📈 L'Indice cyber personnalisé : que représente-t-il et comment est-il calculé ?
L'indice cyber personnalisé est calculé sur la base des informations renseignées par les utilisateurs concernant les mesures de sécurité proposées par l'ANSSI et la CNIL ainsi que les mesures spécifiques ajoutées. Il fournit une évaluation indicative du niveau de sécurisation du service.
Effet du statut des mesures dans le calcul de l'indice cyber personnalisé :
Seules les mesures cochées comme faites et partielles sont comptabilisées dans le calcul de l'indice cyber personnalisé. Les mesures à lancer ne sont pas comptabilisées. Les mesures non prises en compte sont retirées du total des mesures.
La classification des mesures (indispensables ou recommandées) pèse également dans le calcul de l'indice :
Les mesures classées comme indispensables ont un poids plus significatif dans le calcul de l'indice que les mesures recommandées, du fait de leur importance pour la sécurisation du service.
Les mesures recommandées ne commencent à être comptabilisées qu'à partir du moment où des mesures indispensables sont "faites" ou "partielles" et leur poids est d'autant plus important que le nombre de mesures indispensables faites est important.
Dans un scénario extrême où toutes les mesures recommandées auraient été mises en oeuvre, mais aucune mesure indispensable, l'indice cyber serait de 0.
Les mesures spécifiques ajoutées ont le même poids que les mesures recommandées.
Cet indice K est calculé selon la formule suivante.
Cette formule exprime les règles suivantes.
Seules les mesures de sécurité cochées "faites" ou "partielles" sont prises en compte dans le calcul de l'indice pour un service.
L'indice est calculé à partir de la totalité des mesures de sécurité proposées par l'ANSSI et la CNIL et les mesures spécifiques ajoutées pour le service.
L'indice est d'abord calculé par catégorie (gouvernance, protection, défense, résilience) sur 5 points, sur la base du rapport entre les mesures cochées "faites" ou "partielles" et le nombre total de mesures pour la catégorie.
Les mesures marquées « indispensables » sont pondérées de manière à contribuer davantage que les mesures simplement recommandées. Le coefficient de pondération pour les mesures indispensables est de 0,6 et celui pour les mesures recommandées est de 0,4. Chaque mesure indispensable vaut en conséquence 50% de plus qu'une mesure simplement recommandée.
Les mesures "partielles" ont 50% de la valeur des mesures "faites".
La prise en compte des mesures recommandées cochées "faites" ou "partielles" dans le calcul de l'indice est proportionnée à la mise en œuvre des mesures indispensables. Ainsi, si aucune mesure indispensable n'est cochée "faite" ou "partielle" mais que toutes les mesures recommandées le sont, la note sera malgré tout de 0.
Les mesures non prises en compte sont retirées du total des mesures.
L'indice global est calculé en réalisant une moyenne arithmétique pondérée des notes de chaque catégorie, chaque coefficient de pondération étant établi à partir du nombre de mesures contenues au sein de la catégorie correspondante.
Cette note ne constitue pas une preuve du niveau de sécurité du service, mais une évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant référencé le service. MonServiceSécurisé et l'ANSSI ne peuvent en aucun cas être tenus responsables d'incidents de sécurité susceptibles d'affecter le service numérique, quelle que soit la note attribuée à ce dernier.
Il existe également l'indice cyber ANSSI : en savoir plus.
Effet du statut des mesures dans le calcul de l'indice cyber personnalisé :
Seules les mesures cochées comme faites et partielles sont comptabilisées dans le calcul de l'indice cyber personnalisé. Les mesures à lancer ne sont pas comptabilisées. Les mesures non prises en compte sont retirées du total des mesures.
La classification des mesures (indispensables ou recommandées) pèse également dans le calcul de l'indice :
Les mesures classées comme indispensables ont un poids plus significatif dans le calcul de l'indice que les mesures recommandées, du fait de leur importance pour la sécurisation du service.
Les mesures recommandées ne commencent à être comptabilisées qu'à partir du moment où des mesures indispensables sont "faites" ou "partielles" et leur poids est d'autant plus important que le nombre de mesures indispensables faites est important.
Dans un scénario extrême où toutes les mesures recommandées auraient été mises en oeuvre, mais aucune mesure indispensable, l'indice cyber serait de 0.
Les mesures spécifiques ajoutées ont le même poids que les mesures recommandées.
Cet indice K est calculé selon la formule suivante.
Cette formule exprime les règles suivantes.
Seules les mesures de sécurité cochées "faites" ou "partielles" sont prises en compte dans le calcul de l'indice pour un service.
L'indice est calculé à partir de la totalité des mesures de sécurité proposées par l'ANSSI et la CNIL et les mesures spécifiques ajoutées pour le service.
L'indice est d'abord calculé par catégorie (gouvernance, protection, défense, résilience) sur 5 points, sur la base du rapport entre les mesures cochées "faites" ou "partielles" et le nombre total de mesures pour la catégorie.
Les mesures marquées « indispensables » sont pondérées de manière à contribuer davantage que les mesures simplement recommandées. Le coefficient de pondération pour les mesures indispensables est de 0,6 et celui pour les mesures recommandées est de 0,4. Chaque mesure indispensable vaut en conséquence 50% de plus qu'une mesure simplement recommandée.
Les mesures "partielles" ont 50% de la valeur des mesures "faites".
La prise en compte des mesures recommandées cochées "faites" ou "partielles" dans le calcul de l'indice est proportionnée à la mise en œuvre des mesures indispensables. Ainsi, si aucune mesure indispensable n'est cochée "faite" ou "partielle" mais que toutes les mesures recommandées le sont, la note sera malgré tout de 0.
Les mesures non prises en compte sont retirées du total des mesures.
L'indice global est calculé en réalisant une moyenne arithmétique pondérée des notes de chaque catégorie, chaque coefficient de pondération étant établi à partir du nombre de mesures contenues au sein de la catégorie correspondante.
Cette note ne constitue pas une preuve du niveau de sécurité du service, mais une évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant référencé le service. MonServiceSécurisé et l'ANSSI ne peuvent en aucun cas être tenus responsables d'incidents de sécurité susceptibles d'affecter le service numérique, quelle que soit la note attribuée à ce dernier.
Il existe également l'indice cyber ANSSI : en savoir plus.
Mis à jour le : 28/08/2024
Merci !