CyberFundamentals Framework

Exigence des CyberFundamentals

Solution Brainframe

ID.AM-1 : Les dispositifs et systèmes physiques utilisés au sein de l'organisation sont inventoriés.

Les organisations doivent maintenir un inventaire à jour de tous les actifs liés au traitement de l'information. Cet inventaire doit être régulièrement examiné et mis à jour pour garantir la responsabilité, avec des détails tels que le type de dispositif, le fabricant, les numéros de série et l'emplacement physique. L'utilisation d'outils de gestion des actifs informatiques est recommandée pour rationaliser ce processus.

• Brainframe fournit un système de gestion documentaire complet où vous pouvez inventorier tous vos actifs physiques et les visualiser dans une vue d'hélicoptère.
• Vous pouvez personnaliser les propriétés de chaque actif pour stocker toutes les informations importantes telles que le type de dispositif, le numéro de série, le propriétaire, etc...
• Vous pouvez définir des dates de révision périodiques pour les actifs afin de vous assurer qu'ils sont à jour.
• Vous pouvez attribuer un actif aux parties prenantes concernées et configurer des notifications pour vous assurer qu'elles sont responsables de la gestion de l'actif.

ID.AM-2 : Les plateformes et applications logicielles utilisées au sein de l'organisation sont inventoriées.

Les organisations doivent maintenir un inventaire détaillé et à jour de toutes les plateformes et applications logicielles, y compris celles qui sont externalisées. Cet inventaire doit couvrir des détails essentiels tels que le nom, la description, la version et l'objectif commercial. Des examens et des mises à jour réguliers sont nécessaires, et des outils de gestion des actifs informatiques peuvent être utilisés pour rationaliser le processus. La responsabilité de la gestion des logiciels doit également être clairement définie.

• Avec le système de gestion de documents de Brainframe, vous pouvez garder un inventaire de tous vos actifs numériques et le visualiser dans une vue d'hélicoptère.
• Vous pouvez personnaliser les propriétés de chaque actif pour stocker toutes les informations importantes telles que la version, l'objectif commercial, le fournisseur, etc...
• Vous pouvez définir des dates de révision périodiques pour les actifs afin de vous assurer qu'ils sont à jour.
• Vous pouvez attribuer un actif aux parties prenantes concernées et configurer des notifications pour vous assurer qu'elles sont responsables de la gestion de l'actif.

ID.AM-3 : La communication organisationnelle et les flux de données sont cartographiés.

Les organisations doivent identifier et cartographier les types d'informations qu'elles stockent et utilisent, en liant ces données à des dispositifs physiques, des systèmes et des plateformes logicielles. Toutes les connexions au sein de l'environnement ICT/OT doivent être documentées, approuvées et régulièrement mises à jour. Cette documentation doit inclure des détails sur les interfaces, les caractéristiques des données, les exigences de sécurité et les protocoles.

• Brainframe vous permet de lier un document à un autre et de visualiser les dépendances dans une vue d'hélicoptère.
• Vous pouvez ajouter des propriétés à tout actif pour garantir une documentation appropriée.
• Pour visualiser le flux de données, vous avez accès à un créateur de diagrammes où vous pouvez cartographier graphiquement les actifs entre eux et diriger le flux d'informations.
• Pour vous assurer que votre documentation est approuvée et à jour, vous pouvez planifier des examens périodiques pour notifier automatiquement les parties prenantes qu'une action de révision doit être effectuée.

ID.AM-4 : Les systèmes d'information externes sont catalogués.

Les organisations doivent cartographier, documenter, autoriser et mettre à jour régulièrement tous les services externes et leurs connexions. Cela inclut les systèmes sur lesquels l'organisation n'a pas de contrôle direct, tels que les services cloud, SaaS et API. Les flux d'informations vers et depuis les systèmes externes doivent également être documentés et mis à jour si nécessaire, les fournisseurs de services externes étant tenus de spécifier les fonctions, ports, protocoles et services nécessaires à ces connexions.

• Brainframe vous permet de créer et de personnaliser tous vos actifs dans un système de gestion documentaire complet, y compris les actifs externes.
• Vous pouvez envoyer vos formulaires personnalisés à des fournisseurs externes et leur demander d'effectuer une action comme compléter ou approuver votre documentation.
• Vous pouvez facilement visualiser vos actifs externes avec une vue d'ensemble.
• Vous pouvez suivre vos fournisseurs avec le module Fournisseurs, où vous pouvez également visualiser les actifs liés à ces fournisseurs.

