele des gaps serieux ?

Mieux maintenant que pendant le vrai audit. La feuille de route de remediation de la Phase 4 est l'artefact qui transforme "nous avons des gaps" en "nous avons des gaps et voici quand chacun se ferme". Une soumission CAB avec une roadmap credible est une position plus forte qu'une auto-evaluation sans gaps documentes qui ne survit pas a l'examen.

Ai-je besoin d'un outil pour executer cela, ou puis-je le faire dans Excel ?

Excel fonctionne. Le CCB publie la workbook comme fichier Excel precisement pour que toute organisation puisse executer l'exercice sans acheter d'outillage. Le compromis : vous maintenez la workbook a la main, vous n'obtenez pas les preuves d'integration (couverture MFA, deploiement EDR, logs de test de backup) tirees automatiquement, et votre liste de gaps est une feuille separee que vous gerez manuellement. ECP garde tout cela cable ensemble ; pour les organisations gerant plusieurs clients (MSPs surtout), cette machinerie se rembourse vite.

A quelle frequence devrais-je effectuer un mock-audit ?

Une fois avant la premiere soumission CAB, puis trimestriellement par la suite. La certification CyberFundamentals est valide 2-3 ans avec audits de surveillance entre les deux — les mock-runs trimestriels attrapent la derive entre les audits de surveillance et gardent la workbook dans un etat ou le prochain audit est une mise a jour de routine plutot qu'un sprint.

Mon MSP peut-il l'executer pour moi ?

Oui. Les MSPs executant des evaluations CyFun au nom des clients est exactement le schema autour duquel ECP est construit. Le MSP execute le mock-audit en utilisant la plateforme, remet au client l'Audit Readiness Snapshot, et soit pilote la remediation soit remet la workbook a un CAB pour l'audit formel.

Articles Connexes

Sources

  1. CCB CyberFundamentals Framework + Workbook
  2. Directive (EU) 2022/2555 (NIS2)
  3. BELAC Belgian Accreditation Body
TARS AI