Le référentiel CAF
Le CAF (Cyber Assessment Framework) est produit par le Centre National de Cybersécurité anglais, une agence du gouvernement britannique, l’équivalent de l’ANSSI en France. Le CAF décrit une méthode pour évaluer la prise en compte des risques de cybersécurité pour les fonctions essentielles d’une entité. Cette évaluation peut prendre la forme d’une auto-évaluation ou d’un audit par une entité externe indépendante. L’évaluation comprend 4 objectifs et 14 principes spécifiant ce qui doit être réalisé. Le CAF inclut une collection d'indicateurs de bonnes pratiques (IGP) classés en en trois catégories (réalisé / non réalisé / partiellement réalisé). Pour qu’une exigence soit réalisée, il faut que toutes les règles soient en place. Inversement, il suffit qu’une règle ne soit pas en place pour que l’exigence soit indiquée comme « non-réalisée ».