ID.AM-5 : Les ressources sont priorisées en fonction de leur classification, de leur criticité et de leur valeur commerciale.

Les organisations doivent prioriser leurs ressources, y compris le matériel, les logiciels, les données et le personnel, en fonction de leur classification, de leur criticité et de leur valeur commerciale. Cela implique d'évaluer l'impact potentiel de l'exposition, des dommages ou de l'inaccessibilité des données. Les ressources doivent être catégorisées (par exemple, Public, Interne, Confidentiel) et communiquées clairement pour garantir un traitement approprié. La classification doit aborder la confidentialité, l'intégrité et la disponibilité (C-I-A) pour assurer une protection complète des actifs.

• Avec le concept de Brainframe "tout est un document", vous pouvez facilement modifier les propriétés de n'importe quel actif et créer des modèles si vous souhaitez les réutiliser, pour attribuer un niveau de criticité, une valeur commerciale ou une classification.
• Le module Risque vous permet d'évaluer le risque lié à tout actif et de le configurer selon vos besoins commerciaux afin d'avoir une meilleure vue d'ensemble sur l'allocation des ressources.
• Brainframe est livré avec un système de classification préconfiguré pour la confidentialité, l'intégrité et la disponibilité.
• Vous pouvez visualiser vos risques en fonction de leurs niveaux de criticité.

ID.AM-6 : Les rôles, responsabilités et autorités en matière de cybersécurité pour l'ensemble de la main-d'œuvre et les parties prenantes tierces sont établis.

Les organisations doivent documenter, examiner et mettre à jour les rôles, responsabilités et autorités en matière de sécurité de l'information et de cybersécurité, en veillant à l'alignement avec les parties prenantes internes et externes. Cela implique de définir clairement qui est responsable, comptable, consulté et informé pour diverses tâches de sécurité. Les fonctions clés, y compris les aspects juridiques et la détection des menaces, devraient avoir des rôles bien établis, et les responsabilités devraient s'étendre aux fournisseurs tiers ayant accès à l'environnement ICT/OT de l'organisation.

• Le système de gestion de documents de Brainframe vous permet de créer des rôles pour vos initiatives de cybersécurité et de les attribuer à n'importe quel employé.
• Les propriétés de chaque rôle sont entièrement personnalisables, vous permettant de définir toutes les tâches qui sont assignées à un acteur.
• Avec le module de gestion des tâches, vous pouvez assigner une tâche à n'importe quel rôle, et l'acteur concerné sera notifié, qu'il soit interne ou externe.
• L'acteur peut visualiser toutes ses tâches dans une vue kanban pour suivre ses responsabilités.

Exigence des CyberFundamentals

Solution Brainframe

ID.BE-1 : Le rôle de l'organisation dans la chaîne d'approvisionnement est identifié et communiqué.​

Les organisations doivent identifier, documenter et communiquer leur rôle au sein de la chaîne d'approvisionnement, en comprenant clairement qui est en amont et en aval. Cela inclut la reconnaissance des fournisseurs qui fournissent des services, des produits ou des capacités critiques. L'organisation doit également s'assurer que sa position et son importance au sein de la chaîne d'approvisionnement sont clairement communiquées aux partenaires en amont et en aval.

• Notre module "Fournisseur" dédié vous permet de classer vos fournisseurs en fonction de leur criticité, position, importance ou de toute autre propriété que vous configurez.
• Il vous permet également de les lier aux services ou aux produits qu'ils fournissent.

ID.BE-3 : Les priorités pour la mission, les objectifs et les activités de l'organisation sont établies et communiquées.

Les organisations doivent établir et communiquer des priorités claires pour leurs objectifs et activités commerciales. Cela inclut la détermination et la priorisation de la mission et des objectifs organisationnels, ainsi que l'évaluation des besoins en protection de l'information. Les processus doivent être ajustés si nécessaire pour s'aligner sur ces priorités, garantissant une stratégie de sécurité pratique et réalisable.

• Brainframe aide à la création, à la documentation et à la distribution de politiques de sécurité qui s'alignent sur les objectifs commerciaux, garantissant la cohérence au sein de l'organisation.
• Avec le module Risque, vous pouvez facilement évaluer les risques liés à divers actifs et processus, aidant à prioriser les activités en fonction de leur criticité et de leur impact commercial.
• Suit le respect des objectifs et des normes établis, en envoyant des alertes pour toute déviation, ce qui garantit que les priorités sont constamment respectées.

ID.BE-4 : Les dépendances et les fonctions critiques pour la livraison de services critiques sont établies.

