CyFun sur Azure
CyberFundamentals sur Azure, avec 748 liaisons contrôle-preuve prêtes pour l'audit
Le framework CyberFundamentals du CCB est, en Belgique, la voie privilégiée pour démontrer la conformité à NIS2. Governator prend en charge la partie Azure : rattachement des contrôles, collecte de preuves, narratifs d'écart et exports par niveau d'assurance.
Ce qu'est CyberFundamentals, et pourquoi cela compte sur Azure
CyberFundamentals (CyFun) est le framework d'assurance cybersécurité publié par le Centre pour la Cybersécurité Belgique (CCB). Il combine ISO/IEC 27001, NIST CSF et CIS Controls en quatre niveaux d'assurance, et c'est le framework sur lequel le CCB a aligné l'application de NIS2 : une organisation qui atteint le niveau CyFun adapté à son profil est considérée comme couvrant la portion correspondante des mesures de l'Article 21 NIS2.
Pour les environnements Azure, cela signifie que CyFun n'est plus un exercice théorique. L'échéance d'auto-évaluation d'avril 2026 en fait un livrable concret, avec 748 liaisons contrôle-preuve à démontrer. Le travail d'alignement entre l'état technique d'Azure et le référentiel CyFun est précisément la couche opérationnelle que Governator automatise.
Le framework est par ailleurs reconnu dans plusieurs autres États membres de l'UE par le biais d'accords bilatéraux entre autorités nationales. Un dossier d'assurance CyFun voyage donc bien au-delà des frontières belges pour les organisations qui opèrent à l'international.
Les trois niveaux d'assurance que couvre Governator
Chaque niveau CyFun appelle un modèle de preuve Azure plus exigeant. Le périmètre de collecte de Governator et la génération de narratifs assistée par IA s'adaptent au niveau visé.
Points d'attention Azure
Hygiène d'identité (MFA, pas d'admin partagé), Defender free tier sur chaque abonnement, sauvegarde de base, chiffrement at rest, inventaire des ressources publiquement exposées.
Ce que Governator collecte et produit
Collecte légère : inventaire RBAC, couverture MFA, exposition des IP publiques et du stockage, affectations des politiques de sauvegarde. Dossier d'assurance d'une page.
Points d'attention Azure
Defender Plan 2 sur les workloads de production, processus d'exemption structuré, alerting sur la dérive RBAC, posture Conditional Access, inventaire Key Vault, onboarding Sentinel pour les ressources critiques.
Ce que Governator collecte et produit
Collecte continue couvrant Resource Graph, Defender, Policy, RBAC, Activity Log, WAF, Storage et Cost Management. Coffre de preuves complet, factory de remédiation et tableau de bord management.
Points d'attention Azure
BCDR multi-régions avec runbooks testés, clés gérées par le client, couverture complète des plans Defender, preuves de segmentation réseau, artefacts dédiés à la réponse à incident, attestations de chaîne d'approvisionnement.
Ce que Governator collecte et produit
Tout ce qui est inclus dans Important, plus narratifs d'écart générés par IA, inspection storage approfondie avec détection de PII, classification de criticité, cartographie de la chaîne d'approvisionnement et export pré-audit au niveau Essential.
Comment Governator traite CyFun sur Azure
748 liaisons contrôle-preuve préconfigurées
À chaque contrôle CyFun correspond un modèle de preuve Azure (requêtes Resource Graph, assessments Defender, conformité Policy, périmètre RBAC, requêtes log). Governator exécute les collectors et alimente le coffre de preuves contrôle par contrôle.
Un narratif d'écart par contrôle
Lorsqu'une preuve manque, Governator rédige un narratif qui explique ce qui est attendu, l'état observé et la remédiation ou l'attestation qui ferme l'écart. Le narratif est utilisable tel quel par l'auditeur et reste rattaché à votre inventaire Azure réel.
Attestations, exemptions et dates de revue
Certains contrôles ne se documentent pas uniquement à partir des données Azure. Governator embarque un flux d'attestation pour les éléments manuels (registres de formation, tests de runbooks BCDR) ainsi qu'un flux d'exemption structuré, avec justification métier et date de revue obligatoire.
Export pré-audit au niveau visé
Un fichier XLSX coloré incluant un executive summary, la matrice de preuves par contrôle, l'analyse d'écart, les attestations et le registre d'exemptions. Le format que le CCB et les auditeurs externes attendent, généré à la demande.
Détection continue de la dérive
Une fois le niveau cible atteint, Governator exécute la collecte selon un planning et alerte sur les dérives. Le pourcentage d'assurance affiché reflète l'état actuel et non un instantané du trimestre précédent.
Évaluation, ou assurance continue ?
Évaluation de readiness CyFun
Une mission ponctuelle dans laquelle Governator établit une image de conformité à un instant T, accompagnée d'une interprétation experte. Livrable : une roadmap vers le niveau visé, des remédiations hiérarchisées, des attestations et un dossier de preuves prêt pour le CCB.
Durée typique : 3 à 5 semaines.
Assurance CyFun continue
Governator en managed service : collecte planifiée, alerting sur la dérive, reporting direction et régénération à la demande du dossier d'assurance. Conçu pour les organisations qui doivent maintenir un niveau cible plutôt que de l'atteindre une seule fois.
Engagement : en continu.
Commencez par un Azure Health Check piloté par Governator
Pas sûr par où commencer ? Une revue rapide d'architecture vous donne une image claire. Sans engagement.
- ✓ Scorecard des risques : identité, réseau, gouvernance et sécurité
- ✓ Top 10 des problèmes classés par impact et effort
- ✓ Feuille de route 30-60-90 jours avec quick wins