Version 2026.1
Cyber hygiene framework
The versioned framework behind every CyberKit score and attestation — inspired by France’s ANSSI hygiene guide and mapped to the NIS2 directive.
Each control is weighted by how much it matters to the security posture. An attestation keeps the framework version it was issued under.
Grading scale
The 0–100 score also reads at a glance, from A to F.
A
≥ 90/100
B
≥ 75/100
C
≥ 60/100
D
≥ 45/100
E
≥ 25/100
F
≥ 0/100
Controls by domain
Authentification & mots de passe
| Control | Weight | NIS2 |
|---|---|---|
| La double authentification (MFA) est-elle activée sur vos e-mails et outils cloud ? | ●●●3/3 | j g |
| La MFA protège-t-elle vos accès distants et administrateurs (VPN, RDP, comptes admin) ? | ●●●3/3 | j i |
| Utilisez-vous un gestionnaire de mots de passe (et des mots de passe uniques) ? | ●1/3 | i g |
Sauvegardes
| Control | Weight | NIS2 |
|---|---|---|
| Vos données critiques sont-elles sauvegardées régulièrement et automatiquement ? | ●●2/3 | c |
| Une copie de sauvegarde est-elle hors-ligne ou immuable (déconnectée du réseau) ? | ●●●3/3 | c |
| Avez-vous déjà testé une restauration de sauvegarde ? | ●●2/3 | c |
Postes & mises à jour
| Control | Weight | NIS2 |
|---|---|---|
| Les mises à jour de sécurité sont-elles installées rapidement (idéalement automatiquement) ? | ●●2/3 | e g |
| Un antivirus / EDR est-il actif sur tous les postes et serveurs ? | ●●2/3 | g e |
| Êtes-vous certain de n’utiliser aucun logiciel ou système en fin de vie (non maintenu) ? | ●●2/3 | e |
E-mail & hameçonnage
| Control | Weight | NIS2 |
|---|---|---|
| Votre domaine est-il protégé contre l’usurpation d’e-mails (SPF, DKIM, DMARC) ? | ●●2/3 | g |
| Vos équipes sont-elles sensibilisées à l’hameçonnage (phishing) ? | ●1/3 | g |
Accès & exposition
| Control | Weight | NIS2 |
|---|---|---|
| Êtes-vous sûr qu’aucun bureau à distance (RDP) n’est exposé directement sur Internet ? | ●●●3/3 | i e |
| Les droits d’administration sont-ils limités au strict nécessaire ? | ●1/3 | i |
| Les accès sont-ils retirés immédiatement au départ d’un collaborateur ? | ●1/3 | i |
Gouvernance & réaction
| Control | Weight | NIS2 |
|---|---|---|
| Tenez-vous un inventaire à jour de vos matériels et logiciels ? | ●1/3 | i a |
| Savez-vous qui appeler et quoi faire en cas d’incident (et déposer plainte sous 72h) ? | ●●2/3 | b |
| Disposez-vous d’une assurance cyber en vigueur ? | ●1/3 | a |
NIS2 mapping (Article 21.2)
The risk-management measures of Directive (EU) 2022/2555 covered by the framework.
- a
- Politiques d'analyse des risques et de sécurité des systèmes d'information
- b
- Gestion des incidents
- c
- Continuité de l'activité (sauvegardes, reprise après sinistre, gestion de crise)
- d
- Sécurité de la chaîne d'approvisionnement
- e
- Sécurité de l'acquisition, du développement et de la maintenance (gestion et divulgation des vulnérabilités)
- f
- Procédures d'évaluation de l'efficacité des mesures
- g
- Pratiques d'hygiène informatique de base et formation
- h
- Cryptographie et, le cas échéant, chiffrement
- i
- Sécurité des ressources humaines, contrôle d'accès et gestion des actifs
- j
- Authentification multifacteur (ou continue) et communications sécurisées
Framework inspired by ANSSI’s Cyber Hygiene Guide; the opposable regulatory mapping is established on Article 21.2 of the NIS2 directive.