- IG1 : cybersécurité fondamentale pour toute organisation
- IG2 : pour les organisations avec plus de risque ou de ressources
- IG3 : pour les environnements à risque élevé
IG1 : cybersécurité fondamentale pour toute organisation
Le groupe IG1 regroupe 56 activités essentielles, accessibles même avec une équipe IT limitée. Il couvre : inventaire matériel et logiciel, mots de passe robustes, MFA sur les comptes privilégiés, sauvegardes testables, formation anti-phishing et protection de la messagerie. C'est le minimum vital pour toute PME.
IG2 : pour les organisations avec plus de risque ou de ressources
IG2 ajoute 74 activités supplémentaires adaptées aux organisations ayant des données sensibles de clients, des obligations réglementaires (Loi 25, PCI-DSS) ou des équipes IT dédiées. On y trouve : gestion fine des privilèges (PAM), SIEM, segmentation réseau avancée, tests d'intrusion réguliers, programme de gestion des vulnérabilités.
IG3 : pour les environnements à risque élevé
IG3 est destiné aux organisations dont la compromission aurait des conséquences critiques : institutions financières, infrastructure critique, santé. Les 23 activités supplémentaires couvrent : threat intelligence, red teaming continu, défense contre les APT, gouvernance avancée de la chaîne d'approvisionnement.
Checklist pratique
Votre progression est sauvegardée localement dans votre navigateur.
Points clés à retenir
- IG1 (56 activités) est le minimum vital pour toute PME
- IG2 ajoute 74 activités pour les organisations avec plus de risque ou de ressources
- IG3 (23 activités suppl.) est réservé aux environnements critiques
- La majorité des PME cible IG2, souvent avec l'aide d'un MSSP