Questions 1

Votre système est-il important pour remplir Non, le système est accessoire à
1
vos missions ? l'accomplissement des missions

Si un sinistre atteint votre SI, causant un

dysfonctionnement ou une perte de données,
les conséquences en interne (pour vos Non, les conséquences internes
2 services) seraient-elles graves ? d’un sinistre seraient
Exemple : une panne électrique ne permet pas négligeables
d’utiliser le système, le contenu d’une base de
données a été supprimé, …

Si un sinistre touche la sécurité de votre

système (il ne fonctionne plus ou pas bien, vol Non, les conséquences d'un
3 d’informations…), les conséquences pour sinistre pour l'extérieur seraient
l'extérieur (pour vos usagers, administrés…) négligeables
seraient-elles graves ?

Gravité des conséquences potentielles (Reportez ici la valeur maximale des réponses aux questions 1 à 3)

Le fait que les données de votre système

Non, le fait qu'il ne soit pas
soient inaccessibles est-il grave ?
4 accessible ne gêne quasiment
Exemple : vous ne pouvez pas accéder aux
pas l'activité
données en raison d’une panne matérielle.

Le fait que les données de votre système

Non, le fait que les données
soient altérées est-il grave ?
5 soient altérées ne gêne
Exemple : un virus a modifié des valeurs dans
quasiment pas l'activité
une base de données, les remettant toutes à 0.

Le fait que les données de votre système ne

soient pas ou plus confidentielles est-il Non, le défaut de
6 grave ? confidentialité ne gêne
Exemple : la liste des bénéficiaires du service quasiment pas l'activité
social est dévoilée.

Sensibilité des données du système (Reportez ici la valeur maximale des réponses aux questions 4 à 6)

Quel est le niveau de compétence maximal

présumé de l’attaquant ou du groupe Individu isolé de niveau de
7
d’attaquants susceptibles de porter atteinte au compétence élémentaire
système ?

Quelle est la précision des attaques Attaques « au hasard » sur le

8
potentielles envers le SI ? cyberespace
 Outils d’attaque triviaux
Quel est le niveau de sophistication des
9 (logiciel de scan de ports, virus
attaques potentielles contre le SI ?
connus, etc.)

Attaque annoncée
Quelle est la visibilité des attaques
10 (revendications
potentielles contre le SI ?
« d’hacktivistes », rançon, etc.)

Quelles sont la fréquence et la persistance des Unique : l’attaque ne se produit

11
attaques potentielles contre le SI ? sur la cible qu’une seule fois

Base d’estimation des potentiels d’attaques cyber (Reportez ici la valeur maximale des réponses aux questions 7 à

Quel est le niveau d’hétérogénéité du

système ? Le système est jugé comme
12
Exemple : plusieurs logiciels, matériels ou homogène
réseaux différents pour un même système.
Quel est le degré d’ouverture/interconnexion
du système ?
13 Exemple : Internet, un autre système interne Le SI n’est pas ouvert
ou externe (celui d’un prestataire, d’une autre
autorité administrative…)…
Le contexte dans lequel se trouve le SI et ses
Le SI et son contexte sont jugés
14 composants (matériels, logiciels, réseaux)
stables
évolue-t-il régulièrement ?

Les composants du SI sont-ils mis Les composants du SI sont tous

15
régulièrement à jour ? tenus à jour en permanence

Exposition et vulnérabilités (Reportez ici la valeur maximale des réponses aux questions 12 à 15)

Somme

Somme des quatre valeurs

Interprétation du résultat De 4 à 6
De 7 à 9
De 10 à 16
 2 3
Oui, les missions seraient
Oui, les missions dépendent totalement
fortement perturbées par un
du SI
dysfonctionnement du SI.

