CyFun : le référentiel belge qui cadre NIS2, expliqué aux PME
La Belgique a transposé NIS2 avant tout le monde et l'a adossée à un référentiel national : le CyberFundamentals Framework (CyFun) du Centre pour la Cybersécurité Belgique. Quatre niveaux d'assurance, des échéances déjà tombées en avril 2026 et une vérification externe attendue en 2027 : voici comment le lire et par quoi commencer.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Qu'est-ce que le CyFun ?
Le CyberFundamentals Framework (CyFun) est le référentiel de cybersécurité publié par le Centre pour la Cybersécurité Belgique (CCB), l'autorité nationale qui supervise l'application de NIS2 en Belgique. Il structure les mesures attendues en niveaux d'assurance progressifs (Small, Basic, Important, Essential), chacun calibré sur un niveau de menace : de la cybercriminalité de masse aux attaques avancées.
Techniquement, le CyFun est construit sur les 5 fonctions du NIST CSF (identifier, protéger, détecter, répondre, récupérer) et chaque exigence est croisée avec ISO 27001/27002, les CIS Controls et IEC 62443. Une entreprise qui travaille déjà sur l'un de ces cadres retrouve ses mesures dans la correspondance publiée par le CCB.
Depuis la loi belge du 26 avril 2024 transposant NIS2, atteindre le niveau CyFun adapté à sa catégorie (vérifié ou certifié par un organisme accrédité pour les niveaux supérieurs) vaut présomption de conformité. C'est la différence majeure avec la France, où le référentiel ReCyF est encore en version de travail.
Les 4 niveaux d'assurance
Le niveau à viser dépend de votre classification NIS2 (entité essentielle ou importante) et de votre exposition réelle. Le CCB fournit un outil de sélection basé sur l'analyse de risque.
CyFun Small
Auto-positionnementTrès petites structures
- · Outil d'auto-évaluation simplifié du CCB
- · Mesures de base : mots de passe, sauvegardes, mises à jour
- · Sans valeur de démonstration NIS2
- · Point d'entrée pour structurer une démarche
CyFun Basic
Socle NIS2Entités importantes (socle)
- · Mesures standard contre la cybercriminalité de masse
- · Couvre les 5 fonctions NIST CSF (identifier, protéger, détecter, répondre, récupérer)
- · Auto-évaluation possible, vérification optionnelle
- · Réaliste en quelques mois pour une PME organisée
CyFun Important
Attaques cibléesEntités importantes exposées / essentielles (selon risque)
- · Exigences renforcées : segmentation, gestion des accès, journalisation
- · Évaluations techniques régulières de l'efficacité des mesures
- · Vérification par un organisme accrédité pour valoir présomption
- · Demande une fonction sécurité identifiée en interne
CyFun Essential
Menaces avancéesEntités essentielles
- · Niveau le plus exigeant du référentiel
- · Supervision, détection et réponse structurées
- · Certification par un organisme accrédité BELAC
- · Cycle d'audit et de tests techniques récurrent
Échéances : la Belgique est déjà dans le dur
26 avril 2024
La Belgique transpose NIS2 en premier dans l'UE (loi publiée le 17 mai 2024).
18 octobre 2024
Entrée en vigueur de la loi NIS2 belge. Le CCB devient l'autorité nationale de supervision.
18 mars 2025
Échéance générale d’enregistrement des entités régulées sur Safeonweb@work.
18 avril 2026
Entités essentielles (régime d'évaluation régulière) : soumission au CCB de l'auto-évaluation CyFun ou du certificat ISO 27001. Beaucoup d'entités sont en retard : la régularisation reste due.
18 avril 2027
Atteinte du niveau cible (Important ou Essential) vérifiée par un organisme d’évaluation accrédité.
Lecture pragmatique : l'échéance d'avril 2026 est passée. Les entités qui n'ont pas soumis leur auto-évaluation sont en situation de rattrapage, pas d'exemption. Le CCB dispose de pouvoirs d'inspection et les sanctions prévues par la loi belge montent jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 M€ ou 1,4 % pour les entités importantes).
CyFun ou ISO 27001 : quelle voie choisir ?
La loi belge accepte deux démonstrations : le CyFun au niveau requis, ou une certification ISO 27001 dont le périmètre couvre les services régulés. Le choix se résume à votre point de départ :
- · Déjà certifié ISO 27001 : faites valoir le certificat existant. Vérifiez seulement que la déclaration d'applicabilité couvre bien les services NIS2.
