L'Indice Cyber : que représente-t-il et comment est-il calculé ?
L'indice cyber est calculé sur la base des informations renseignées par les utilisateurs concernant les mesures de sécurité proposées par l'ANSSI et la CNIL à l'exclusion des mesures spécifiques ajoutées. Il fournit une évaluation indicative du niveau de sécurisation du service.
Effet du statut des mesures dans le calcul de l'indice cyber :
Seules les mesures cochées comme faites et partielles sont comptabilisées dans le calcul de l'indice cyber. Les mesures à lancer et non prises en compte ne sont pas comptabilisées.
La classification des mesures (indispensables ou recommandées) pèse également dans le calcul de l'indice :
Les mesures classées comme indispensables ont un poids plus significatif dans le calcul de l'indice que les mesures recommandées, du fait de leur importance pour la sécurisation du service.
Les mesures recommandées ne commencent à être comptabilisées qu'à partir du moment où des mesures indispensables sont "faites" ou "partielles" et leur poids est d'autant plus important que le nombre de mesures indispensables faites est important.
Dans un scénario extrême où toutes les mesures recommandées auraient été mises en oeuvre, mais aucune mesure indispensable, l'indice cyber serait de 0.
Cet indice K est calculé selon la formule suivante.
Cette formule exprime les règles suivantes.
Seules les mesures de sécurité cochées "faites" ou "partielles" sont prises en compte dans le calcul de l'indice pour un service.
L'indice est calculé à partir de la totalité des mesures de sécurité proposées par l'ANSSI et la CNIL pour le service.
L'indice est d'abord calculé par catégorie (gouvernance, protection, défense, résilience) sur 5 points, sur la base du rapport entre les mesures cochées "faites" ou "partielles" et le nombre total de mesures pour la catégorie.
Les mesures marquées « indispensables » sont pondérées de manière à contribuer davantage que les mesures simplement recommandées. Le coefficient de pondération pour les mesures indispensables est de 0,6 et celui pour les mesures recommandées est de 0,4. Chaque mesure indispensable vaut en conséquence 50% de plus qu'une mesure simplement recommandée.
Les mesures "partielles" ont 50% de la valeur des mesures "faites".
La prise en compte des mesures recommandées cochées "faites" ou "partielles" dans le calcul de l'indice est proportionnée à la mise en œuvre des mesures indispensables. Ainsi, si aucune mesure indispensable n'est cochée "faite" ou "partielle" mais que toutes les mesures recommandées le sont, la note sera malgré tout de 0.
L'indice global est calculé en réalisant une moyenne arithmétique pondérée des notes de chaque catégorie, chaque coefficient de pondération étant établi à partir du nombre de mesures contenues au sein de la catégorie correspondante.
Cette note ne constitue pas une preuve du niveau de sécurité du service, mais une évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant référencé le service. MonServiceSécurisé et l'ANSSI ne peuvent en aucun cas être tenus responsables d'incidents de sécurité susceptibles d'affecter le service numérique, quelle que soit la note attribuée à ce dernier.
Effet du statut des mesures dans le calcul de l'indice cyber :
Seules les mesures cochées comme faites et partielles sont comptabilisées dans le calcul de l'indice cyber. Les mesures à lancer et non prises en compte ne sont pas comptabilisées.
La classification des mesures (indispensables ou recommandées) pèse également dans le calcul de l'indice :
Les mesures classées comme indispensables ont un poids plus significatif dans le calcul de l'indice que les mesures recommandées, du fait de leur importance pour la sécurisation du service.
Les mesures recommandées ne commencent à être comptabilisées qu'à partir du moment où des mesures indispensables sont "faites" ou "partielles" et leur poids est d'autant plus important que le nombre de mesures indispensables faites est important.
Dans un scénario extrême où toutes les mesures recommandées auraient été mises en oeuvre, mais aucune mesure indispensable, l'indice cyber serait de 0.
Cet indice K est calculé selon la formule suivante.
Cette formule exprime les règles suivantes.
Seules les mesures de sécurité cochées "faites" ou "partielles" sont prises en compte dans le calcul de l'indice pour un service.
L'indice est calculé à partir de la totalité des mesures de sécurité proposées par l'ANSSI et la CNIL pour le service.
L'indice est d'abord calculé par catégorie (gouvernance, protection, défense, résilience) sur 5 points, sur la base du rapport entre les mesures cochées "faites" ou "partielles" et le nombre total de mesures pour la catégorie.
Les mesures marquées « indispensables » sont pondérées de manière à contribuer davantage que les mesures simplement recommandées. Le coefficient de pondération pour les mesures indispensables est de 0,6 et celui pour les mesures recommandées est de 0,4. Chaque mesure indispensable vaut en conséquence 50% de plus qu'une mesure simplement recommandée.
Les mesures "partielles" ont 50% de la valeur des mesures "faites".
La prise en compte des mesures recommandées cochées "faites" ou "partielles" dans le calcul de l'indice est proportionnée à la mise en œuvre des mesures indispensables. Ainsi, si aucune mesure indispensable n'est cochée "faite" ou "partielle" mais que toutes les mesures recommandées le sont, la note sera malgré tout de 0.
L'indice global est calculé en réalisant une moyenne arithmétique pondérée des notes de chaque catégorie, chaque coefficient de pondération étant établi à partir du nombre de mesures contenues au sein de la catégorie correspondante.
Cette note ne constitue pas une preuve du niveau de sécurité du service, mais une évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant référencé le service. MonServiceSécurisé et l'ANSSI ne peuvent en aucun cas être tenus responsables d'incidents de sécurité susceptibles d'affecter le service numérique, quelle que soit la note attribuée à ce dernier.
Mis à jour le : 27/06/2024
Merci !