Oui, les conséquences internes

Oui, les conséquences internes d’un
d’un sinistre seraient
sinistre seraient graves, voir fatales
significatives

Oui, les conséquences d’un Oui, les conséquences d’un sinistre

sinistre pour l'extérieur pour l'extérieur seraient graves, voir
seraient significatives fatales

es aux questions 1 à 3)

Oui, le fait qu'il ne soit pas

Oui, le fait qu'il ne soit pas accessible
accessible perturbera l'activité
peut être fatal pour l'activité
de manière significative

Oui, le fait que les données

soient altérées perturbera Oui, le fait que les données soient
l'activité de manière altérées peut être fatal pour l'activité
significative

Oui, le défaut de
confidentialité perturbera Oui, le défaut de confidentialité peut
l'activité de manière être fatal pour l'activité
significative

aux questions 4 à 6)

Groupe d’individus organisés, de

niveaux individuels de compétence
Individu isolé de niveau de faibles à moyens, avec des ressources
compétence avancé financières et matérielles limitées, ou
individu isolé aux compétences
expertes et moyens restreints
Attaques orientées vers le Attaques ciblant un groupe de victimes
continent européen ou la présentant des caractéristiques
France communes
 Outils élaborés génériques
prêts à l’emploi (réseaux de Outils sophistiqués, adaptés pour le SI
botnet loués, faille connue, (zéro-day, etc.)
etc.)
Attaque discrète, qui laisse des traces
Attaque constatée
dans les journaux d’évènements mais
immédiatement par ses effets
ne perturbe pas le fonctionnement du
sur le SI
SI
Ponctuelle : l’attaque survient
plusieurs fois sans régularité Récurrente : attaque par vagues
dans sa fréquence (elle peut successives importants
être liée à l’actualité).

des réponses aux questions 7 à 11)

Le système est jugé comme Le système est jugé comme fortement

faiblement hétérogène hétérogène

Le SI n'est ouvert qu'à des Le système est ouvert à des systèmes

systèmes internes maîtrisés internes non maîtrisés ou externes

Le SI et son contexte changent Le SI et son contexte évoluent en

souvent permanence

Une partie des composants du

Les mises à jour sont effectuées de
SI est régulièrement mise à
manière irrégulière
jour

stions 12 à 15)

Besoin de sécurité du système

1 - Faible
2 - Moyen
3 - Fort
4 Note

Je ne sais pas

Je ne sais pas

Je ne sais pas

Je ne sais pas

Je ne sais pas

Je ne sais pas

Groupe d’individus experts, organisés,

aux moyens quasi-illimités

Attaques visant précisément le

système
Boîte à outils très hautement
sophistiquée.

Attaque invisible, réalisée en laissant

le minimum de traces

Permanente.

Je ne sais pas

Je ne sais pas

Je ne sais pas

Je ne sais pas

0
N° Question
Processus de pilotage

Des règles relatives à la politique SSI

garantissent l'existence d'une politique
1 politique SSI validée et promue par la hiérarchie,
largement diffusée, tenue à jour et
déclinable de manière cohérente.

Les règles relatives à l'organisation de la

SSI définissent les rôles et
2 organisation de la
SSI responsabilités internes et externes, ainsi
que les mesures de sécurité générales à
mettre en œuvre.

La gestion de la continuité des activités

gestion de la doit être alimentée par la SSI et les plans
3 continuité des de continuité doivent être élaborés en
activités suivant un même modèle, testés et mis à
jour

Afin s'assurer la conformité aux

différentes références applicables
(réglementaires, contractuelles,
4 conformité normatives, internes…), des règles
précisent qu'un recensement doit être
tenu à jour et que des vérifications de
conformité doivent être régulièrement
réalisées
Le niveau de maturité dans le processus de pilotage cyber
Processus opérationnels

La gestion des biens fait l'objet de règles

5 gestion des biens visant à les identifier, leur associer un
propriétaire et à les gérer de manière
cohérente avec leur classification

La sécurité liée au personnel définit les

responsabilités, les vérifications et
sécurité liée au
6 personnel engagements, l'incitation au respect des
règles, la sensibilisation, les sanctions, le
retour des biens et le retrait des droits.
 Les règles relatives à la sécurité physique
et environnementale visent à contrôler les
accès physiques des zones de sécurité et
sécurité physique
7 et à protéger les équipements jusqu'à leur
environnementale recyclage contre le vol d'information, les
accès non autorisés, les pertes d'énergie,
l'altération, l'interception et les pertes de
disponibilité