Les organisations doivent identifier, documenter et prioriser les dépendances et les fonctions critiques pour la mission nécessaires à la fourniture de services essentiels. Ce processus doit être intégré à l'évaluation globale des risques, garantissant que tous les composants critiques, y compris les services de soutien, sont reconnus et gérés en fonction de leur importance pour la continuité des activités.

• Avec le système de gestion documentaire, vous pouvez cartographier les fonctions aux services et visualiser facilement les dépendances entre eux.
• Lors de votre évaluation des risques, vous pouvez définir la criticité des fonctions en fonction de leur importance pour votre service essentiel.
• Brainframe fournit une vue d'ensemble de ces risques pour vous aider à prioriser en fonction du niveau de risque et de l'importance des fonctions.

ID.BE-5 : Les exigences de résilience pour soutenir la livraison de services critiques sont établies pour tous les états opérationnels.

Les organisations doivent identifier, documenter et tester les exigences nécessaires à la résilience cybernétique, avec approbation pour leur mise en œuvre. Cela inclut des mécanismes tels que des systèmes de sécurité, l'équilibrage de charge et la redondance dans l'infrastructure de données et de réseau. Des pratiques efficaces de gestion de la continuité des activités (GCA), y compris l'analyse d'impact sur les affaires (AIA), le plan de reprise après sinistre (PRS) et le plan de continuité des activités (PCA), sont essentielles pour maintenir la disponibilité des services. De plus, les organisations devraient définir des objectifs de temps de récupération (OTR) et des objectifs de point de récupération (OPR) pour garantir une restauration rapide des systèmes essentiels.

• Brainframe propose des modèles pour les Plans de Continuité d'Activité (PCA), les documents d'Analyse d'Impact sur l'Activité (AIA) et les Plans de Reprise d'Activité (PRA) pour vous aider à adapter vos politiques à vos opérations.
• Vous pouvez envoyer vos politiques aux parties prenantes concernées pour approbation directement dans l'outil, et demander une action pour vous assurer qu'elles soient complétées.
• Vous pouvez attribuer des dates de révision directement aux actifs pour vous assurer qu'ils sont à jour.
• Pour chaque risque identifié, vous pouvez créer un contrôle et visualiser comment il affecte le risque, avec une vue d'ensemble sur le risque initial et le risque résiduel.

Exigence des CyberFundamentals

Solution Brainframe

ID.GV-1 : La politique de cybersécurité organisationnelle est établie et communiquée.

Les organisations doivent établir, documenter et réviser régulièrement les politiques et procédures de sécurité de l'information et de cybersécurité. Ces directives doivent clairement définir les pratiques acceptables, les rôles, les responsabilités et les attentes pour protéger les ressources de l'organisation. Les politiques doivent être accessibles à tous les employés, utilisées pour la formation et mises à jour au moins une fois par an ou chaque fois qu'il y a des changements dans l'organisation ou la technologie. La direction doit approuver et diffuser ces politiques dans toute l'organisation, en veillant à la coordination entre les différentes fonctions de sécurité tout au long du cycle de vie des systèmes ICT/OT.

• Brainframe propose un certain nombre de politiques et procédures modèles intégrées pour vous aider dans votre documentation. Celles-ci sont entièrement personnalisables et adaptables à votre organisation.
• Vous pouvez partager ce document avec les parties prenantes et les responsables concernés, attribuer des tâches telles que l'approbation ou la révision du document, et vous pouvez suivre si le responsable a terminé sa tâche, ce qui est particulièrement utile pour impliquer la direction.
• Vous pouvez envoyer des documents directement via Brainframe à vos employés pour les tenir informés de vos politiques et procédures.

ID.GV-3 : Les exigences légales et réglementaires concernant la cybersécurité, y compris les obligations en matière de confidentialité et de libertés civiles, sont comprises et gérées.

Les organisations doivent s'assurer que les exigences légales et réglementaires concernant l'information et la cybersécurité, y compris les obligations de confidentialité, sont pleinement comprises, mises en œuvre et gérées. Des examens réguliers sont nécessaires pour maintenir une conformité continue, et ces exigences s'étendent aux entrepreneurs et aux prestataires de services qui peuvent traiter ou avoir accès à des informations sensibles.

• Dans le module "Workbench", vous avez accès à une vue complète de votre statut légal et réglementaire. Cela vous permet de traduire vos processus réglementaires en une vue Kanban et d'avoir une bonne visibilité sur vos progrès.
• Chaque exigence peut être documentée, programmée pour révision et gérée dans le module Workbench.
• En option, vous pouvez ajouter votre document légal et réglementaire directement au module "Risques" pour une gestion des risques supplémentaire.