- · Groupe multi-pays : ISO 27001 sert la Belgique, la France et le reste de l'UE avec un seul cadre. Voir notre page accompagnement ISO 27001.
- · PME belge sans certification : CyFun est plus direct. L'outillage du CCB est gratuit, en français, et le niveau Basic est atteignable en quelques mois.
Dans les deux cas, les preuves techniques se recoupent largement : inventaire, gestion des accès, sauvegardes, journalisation, tests. Le travail fait pour l'un n'est jamais perdu pour l'autre.
Par quoi commencer : plan d'action en 5 étapes
1. Confirmer votre statut NIS2 belge
Secteur (annexes I et II de la loi), taille et rôle dans la chaîne d'approvisionnement déterminent si vous êtes entité essentielle, importante ou hors périmètre. L'enregistrement se fait sur Safeonweb@work auprès du CCB.
2. Choisir la voie : CyFun ou ISO 27001
Groupe déjà certifié ISO 27001 : faites valoir le certificat existant si le périmètre couvre les services régulés. PME sans certification : l'auto-évaluation CyFun au bon niveau est la voie la plus directe.
3. Mesurer l’écart sur le niveau cible
Passez chaque exigence du niveau visé en trois états (couvert, partiel, absent) avec l'outil d'auto-évaluation du CCB. Cette matrice chiffre l'effort restant et priorise le budget.
4. Produire les preuves techniques
MFA, sauvegardes testées, journalisation, segmentation : chaque mesure doit être démontrable. Les niveaux Important et Essential attendent en plus des évaluations de vulnérabilités et tests documentés.
5. Préparer la vérification 2027
Pour les entités essentielles, la vérification par un organisme accrédité se planifie des mois à l'avance. Un dossier au format exigence / preuve / date, alimenté en continu, évite l'audit de rattrapage.
Où le test d'intrusion s'insère dans le CyFun
À partir du niveau Important, le CyFun attend que l'efficacité des mesures soit éprouvée, pas seulement déclarée :
- · les évaluations de vulnérabilités et tests de sécurité documentés alimentent la fonction « protéger » et démontrent la maîtrise de la surface exposée ;
- · un test d'intrusion daté, avec rapport, plan de remédiation et re-test, est la preuve la plus directe présentable à un organisme d'évaluation ou au CCB ;
- · la fonction « détecter » se valide par des scénarios offensifs : si personne ne voit le pentest passer, la preuve de supervision reste théorique.
Laucked réalise ces missions à distance pour les entreprises belges francophones, avec livrables en français et méthodologie OWASP/PTES : pentest en Belgique.
FAQ CyFun
Le CyFun est-il obligatoire ?
Le référentiel lui-même n'est pas obligatoire : c'est l'obligation de sécurité NIS2 qui l'est. Le CyFun est le moyen officiel de la démontrer en Belgique, avec la certification ISO 27001 comme alternative reconnue. Une entité peut démontrer autrement, mais elle perd la présomption de conformité et s'expose à une inspection plus lourde.
Nous avons raté l'échéance d'avril 2026. Que faire ?
Régulariser vite, dans l'ordre : enregistrement Safeonweb@work si ce n'est pas fait, auto-évaluation CyFun au niveau requis, puis plan de remédiation daté vers l'échéance de vérification 2027. Un dossier de rattrapage documenté pèse favorablement en cas de contrôle ; l'absence totale de démarche pèse dans l'autre sens.
Une PME wallonne de 60 salariés est-elle concernée ?
Si son secteur figure aux annexes de la loi (énergie, transport, santé, numérique, industrie, services TIC, etc.) et qu'elle dépasse 50 salariés ou 10 M€ de chiffre d'affaires, oui, en principe comme entité importante. Et même hors périmètre direct, les exigences arrivent par ricochet : les entités régulées doivent maîtriser leur chaîne d'approvisionnement et répercutent leurs obligations sur leurs fournisseurs.
Quelle différence entre CyFun et ReCyF ?
Même rôle, deux pays : le CyFun est le référentiel belge du CCB, opérationnel et outillé depuis 2023 ; le ReCyF est le référentiel français de l'ANSSI, publié en version de travail en mars 2026 et en attente de la loi Résilience. Le CyFun fonctionne par niveaux d'assurance certifiables, le ReCyF par objectifs de sécurité et moyens acceptables. Détail complet dans le comparatif France / Belgique.
Produisez les preuves techniques attendues par le CyFun
Le diagnostic gratuit Laucked cartographie votre surface d'attaque externe et la met en regard des exigences de votre niveau CyFun cible. À distance, livrables en français, sans engagement.