Les règles d'exploitation et

communications traitent des procédures
et responsabilités pour gérer les sous-
8 exploitation et traitants, la recette des systèmes, les
communications codes malveillants et mobiles, les
sauvegardes, la sécurité des réseaux, les
supports, les échanges d'informations, le
commerce électronique et la surveillance

Le contrôle d'accès logique aux réseaux,

systèmes d'exploitation, applications,
contrôle d'accès informations et via des postes nomades
9 logique
fait notamment l'objet de mesures
restrictives, de cloisonnement et de
traçabilité

Les règles relatives à la gestion des

incidents SSI doivent permettre une
10 gestion des remontée et un traitement des incidents et
incidents SSI des failles détectées de manière
organisée, formalisée, rapide et donc
efficace

Le niveau de maturité dans le processus opérationnels

Processus de support

Concernant la gestion des risques SSI,

les règles y afférant la décrivent comme
gestion des risques un processus continu comprenant
11 SSI
l'appréciation, le traitement, l'acceptation
et la communication, et réalisable avec
[EBIOS].
 S'agissant d'acquisition, développement
et maintenance des SI, il convient
d'intégrer la SSI dans les projets et
acquisition,
12 développement et l'exploitation, de tester suffisamment les
maintenance des SI applications, d'employer des moyens
cryptographiques, de protéger les fichiers
systèmes et de traiter les vulnérabilités
connues

Le niveau de maturité dans le processus support

Résultat

Interprétation du résultat
 0 1

Les risques SSI sont parfois appréciés,

mais de manière informelle, et la mise en
Il n'existe aucun élément de politique SSI œuvre de mesures de sécurité destinées
à traiter ces risques n'est pas forcément
cohérente avec ce qui a été planifié

Il existe une organisation SSI, mais

L'organisation SSI est inexistante informelle, occasionnellement utilisée et
peu adéquate

De mesures de sécurité relatives à la

disponibilité du système d'information
La continuité des activités n'est pas (ex : sauvegardes, redondance, transfert
traitée de compétences…) sont mises en œuvre
occasionnellement, de manière informelle
et peu cohérente avec ce qui est planifié

Le processus de vérification de la
conformité est inexistant
Le processus de vérification de la
conformité existe mais n'est
qu'occasionnellement utilisé, informel et
peu cohérent ; il repose sur des
meilleures pratiques ou des expériences
individuelles

cyber

La sécurité des biens est réalisée de

La sécurité des biens n'est pas manière occasionnelle, informelle et peu
considérée cohérente ; elle repose sur de l'expertise
individuelle ou de meilleures pratiques

Les aspects SSI liés aux personnels

Les aspects humains ne sont pas
spécifiquement pris en compte dans la
SSI ; il n'existe aucune sensibilisation ou
formation en matière de SSI
(avant, pendant et après un emploi) sont
traités occasionnellement et de manière
informelle : habilitations, auto-formation…
; la mise en œuvre ne correspond pas
forcément à ce qui a été planifié
 La sécurité physique et environnementale
est réalisée de manière occasionnelle,
La sécurité physique et environnementale
informelle et peu cohérente ; elle repose
n'est pas considérée
sur de l'expertise individuelle ou de
meilleures pratiques

La sécurité de l'exploitation et des

communications est réalisée de manière
La sécurité de l'exploitation et des
occasionnelle, informelle et peu
communications n'est pas considérée
cohérente ; elle repose sur de l'expertise
individuelle ou de meilleures pratiques

La sécurité des accès logiques est

réalisée de manière occasionnelle,
La sécurité des accès logiques n'est pas
informelle et peu cohérente ; elle repose
considérée
sur de l'expertise individuelle ou de
meilleures pratiques

Les incidents SSI font l'objet de

remontées occasionnelles et informelles,
et sont traités de manière occasionnelle
Les incidents SSI ne sont pas traités
et informelle ; ce qui est fait ne
correspond pas forcément à ce qui a été
planifié

ls

Les risques SSI sont parfois appréciés,

mais de manière informelle, et la mise en
Il n'existe aucune gestion des risques SSI œuvre de mesures de sécurité destinées
à traiter ces risques n'est pas forcément
cohérente avec ce qui a été planifié
 Des meilleures pratiques SSI sont
occasionnellement et informellement
La SSI n'est pas prise en compte dans le utilisées dans le cycle de vie des
cycle de vie des systèmes systèmes ; la mise en œuvre ne
correspond pas forcément à ce qui a été
planifié

