Articles sur : MonServiceSécurisé

Que signifie et comment est calculé l'indice cyber ?

L'indice cyber est calculé sur la base des informations renseignées par l’équipe concernant les mesures de sécurité proposées par l'ANSSI et à l'exclusion des mesures spécifiques ajoutées. Il fournit une évaluation indicative du niveau de sécurisation du service.

Effet du statut des mesures dans le calcul de l'indice cyber :

Seules les mesures cochées comme faites sont comptabilisées dans le calcul de l'indice cyber. Les mesures à lancer, partielles et non prises en compte ne sont pas comptabilisées.

La classification des mesures (indispensables ou recommandées) pèse également dans le calcul de l'indice :

Les mesures classées comme indispensables ont un poids plus significatif dans le calcul de l'indice que les mesures recommandées, du fait de leur importance pour la sécurisation du service.
Les mesures recommandées ne commencent à être comptabilisées qu'à partir du moment où des mesures indispensables sont "faites" et leur poids est d'autant plus important que le nombre de mesures indispensables faites est important.
Dans un scénario extrême où toutes les mesures recommandées auraient été mises en oeuvre, mais aucune mesure indispensable, l'indice cyber serait de 0.


Cet indice K est calculé selon la formule suivante.

Calcul de l'indice Cyber

… avec

ic le nombre de mesures indispensables cochées « faites » pour la catégorie
Ic le nombre total de mesures indispensables proposées pour la catégorie
rc le nombre de mesures recommandées cochées « faites » pour la catégorie
Rc le nombre total de mesures recommandées proposées pour la catégorie
nc le nombre total de mesures proposées pour la catégorie (indispensables et recommandées)
N le nombre total de mesures proposées pour le service (toutes catégories confondues)


Cette formule exprime les règles suivantes.

Seules les mesures de sécurité cochées « faites » sont prises en compte dans le calcul de l'indice pour un service.
L'indice est calculé à partir de la totalité des mesures de sécurité proposées par l'ANSSI pour le service.
L'indice est d'abord calculé par catégorie (gouvernance, protection, défense, résilience) sur 5 points, sur la base du rapport entre les mesures cochées « faites » et le nombre total de mesures pour la catégorie.
Les mesures marquées « indispensables » sont pondérées de manière à contribuer davantage que les mesures simplement recommandées. Le coefficient de pondération pour les mesures indispensables est de 0,6 et celui pour les mesures recommandées est de 0,4. Chaque mesure indispensable vaut en conséquence 50% de plus qu'une mesure simplement recommandée.
La prise en compte des mesures recommandées cochées « faites » dans le calcul de l'indice est proportionnée à la mise en œuvre des mesures indispensables. Ainsi, si aucune mesure indispensable n'est cochée « faite » mais que toutes les mesures recommandées le sont, la note sera malgré tout de 0.
L'indice global est calculé en réalisant une moyenne arithmétique pondérée des notes de chaque catégorie, chaque coefficient de pondération étant établi à partir du nombre de mesures contenues au sein de la catégorie correspondante.


Cette note ne constitue pas une preuve du niveau de sécurité du service, mais une évaluation indicative basée sur les déclarations de l'équipe de l'entité ayant référencé le service. MonServiceSécurisé et l'ANSSI ne peuvent en aucun cas être tenus responsables d'incidents de sécurité susceptibles d'affecter le service numérique, quelle que soit la note attribuée à ce dernier.

Mis à jour le : 04/03/2024

Cet article a-t-il répondu à vos questions ?

Partagez vos commentaires

Annuler

Merci !