ID.GV-4 : Les processus de gouvernance et de gestion des risques traitent des risques liés à la cybersécurité.

Une stratégie globale pour gérer les risques de sécurité de l'information et de cybersécurité doit être développée dans le cadre de la gestion globale des risques de l'entreprise. Cette stratégie devrait décrire l'allocation des ressources nécessaires pour protéger les actifs critiques pour l'entreprise et garantir que tous les risques identifiés sont documentés, formellement approuvés et régulièrement mis à jour pour refléter tout changement. L'utilisation d'outils de gestion des risques peut rationaliser ce processus.

• With Brainframe, you have access to all thetools to identify, assess, and prioritize cybersecurity risks, ensuring a clear understanding of potential threats via the Risk module.
• Brainframe vous permet de maintenir un enregistrement complet de tous les risques identifiés, des stratégies approuvées et des plans d'atténuation, garantissant des mises à jour et un accès faciles.
• Ayez une vue claire de votre paysage de risques avec une matrice de risques, personnalisable selon votre processus de gestion des risques, et allouez vos ressources en fonction de vos besoins.

Exigence des CyberFundamentals

Solution Brainframe

ID.RA-1 : Les vulnérabilités des actifs sont identifiées et documentées.

Les organisations doivent établir un processus pour surveiller, identifier et documenter en continu les vulnérabilités de leurs systèmes critiques pour l'entreprise. Une gestion efficace des vulnérabilités implique des analyses, des tests et des validations réguliers pour s'assurer que les risques potentiels sont identifiés et traités sans perturber les opérations normales.

• Vous pouvez créer vos propres risques ou utiliser l'un des risques courants intégrés dans le logiciel, et l'assigner à n'importe quel actif de votre inventaire.
• Brainframe fournit un tableau de bord pour documenter, suivre et prioriser les vulnérabilités, permettant des efforts d'atténuation des risques efficaces.
• Vous pouvez mettre en place des tests périodiques pour toutes les vulnérabilités et les prioriser en fonction de leur criticité en utilisant le module de gestion des tâches et visualiser vos progrès dans une vue kanban.

ID.RA-5 : Les menaces, les vulnérabilités, les probabilités et les impacts sont utilisés pour déterminer le risque

Les organisations doivent réaliser des évaluations des risques complètes pour évaluer les risques en fonction des menaces et des vulnérabilités identifiées, ainsi que de leur impact sur les processus et les actifs de l'entreprise. Ces évaluations doivent prendre en compte à la fois les menaces internes et externes et évaluer les conséquences potentielles sur la confidentialité, l'intégrité et la disponibilité des actifs. Les organisations sont encouragées à utiliser à la fois des méthodes d'analyse qualitatives et quantitatives et à documenter les résultats. Les conclusions des évaluations des risques doivent être communiquées aux parties prenantes concernées pour garantir que des actions d'atténuation appropriées soient prises.

• Grâce à la visibilité que vous avez sur vos actifs et leurs dépendances, vous pouvez réaliser des évaluations des risques exhaustives, en vous assurant de ne rien manquer accidentellement.
• Avec la capacité de lier les actifs aux menaces, aux vulnérabilités et aux processus métier, vous pouvez facilement évaluer un risque et son impact.
• Vous pouvez organiser vos initiatives d'évaluation des risques en les assignant au département ou à l'unité commerciale responsable de chaque actif. Cette méthode simplifie le processus tout en maintenant une visibilité complète dans Brainframe, vous permettant de voir comment les actifs et les processus sont interconnectés à travers différents départements.
• Les communications sur vos conclusions d'évaluation des risques sont facilement partagées à l'intérieur de Brainframe, ce qui vous permet de les envoyer aux parties prenantes et de demander leur révision.

ID.RA-6 : Les réponses aux risques sont identifiées et priorisées.

Les organisations doivent développer et mettre en œuvre une stratégie globale pour gérer les risques liés à leurs systèmes critiques, ce qui implique d'identifier et de prioriser les réponses appropriées aux risques. Cette stratégie doit impliquer à la fois la direction et les employés, définir clairement quels actifs sont les plus critiques, comprendre l'impact potentiel de leur compromission et décrire comment des mesures d'atténuation efficaces seront mises en œuvre pour protéger ces actifs.

• Dans le module "Risques", vous avez accès à divers outils qui peuvent vous aider à gérer votre stratégie de risque.
• La matrice des risques peut aider à la priorisation des risques, vous offrant une vue d'ensemble de vos risques selon leur niveau de criticité.
• Vous pouvez planifier votre stratégie de réponse aux risques pour l'avenir, vous donnant une vue claire sur la réduction des risques.
• Vous pouvez visualiser vos niveaux de risque pour l'avenir, afin de vous assurer que vos atténuations prévues seront suffisamment efficaces pour réduire vos risques au niveau souhaité.

Exigence des CyberFundamentals

Solution Brainframe

ID.RM-1 : Les processus de gestion des risques sont établis, gérés et acceptés par les parties prenantes de l'organisation.

Les organisations doivent établir un processus de gestion des risques cybernétiques qui identifie les principales parties prenantes internes et externes. Ce processus doit faciliter le traitement efficace des problèmes et des informations liés aux risques. Il doit être soigneusement documenté, régulièrement examiné et mis à jour chaque fois qu'il y a des changements. Les parties prenantes externes peuvent inclure des clients, des investisseurs, des actionnaires, des fournisseurs, des agences gouvernementales et la communauté au sens large.

• Brainframe vous permet d'assigner des risques à leurs parties prenantes, qu'elles soient internes ou externes.
• Vous pouvez personnaliser les propriétés de tout risque que vous avez identifié et inclure toutes les informations pertinentes.
• Lorsqu'une action telle qu'un examen ou une mise à jour est requise sur un risque, vous pouvez rapidement notifier le partenaire concerné et exiger qu'une action soit complétée pour garantir leur inclusion dans le processus.

ID.RM-2 : La tolérance au risque organisationnel est déterminée et clairement exprimée.

Les organisations doivent clairement définir leur appétit pour le risque, en veillant à ce qu'il soit aligné avec leurs politiques de sécurité de l'information et de cybersécurité. Cette cohérence entre la tolérance au risque et les mesures de sécurité aide à démontrer une approche cohérente et stratégique de la gestion des risques.

• Vous pouvez entièrement personnaliser vos types de risques, soit avec vos propres méthodologies personnalisées, soit avec celle intégrée de Brainframe.
• Vous pouvez définir votre appétit pour le risque, et votre matrice de risque indiquera automatiquement quels risques sont inacceptables pour vous en fonction de votre configuration, vous aidant dans vos efforts de priorisation.

Exigence des CyberFundamentals

Solution Brainframe

ID.SC-1 : Les processus de gestion des risques de la chaîne d'approvisionnement cybernétique sont identifiés, établis, évalués, gérés et convenus par les parties prenantes organisationnelles.

Les organisations doivent établir un processus documenté de gestion des risques de la chaîne d'approvisionnement cybernétique qui est régulièrement examiné, approuvé et mis à jour lorsque des changements se produisent. Ce processus doit faciliter l'identification, l'évaluation et l'atténuation des risques découlant de la nature interconnectée des produits et des chaînes d'approvisionnement de services ICT/OT, garantissant une gestion complète de la sécurité de la chaîne d'approvisionnement.

• Tout comme tous les autres actifs ou processus, vous pouvez gérer les risques liés à vos fournisseurs directement dans Brainframe.
• Vous pouvez envoyer des tâches à vos fournisseurs, même s'ils sont externes, et exiger des approbations, des révisions ou des mises à jour de la documentation et garantir leur implication dans le processus de gestion des risques.
• Dans le module Fournisseurs, vous avez accès à une vue complète de vos fournisseurs et de tous les actifs ou processus auxquels ils sont liés.

ID.SC-2 : Les fournisseurs et partenaires tiers des systèmes d'information, des composants et des services sont identifiés, priorisés et évalués à l'aide d'un processus d'évaluation des risques de la chaîne d'approvisionnement cybernétique.

Les organisations doivent réaliser des évaluations des risques de la chaîne d'approvisionnement cybernétique au moins une fois par an ou chaque fois qu'il y a des changements dans les systèmes critiques, l'environnement opérationnel ou la chaîne d'approvisionnement. Ces évaluations doivent être documentées et les résultats partagés avec les parties prenantes concernées. De plus, les organisations doivent maintenir une liste à jour des fournisseurs, des vendeurs et des partenaires, en ligne et hors ligne, qui inclut leurs coordonnées et les services qu'ils fournissent.

• Avec Brainframe, vos systèmes, composants et services externalisés peuvent être gérés comme s'ils étaient internes, et les mêmes processus de gestion des risques peuvent leur être appliqués.
• Vous pouvez effectuer un "intégration des fournisseurs" dédiée dans le module "Formulaires".
• Avec les formulaires avancés, vous pouvez utiliser les réponses aux questions pour effectuer automatiquement une lecture des risques pour une évaluation initiale, vous faisant gagner beaucoup de temps.
• Les actifs et processus gérés par un fournisseur externe peuvent être identifiés en les liant à un fournisseur.
• Toutes les informations relatives à un fournisseur et pertinentes pour votre organisation peuvent être suivies dans le module Fournisseur.

ID.SC-3 : Les contrats avec les fournisseurs et les partenaires tiers sont utilisés pour mettre en œuvre des mesures appropriées conçues pour atteindre les objectifs du programme de cybersécurité d'une organisation et du Plan de gestion des risques de la chaîne d'approvisionnement numérique.

Based on the findings of cyber supply chain risk assessments, organizations should establish a contractual framework with suppliers and external partners to manage the sharing of sensitive information and interconnected ICT/OT products and services. Contracts should include specific information security and cybersecurity requirements, ensuring a verifiable flaw remediation process to address identified vulnerabilities. Additionally, organizations must ensure GDPR compliance if personal data is involved. Contracts should also permit the organization to review the cybersecurity programs of suppliers and partners to verify adherence to security requirements.

• Tous les documents liés à vos fournisseurs (contrats, NDA, DPA, SLA,...) peuvent être téléchargés directement sur Brainframe et liés au fournisseur.
• La fonction de rappel vous permet de ne jamais manquer une révision et d'assurer une remédiation rapide à tout problème qui pourrait survenir.
• Vous n'avez pas à remplir manuellement vos documents en fonction des réponses de vos fournisseurs, vous pouvez leur demander de remplir directement les informations dans Brainframe pour gagner un temps précieux.

ID.SC-4 : Les fournisseurs et les partenaires tiers sont régulièrement évalués à l'aide d'audits, de résultats de tests ou d'autres formes d'évaluations pour confirmer qu'ils respectent leurs obligations contractuelles.

Les organisations doivent régulièrement examiner les évaluations de la conformité des fournisseurs et des partenaires tiers à leurs obligations contractuelles en examinant les audits, les résultats des tests et d'autres évaluations. La profondeur de l'examen doit être basée sur la criticité des produits et services fournis, en veillant à ce que des audits et évaluations indépendants soient utilisés pour vérifier la conformité.

• Brainframe vous permet de créer toutes sortes d'évaluations, de la diligence raisonnable aux questionnaires d'évaluation des risques que vous pouvez soumettre directement à vos prestataires de services tiers, et de stocker leurs réponses dans l'outil pour garantir leur participation.
• Trier vos actifs en fonction de leur criticité vous permettra de prioriser certains fournisseurs et de personnaliser vos formulaires en profondeur en fonction de la criticité.
• Pour vous assurer que vous êtes à jour, vous pouvez planifier vos révisions et vous assurer de ne pas manquer une échéance.

ID.SC-5 : La planification et les tests de réponse et de récupération sont réalisés avec les fournisseurs et les prestataires tiers.

Les organisations doivent identifier et documenter le personnel clé des fournisseurs et des partenaires tiers, en les incluant en tant que parties prenantes dans les activités de planification de réponse et de récupération. Cela garantit que ces partenaires sont activement impliqués dans les tests et l'exécution des plans de réponse et de récupération.​

• Avec Brainframe, vous pouvez inclure du personnel externe des fournisseurs et les désigner comme parties prenantes pour les actifs ou les processus dont ils sont responsables.
• Vous pouvez leur envoyer des tâches telles que l'approbation ou la révision de documents qu'ils peuvent compléter directement dans votre instance Brainframe pour garantir leur implication.

Exigence des CyberFundamentals

Solution Brainframe

PR.AT-1 : Tous les utilisateurs sont informés et formés.

Les organisations doivent s'assurer que tous les employés, y compris les utilisateurs et les gestionnaires des systèmes ICT/OT, reçoivent une formation appropriée sur les politiques de sécurité de l'information lors de leur embauche et de manière régulière par la suite. La formation doit être continuellement mise à jour et renforcée par des campagnes de sensibilisation. La formation à la sensibilisation à la sécurité doit également inclure la reconnaissance et le signalement des menaces internes, et doit être communiquée régulièrement et de manière engageante pour s'assurer que tout le monde comprend ses responsabilités. Des scénarios pratiques et des exercices de simulation réguliers peuvent aider à renforcer l'apprentissage.

• Vous pouvez créer vos formations dans n'importe quel format que vous souhaitez, écrit ou vidéo, et les conserver dans le système de gestion de documents de Brainframe.
• Vous pouvez les envoyer directement à vos employés et aux personnes concernées qui devraient y assister via la fonction de distribution de documents.
• Brainframe vous permet de garder une trace d'audit des formations que vos employés ont complétées.
• Envoyez des rappels et des notifications pour garantir l'achèvement des formations.

Exigence des CyberFundamentals

Solution Brainframe

PR.IP-1 : Une configuration de base des systèmes de technologie de l'information/de contrôle industriel est créée et maintenue en intégrant des principes de sécurité.

Les organisations doivent développer, documenter et maintenir une configuration de base pour leurs systèmes critiques pour l'entreprise, en veillant à ce que ces configurations soient régulièrement examinées et mises à jour. Les configurations de base doivent inclure des détails sur les versions du système, l'état des correctifs, les paramètres de configuration, la topologie du réseau et le placement des composants dans l'architecture du système.

• Les documents entièrement personnalisables de Brainframe vous permettent de définir et de documenter des configurations de base pour vos systèmes critiques pour l'entreprise.
• Vous pouvez planifier des examens périodiques des documents, exiger que les responsables prennent des mesures telles que l'examen ou l'approbation, et suivre leur progression.
• Vous pouvez ajouter autant de propriétés que pertinent, telles que les paramètres, les versions, l'état des correctifs, etc...

PR.IP-2 : Un cycle de vie de développement de système pour gérer les systèmes est mis en œuvre.

Le cycle de vie du développement des systèmes et des applications doit intégrer des considérations de sécurité à toutes les phases, y compris la spécification, la conception, le développement et la mise en œuvre. Cela implique de s'assurer que la sécurité est intégrée dans l'acquisition de systèmes critiques pour l'entreprise et de leurs composants, et de fournir une formation sur la sensibilisation aux vulnérabilités pour les développeurs. Le processus de développement doit également inclure une gestion de configuration robuste, le suivi des défauts, le contrôle des modifications et des tests de sécurité pour garantir que les interfaces système pertinentes en matière de sécurité sont correctement conçues et mises en œuvre.

• La gestion du cycle de vie du développement des systèmes est généralement un processus effectué dans un outil de développement dédié tel que Jira.
• Pour vous permettre de représenter les tâches pertinentes dans ces outils, Brainframe s'intègre à eux pour fournir une représentation visuelle à l'intérieur du SGSI, vous offrant une bonne visibilité sur l'ensemble de votre architecture.

PR.IP-9 : Des plans de réponse (Réponse aux incidents et Continuité des activités) et des plans de récupération (Récupération après incident et Récupération après sinistre) sont en place et gérés.

Les organisations doivent établir, maintenir et tester régulièrement les plans de réponse aux incidents et de récupération, y compris ceux pour la continuité des activités et la récupération après sinistre, afin d'assurer leur efficacité et leur préparation. Ces plans doivent fournir des instructions claires pour détecter, répondre et atténuer les effets des cyberattaques, tout en abordant les objectifs de récupération, les priorités de restauration et les rôles du personnel.

• Brainframe fournit des modèles intégrés pour vos efforts de gestion des incidents tels que les Plans de Continuité des Activités (PCA), que vous pouvez adapter à votre organisation et définir des informations pertinentes telles que des instructions, des responsables, des pratiques de communication,...
• Vous pouvez l'utiliser pour notifier directement le partenaire concerné ou tout autre contact nécessaire à l'exécution du plan.
• Votre communication et votre aperçu d'un incident peuvent être presque en temps réel avec Brainframe, car la personne responsable de la gestion de l'incident peut mettre à jour le statut directement dans l'outil afin que toutes les personnes impliquées puissent suivre les progrès.

PR.IP-12 : Un plan de gestion des vulnérabilités est développé et mis en œuvre.

Les organisations doivent établir et maintenir un processus documenté pour la révision continue des vulnérabilités et le développement de stratégies pour les atténuer. Des mises à jour régulières et des mesures proactives sont essentielles pour s'assurer que les vulnérabilités sont traitées avant qu'elles ne puissent être exploitées.

• Brainframe fournit les outils pour documenter vos processus pour vos efforts de gestion des vulnérabilités via le système de gestion documentaire, vous permettant d'avoir une vue d'ensemble claire du plan.
• Vous pouvez l'utiliser pour suivre l'état du plan, voir ce qui a été fait jusqu'à présent et ce qu'il reste à faire.

Exigence des CyberFundamentals

Solution Brainframe

RS.RP-1: Response plan is executed during or after an incident.

Un processus de réponse aux incidents doit être en place et exécuté pendant ou après un événement de cybersécurité affectant les systèmes critiques de l'organisation. Ce processus doit inclure des instructions prédéfinies pour détecter, répondre et atténuer l'impact des cyberattaques malveillantes. Des rôles, responsabilités et autorités clairs doivent être établis, spécifiant qui est impliqué, leurs coordonnées et qui est autorisé à initier les procédures de récupération et à communiquer avec les parties prenantes externes.

• Brainframe vous permet de communiquer efficacement entre les départements en cas d'incident pour répondre en temps opportun et garantir que tout le monde a une vue d'ensemble claire sur l'état de l'incident.
• Les rôles et responsabilités peuvent être définis à l'avance lors de la création de la politique pour s'assurer qu'en cas de détection, vous savez toujours qui contacter.
• Il fournit un espace centralisé pour suivre l'incident, commencer les procédures de récupération et communiquer la crise aux parties prenantes internes ou externes.

Exigence des CyberFundamentals

Solution Brainframe

RS.CO-1 : Le personnel connaît ses rôles et son ordre d'opérations lorsque une réponse est nécessaire.

Les organisations doivent s'assurer que tout le personnel impliqué dans la réponse aux incidents comprend clairement ses rôles, objectifs, priorités de restauration, séquences de tâches et responsabilités spécifiques. Des tests réguliers du plan de réponse aux incidents sont essentiels pour garantir son efficacité, et des ajustements doivent être effectués après chaque incident pour combler les lacunes.

• Vous pouvez définir des rôles et des objectifs dans votre politique de gestion des incidents et l'envoyer aux parties concernées, et demander leur approbation explicite du document pour vous assurer qu'elles ont examiné leurs rôles et savent quoi faire en cas d'incident.
• Vous pouvez planifier des tests réguliers du plan de réponse aux incidents pour évaluer son efficacité.

RS.CO-2 : Les incidents sont signalés conformément aux critères établis.

Les organisations doivent mettre en œuvre un processus clair pour signaler les incidents d'information et de cybersécurité sur des systèmes critiques dans un délai défini. Le processus de signalement doit spécifier qui doit être informé et garantir que tous les utilisateurs disposent d'un point de contact unique pour le signalement des incidents, encourageant ainsi une communication rapide. Les critères de signalement doivent être décrits dans le plan de réponse aux incidents pour garantir la cohérence et la clarté sur le moment et la manière de signaler les incidents.

• Le signalement des incidents est facilité avec Brainframe, car il vous permet de créer le modèle de rapport une fois avec tous les critères que vous souhaitez voir décrits, et les parties prenantes n'ont qu'à remplir le formulaire.
• Vous pouvez lier directement le modèle de rapport d'incident au plan de réponse aux incidents et le garder clair et concis.

RS.CO-3 : Les informations sont partagées conformément aux plans de réponse.

Les organisations doivent s'assurer que les informations concernant les incidents d'information/cybersécurité sont communiquées aux employés dans un format clair et compréhensible. De plus, les informations sur les incidents doivent être partagées avec les parties prenantes pertinentes, tant internes qu'externes, comme indiqué dans le plan de réponse aux incidents pour garantir des réponses coordonnées et efficaces.

• Toute découverte que vous souhaitez partager avec vos employés ou parties prenantes, internes ou externes, peut être partagée dans l'outil pour éviter toute confusion et maux de tête inutiles concernant avec qui vous l'avez partagée.

Exigence des CyberFundamentals

Solution Brainframe

RS.MI-3 : Les vulnérabilités nouvellement identifiées sont atténuées ou documentées comme des risques acceptés.

Les organisations doivent mettre en œuvre une capacité complète de gestion des incidents pour les incidents d'information et de cybersécurité affectant les systèmes critiques pour l'entreprise. Ce processus doit couvrir toutes les phases, y compris la préparation, la détection et l'analyse, la containment, l'éradication, la récupération et l'acceptation des risques documentée. L'acceptation des risques implique de reconnaître formellement les risques qui sont évalués comme gérables et dans l'appétit de risque de l'organisation, le propriétaire du risque prenant la responsabilité de ces décisions.

• En utilisant les capacités de gestion des risques de Brainframe, vous pouvez définir vos processus de gestion des incidents en fonction de la manière dont vous souhaitez les gérer (atténuer, transférer, accepter,...)
• Il fournit un outil centralisé pour déterminer l'action que vous souhaitez entreprendre sur chaque risque, en fonction de leur criticité.
• Chaque risque peut se voir attribuer des propriétés pour justifier l'action entreprise pour le gérer.