Somme Niveau adéquat de maturité SSI

De 0 à 10 1 - Pratique informelle

De 11 à 25 2 - Pratique répétable et suivie

De 26 à 40 3 - Processus définis

De 41 à 50 4 - Processus contrôlés

De 51 à 60 5 - Processus continuellement optimisé

 2 3
Les pratiques d'appréciation des risques
SSI sont relativement homogènes, bien
qu'informelles ; leur utilisation est peu
régulière ; la mise en œuvre des mesures
de sécurité correspond au traitement
planifié
L'organisation de la SSI est coordonnée
Les responsabilités et les procédures SSI
(planification, vérification, actions
sont formalisées en fonction d'une étude
correctives), relativement homogène, mais
d'organisation, et utilisées régulièrement
encore informelle
Les pratiques liées à la gestion de la
continuité des activités (planification,
vérification, actions correctives) sont
coordonnées, de manière relativement
homogène, mais informelle ; la mise en
œuvre correspond à la planification
Le processus de vérification de la
conformité est coordonné, relativement
homogène, mais encore informel
La sécurité des biens est coordonnée,
relativement homogène, sur la base de
meilleures pratiques partagées, mais
encore informelle
La SSI est intégrée dans la gestion des
aspects humains (planification, vérification,
actions correctives), de manière
relativement homogène, sur la base de
meilleures pratiques partagées, mais
informelle ; les actions réalisées
correspondent à ce qui a été planifié
Le processus (dont les rôles et
responsabilités associés) de gestion des
risques SSI (appréciation, traitement,
acceptation et communication) est
formalisé de manière rationnelle,
une(des) démarche(s) méthodologique(s)
est(sont) définie(s) pour gérer les risques
SSI, ainsi que ses(leurs) conditions
d'application et son(leur) utilisation est
régulière.
Le processus (dont les rôles et
responsabilités associés) de gestion de la
continuité des activités intègre la SSI de
manière formalisée ; il se base sur le
processus de gestion des risques ; il
existe un ou des plans de continuité
élaboré(s) selon un cadre défini, et si
possible sur la base de démarches
méthodologiques globales
Le processus de vérification de la
conformité est formalisé (dont les rôles et
responsabilités), utilisé régulièrement, et
reposant éventuellement sur des
démarches méthodologiques
La sécurité des biens repose sur un
processus formalisé (dont les rôles et
responsabilités), utilisé régulièrement, et
sur des démarches méthodologiques
Un processus (dont les rôles et
responsabilités associés) de gestion des
aspects humains intégrant la SSI est
défini (avant, pendant et après un emploi)
et relativement utilisé ; il existe un plan de
formation adapté aux profils des
personnels et des labellisations
d'individus peuvent être utilisées
(formations reconnues, diplomantes…)

La sécurité physique et environnementale
est coordonnée, relativement homogène,
sur la base de meilleures pratiques
partagées, mais encore informelle
La sécurité de l'exploitation et des
communications est coordonnée,
relativement homogène, sur la base de
meilleures pratiques partagées, mais
encore informelle
La sécurité des accès logiques est
coordonnée, relativement homogène, sur
la base de meilleures pratiques partagées,
mais encore informelle
Les incidents SSI font l'objet de
remontées, bien que peu régulières, et ils
sont gérés systématiquement
(planification, vérification, actions
correctives), mais de manière informelle ;
la mise en œuvre correspond à ce qui a
été planifié
Les pratiques d'appréciation des risques
SSI sont relativement homogènes, bien
qu'informelles ; leur utilisation est peu
régulière ; la mise en œuvre des mesures
de sécurité correspond au traitement
planifié
La sécurité des physique et
environnementale repose sur un
processus formalisé (dont les rôles et
responsabilités), utilisé régulièrement, et
sur des démarches méthodologiques
La sécurité de l'exploitation et des
communications repose sur un processus
formalisé (dont les rôles et
responsabilités), utilisé régulièrement, et
sur des démarches méthodologiques
La sécurité des accès logiques repose
sur un processus formalisé (dont les rôles
et responsabilités), utilisé régulièrement,
et sur des démarches méthodologiques
Le processus (dont les rôles et
responsabilités associés) de gestion des
incidents SSI est formalisé (ex :
changements d'états, réseau de
détection et d'alerte, procédure
d'escalade, procédure de traitement…) et
régulièrement utilisé ; les données des
CSIRTs (Computer Security Incident
Response Teams) sont exploitées ; les
remontées sont régulières
Le processus (dont les rôles et
responsabilités associés) de gestion des
risques SSI (appréciation, traitement,
acceptation et communication) est
formalisé de manière rationnelle,
une(des) démarche(s) méthodologique(s)
est(sont) définie(s) pour gérer les risques
SSI, ainsi que ses(leurs) conditions
d'application et son(leur) utilisation est
régulière

Les meilleures pratiques SSI sont
intégrées dans le cycle de vie des
systèmes (planification, vérification, actions d'une démarche méthodologique, depuis
correctives), de manière peu régulière,
mais homogène ; les actions
correspondent à ce qui a été planifié
Le processus (dont les rôles et
responsabilités associés) d'intégration de
la SSI dans le cycle de vie des systèmes
est formalisé, éventuellement sur la base
les phases amont d'un projet jusqu'à sa
fin de vie ; il est régulièrement utilisé ; les
systèmes font l'objet d'une homologation
de sécurité formelle sur la base d'un
dossier de sécurité défini

eau adéquat de maturité SSI

pratiques de base mises en oeuvre de
manière informelle et réactive sur
l'initiative de ceux qui estiment en avoir élémentaire
besoin

pratiques de base mises en oeuvre de

façon planifiée et suivie, avec un support élémentaire
relatif de l'organisme

mise en oeuvre d'un processus décrit,

adapté à l'organisme, généralisé et bien
compris par le management et par les moyen
exécutants

le processus est coordonné et contrôlé à

l'aide d'indicateurs permettant de corriger avancé
les défauts constatés

l'amélioration des processus est

dynamique, institutionnalisée et tient avancé
compte de l'évolution du contexte
 4 5 Note

La gestion des risques SSI est devenue

La gestion des risques SSI est un
une pratique standard partiellement
processus continu (itératif), généralisé,
automatisée, avec des bases de
bien automatisé, utilisé par tous les
connaissances partagées ; les études
autres processus SSI, intégré aux
sont raffinées et tenues à jour ; des
processus métiers, bien accepté et
objectifs mesurables sont définis et la
d'utilité reconnue dans les prises de
gestion des risques SSI est suivie (ex. :
décisions
tableaux de bord SSI, audits…).

Des objectifs mesurables sont définis et Le processus de gestion de l'organisation

la mise en œuvre de l'organisation SSI de la SSI est généralisé, bien accepté et
est suivie ; le processus de gestion de s'améliore continuellement ; il s'applique
l'organisation de la SSI est standard et à tous les autres processus SSI et est
tenu à jour intégré aux processus métiers

Le processus de gestion de la continuité La SSI fait partie intégrante du processus

des activités intègre la SSI de manière
systématique, standardisée, suivie et
partiellement automatisée ; des objectifs
mesurables sont définis ; des tests sont
régulièrement réalisés
de gestion de la continuité des activités ;
celui-ci est généralisé, bien automatisé,
intégré aux processus métiers, appliqué à
tous les autres processus SSI, bien
accepté et s'améliore continuellement

Le processus de vérification de la
conformité est standard, avec des
objectifs mesurables, suivi et tenu à jour,
et partiellement automatisé
Le processus de vérification de la
conformité est généralisé, bien
automatisé, intégré aux processus
métiers, appliqué à tous les autres
processus SSI, bien accepté et
s'améliorant continuellement

La sécurité des biens repose sur un

La sécurité des biens repose sur un
processus standard, avec des objectifs
mesurables, suivi et tenu à jour,
partiellement automatisé
processus généralisé, bien automatisé,
en interaction avec les processus
métiers, conformément aux processus de
pilotage SSI et s'appuyant sur les
processus de support SSI ; le processus
s'améliore continuellement (exploitation
des retours d'expérience…)

Le processus de gestion des aspects

humains intégrant la SSI est généralisé,
accepté, en interaction avec les
Des objectifs mesurables sont
processus métiers, conformément aux
déterminés et le personnel fait l'objet d'un
processus de pilotage SSI et s'appuyant
suivi intégrant des évaluations suite aux
sur les processus de support SSI, et
sensibilisations et formations ; le
s'améliore continuellement ; les
processus de gestion des aspects
ressources personnelles sont optimisées,
humains intégrant la SSI est systématisé
le plan de formation est continuellement
amélioré en fonction des retours
d'expérience
 La sécurité physique et environnementale
repose sur un processus généralisé, bien
automatisé, en interaction avec les
La sécurité physique et environnementale
processus métiers, conformément aux
repose sur un processus standard, avec
processus de pilotage SSI et s'appuyant
des objectifs mesurables, suivi et tenu à
sur les processus de support SSI ; le
jour, partiellement automatisé
processus s'améliore continuellement
(exploitation de la veille et des retours
d'expérience…)

La sécurité de l'exploitation et des

communications repose sur un processus
La sécurité de l'exploitation et des généralisé, bien automatisé, en
communications repose sur un processus interaction avec les processus métiers,
standard, avec des objectifs mesurables, conformément aux processus de pilotage
suivi et tenu à jour, partiellement SSI et s'appuyant sur les processus de
automatisé support SSI ; le processus s'améliore
continuellement (exploitation de la veille
et des retours d'expérience…)

La sécurité des accès logiques repose

sur un processus généralisé, bien
automatisé, en interaction avec les
La sécurité des accès logiques repose
processus métiers, conformément aux
sur un processus standard, avec des
processus de pilotage SSI et s'appuyant
objectifs mesurables, suivi et tenu à jour,
sur les processus de support SSI ; le
partiellement automatisé
processus s'améliore continuellement
(exploitation de la veille et des retours
d'expérience…)

Des objectifs mesurables sont définis et Le processus de gestion des incidents

le processus de gestion des incidents SSI
est globalement suivi, devenu standard et
davantage automatisé (ex : helpdesk…) ;
des bases de données d'incidents SSI et
de leur traitement sont alimentées de
manière interactive
SSI est en constante amélioration,
généralisé, bien automatisé, en
interaction avec les processus métiers,
conformément aux processus de pilotage
SSI et s'appuyant sur les processus de
support SSI, et bien accepté

La gestion des risques SSI est devenue

une pratique standard partiellement
automatisée, avec des bases de
connaissances partagées ; les études
sont raffinées et tenues à jour ; des
objectifs mesurables sont définis et la
gestion des risques SSI est suivie (ex. :
tableaux de bord SSI, audits…)
La gestion des risques SSI est un
processus continu (itératif), généralisé,
bien automatisé, utilisé par tous les
autres processus SSI, intégré aux
processus métiers, bien accepté et
d'utilité reconnue dans les prises de
décisions
Des objectifs mesurables d'intégration de
la SSI dans les projets sont définis et
suivis (ex : tableaux de bord projets
intégrant la SSI, audits…) ; le processus
est devenu standard et davantage
automatisé
Le processus d'intégration de la SSI dans
le cycle de vie des systèmes est
généralisé, bien automatisé, utilisé par
tous les autres processus SSI, intégré
aux processus métiers, bien accepté et
s'améliore continuellement
0
 Elémentaire

Evaluation de la démarche d'homologation à mener Niveau SSI de l’organisme Moyen

Avancé

élémentaire

Niveau SSI de l’organisme moyen

avancé
 Besoin de sécurité du Système
Faible Moyen Fort

Pianissimo : démarche 
autonome a minima

Besoin de sécurité du Système

Faible Moyen Fort

Pianissimo : démarche Mezzo-Forte : démarche Mezzo-Forte : démarche

autonome a minima assistée approfondie assistée approfondie

Pianissimo : démarche Mezzo-Piano : démarche Mezzo-Forte : démarche

autonome a minima autonome approfondie assistée approfondie

Pianissimo : démarche Forte : hors champ de ce Forte : hors champ de ce

autonome a minima guide guide