L’échéance d’avril 2026 est passée. Les organisations belges classées comme entités essentielles ou importantes dans le cadre du NIS2 ne se préparent plus aux audits. Elles les subissent. Le Centre pour la cybersécurité en Belgique (CCB) est passé du soutien consultatif à la mise en œuvre active, et les organismes d’évaluation de la conformité accrédités (CAB) sont sur place dans tout le pays, demandant des dossiers de preuves que de nombreuses équipes informatiques sont encore en train d’assembler. Le cadre CyberFundamentals (CyFun) est l’épine dorsale de la conformité. Si votre organisation n’a pas encore fait l’objet d’une vérification externe, l’horloge ne tourne plus. Elle s’est arrêtée.
Ce guide décrit le processus d’évaluation de la conformité : qui vous audite, ce qu’il demande, combien de temps cela prend, ce que cela coûte, et où la plupart des organisations belges de taille moyenne échouent.
Qu’est-ce qu’une évaluation de conformité CCB ?
Une évaluation de conformité CCB est une évaluation formelle par un organisme indépendant, accrédité par BELAC, qui vérifie si une organisation belge répond aux exigences de sécurité du cadre CyberFundamentals (CyFun). Elle s’applique aux entités réglementées par le NIS2 au niveau Important ou Essentiel. L’évaluation aboutit à une déclaration de vérification ou à une certification qui sert de preuve légale de la conformité. Les auto-déclarations ne sont plus suffisantes pour ces niveaux. L’évaluation porte sur les contrôles techniques, les processus de gouvernance et les preuves documentées des opérations de sécurité en cours, tous mis en correspondance avec les domaines de contrôle de la CyFun.
La structure du cadre CyFun en 2026
Le cadre CyberFundamentals est la traduction nationale belge du NIS2 en contrôles mesurables. Il s’inspire de la norme ISO 27001, du NIST CSF et des contrôles de sécurité critiques du CIS, structurés en quatre niveaux d’assurance qui s’échelonnent en fonction du risque organisationnel.
| Niveau CyFun | Public cible | Voie de conformité | Exigence externe |
|---|---|---|---|
| Petites entreprises | Petites entreprises, faible risque | Auto-évaluation | Aucune (étiquette facultative) |
| De base | PME, niveau débutant essentiel | Vérification (ISO 17029) | Nécessaire pour la preuve |
| Important | Marché intermédiaire, entités importantes | Vérification (ISO 17029) | Obligatoire |
| Essentiel | Entités systémiques et essentielles | Certification (ISO 17021-1) | Certification complète d’ici 2027 |
Le niveau « Important » exige une vérification conformément à la norme ISO/CEI 17029. Le niveau « Essentiel » exige la certification complète du système de gestion selon la norme ISO/CEI 17021-1. Cette distinction détermine à la fois les preuves requises et les qualifications que doit posséder votre auditeur.
Le guide d’auto-évaluation de la CyFun couvre en détail les niveaux Petit et Basique. Cet article se concentre sur la vérification externe pour les entités importantes et essentielles.
La mise à jour 2025 du CyFun a mis l’accent sur la sécurité de la chaîne d’approvisionnement et la responsabilité du conseil d’administration. Les directeurs doivent participer activement à la surveillance et à la formation en matière de cybersécurité, et ne pas se contenter d’approuver les budgets.
Qui vous audite et comment choisir un OEC ?
Le choix de l’organisme d’évaluation de la conformité est une décision stratégique. Un OEC doit être à la fois accrédité par BELAC (ou un organisme national équivalent dans le cadre de la reconnaissance mutuelle de l’EA) et spécifiquement autorisé par le CCB pour les audits NIS2. Tous les OEC ne sont pas autorisés pour tous les niveaux de la CyFun.
Les Big Four (Deloitte Belgium, KPMG Belgium, PwC Belgium, EY Belgium) conviennent aux grandes multinationales ou aux organisations qui combinent CyFun et ISO 27001. Pour les entreprises moyennes de 50 à 250 employés, des organismes spécialisés tels que Brand Compliance, Bureau Veritas Belgium et Vinçotte offrent une expertise CyFun plus approfondie et des délais plus prévisibles.
| CAB (exemples, 2026) | Focus | Accréditation | Champ d’application de l’autorisation |
|---|---|---|---|
| Conformité de la marque | Antwerpen, mid-market | BELAC | CyFun Basic/Important |
| Bureau Veritas Belgique | Antwerpen, global | BELAC | ISO 27001/NIS2 |
| Vinçotte | Vilvoorde, technique | BELAC | ISO 27001/CyFun |
| Certification KPMG | Zaventem, entreprise | BELAC | ISO 27001/NIS2 |
| DQS Belgique | Bruxelles, normes | DAkkS | ISO 27001/NIS2 |
| EY CertifyPoint | Rotterdam, numérique | RvA | ISO 27001/NIS2 |
Demandez au moins trois devis. Posez des questions spécifiques sur l’expérience de la mise à jour CyFun 2025 et sur la connaissance de votre secteur. Le service d’inspection de la DGCCRF applique des évaluations de risques spécifiques au secteur, de sorte qu’un auditeur qui comprend votre secteur identifie les lacunes pratiques plutôt que théoriques.
Le calendrier d’audit en pratique
La plupart des organisations belges du marché intermédiaire sous-estiment le temps nécessaire à une évaluation de la conformité. L’étude du CCB cite un minimum de 1,5 jour-homme pour une vérification de base, mais la réalité pour une organisation de 200 personnes est beaucoup plus complexe.
| Phase d’audit | Durée de l’audit | Objectif |
|---|---|---|
| Préparation interne | 6-9 mois | Analyse des lacunes, élaboration d’une politique, collecte d’éléments probants |
| Cadrage de l’OEC | 1 mois | Accord contractuel, définition de l’étendue de l’audit |
| Étape 1 : examen de la documentation | 1-3 jours | Vérification des politiques par rapport aux exigences de CyFun |
| