Méthode de cybersécurité et de résilience (MCSR)

L’Office fédéral de la cybersécurité (OFCS) a développé une méthode de cybersécurité et de résilience (MCSR) que les organisations et les entreprises peuvent employer afin de renforcer leurs capacités à cet égard.

La digitalisation croissante de la société et de l’économie pose des défis toujours plus grands en matière de cybersécurité et de résilience. Bien qu’il existe de nombreux modèles, normes et recommandations dans ce domaine, les organisations et les entreprises ne savent souvent pas comment aborder ces aspects ni comment les renforcer durablement. Il leur manque des pistes ainsi que des directives concrètes et pratiques.

C’est dans ce contexte que l’OFCS propose sa méthode de cybersécurité et de résilience (MCSR), une approche structurée en cinq étapes qui permet aux organisations et entreprises de toutes tailles de renforcer durablement leurs capacités à cet égard, et ce, indépendamment du secteur d’activité dans lequel elles évoluent. Reposant sur une approche de protection de base élargie, la méthode comprend les étapes ci-dessous.

Étape 1
La première étape consiste à analyser les activités principales ainsi que les processus d’affaires et de production de l’organisation ou de l’entreprise.

Étape 2
Lors de la deuxième étape, il s’agit de déterminer les moyens informatiques nécessaires à ces processus et activités et de les agréger dans des objets informatiques à protéger.

Étape 3
La troisième étape a pour but de déterminer les besoins de protection pour chaque objet informatique à protéger. Dans la situation la plus simple, il s’agit d’une décision binaire : soit l’objet en question affiche un besoin de protection accru, soit ce n’est pas le cas.

Étape 4
Lors de la quatrième étape, un concept de sécurité est élaboré pour chaque objet informatique à protéger présentant un besoin de protection accru. Il décrit comment faire face de manière judicieuse aux menaces pour la sécurité.

Étape 5
Enfin, la cinquième étape consiste à mettre en œuvre tant les mesures techniques et organisationnelles de la protection de base que celles qui figurent dans les concepts de sécurité.

Bien que la procédure soit décrite à l’aide d’étapes, il peut être préférable dans certains cas de procéder de façon itérative sur la base de priorités en s’occupant tout d’abord des processus et objets informatiques à protéger les plus importants et en laissant temporairement les autres de côté. Cette approche n’est cependant pas optimale, car les objets informatiques sont souvent liés entre eux et ces dépendances doivent être prises en considération dans les concepts de sécurité. Elle peut toutefois s’avérer judicieuse d’un point de vue pratique.

La méthode est complétée par des possibilités de procéder à des évaluations et de comparer les performances au sens d’un benchmarking. Ainsi, les organisations et les entreprises pourront analyser leur cybersécurité et leur résilience et confronter leurs résultats avec ceux d’organismes similaires issus du même secteur d’activité. Ces fonctionnalités seront proposées sur le Cyber Security Hub de l’OFCS.

La MCSR est actuellement testée et développée en collaboration avec certains partenaires et les cercles intéressés. En parallèle, l’OFCS mène une procédure de consultation jusqu’à fin janvier 2026 dans le cadre de laquelle il souhaite recevoir des retours. La méthode sera mise à la disposition du public sous la forme d’une recommandation. Les associations professionnelles pourront l’adopter et la conseiller à leurs membres. Les organes chargés de la régulation pourront l’adapter ou y apporter des précisions en fonction de leurs besoins et, dans le cadre de leur compétence, la déclarer contraignante. La MCSR peut compléter ou remplacer la norme minimale pour améliorer la résilience informatique, publiée par l’Office fédéral pour l’approvisionnement économique du pays.

Nous aimerions avoir votre avis sur le contenu de la méthode MCSR, afin de pouvoir adapter ces produits aux exigences des lecteurs. Nous vous serions reconnaissants de prendre le temps de répondre aux quelques questions ci-dessous (durée: 2 minutes). Une fois rempli, merci de renvoyer le formulaire en cliquant sur «Envoyer».