Le CAF est un outil couvrant tous les secteurs développé par le NCSC afin de fournir aux organisations une approche structurée pour évaluer leur niveau de cyberrésilience et atteindre et démontrer un niveau approprié.
Points à retenir
La cyberrésilience est indispensable pour les services publics. La hausse des attaques ciblant les États-nations met en péril les infrastructures critiques et les données sensibles. L'adoption d'un cadre axé sur les résultats permet aux organisations de maintenir leurs services essentiels malgré des menaces persistantes et sophistiquées.
La visibilité sur les actifs est la base de l'objectif A du CAF. Sans une compréhension complète de leur infrastructure, les entreprises sont incapables de gérer les risques de sécurité. La découverte automatique des API et des actifs fantômes est cruciale pour satisfaire aux principes fondamentaux de la gestion des actifs.
Le Zero Trust est un facteur majeur pour atteindre l'objectif B. Pour se protéger contre les cyberattaques, les entreprises doivent abandonner le modèle de défense périmétrique au profit d'un accès granulaire fondé sur l'identité, associé à une microsegmentation qui neutralise les mouvements latéraux au sein des systèmes centraux.
Le CAF v4.0 préconise une détection proactive plutôt qu'une surveillance réactive. Pour atteindre l'objectif C, les entreprises doivent passer de l'analyse de base des journaux à la recherche avancée des menaces et à l'observation comportementale, ce qui permet d'identifier les adversaires cachés avant qu'ils ne puissent nuire aux fonctions essentielles.
- L'intégrité de la chaîne d'approvisionnement est un résultat de sécurité critique selon le CAF. Pour protéger la provenance des composants et les données des citoyens, la sécurité doit être intégrée à chaque étape du cycle de vie logiciel et dans toute exécution de scripts tiers.
Foire aux questions (FAQ)
Il est conçu pour les organisations soumises aux réglementations NIS, celles qui gèrent des infrastructures nationales critiques (CNI) et les entités du secteur public qui soutiennent des fonctions gouvernementales centrales ou traitent les risques de sécurité publique.
La version 4.0 du Cyber Assessment Framework date d'août 2025.
Le cadre repose sur 4 objectifs de haut niveau et 14 principes, qui sont mesurés au travers de 41 résultats contributifs et d'indicateurs spécifiques de bonnes pratiques.
Les objectifs sont l'objectif A : gestion des risques de sécurité ; objectif B : protection contre les cyberattaques ; objectif C : détection des événements de cybersécurité ; et objectif D : réduction de l'impact des incidents.
La version mise à jour (principe A2.b) exige que les organisations comprennent les capacités et techniques des acteurs malveillants, et qu'elles intègrent des informations sur les menaces dans leurs décisions de gestion des risques.
Selon le principe C1.f, les organisations doivent aller au‑delà de l'analyse classique des journaux et être capables de comprendre les comportements des utilisateurs et des systèmes, afin de repérer les anomalies qui peuvent indiquer une activité malveillante.
La phase initiale consiste à « comprendre vos besoins », autrement dit identifier les fonctions essentielles qui reposent sur des systèmes informatiques critiques et hiérarchiser les risques en fonction des menaces et vulnérabilités potentielles.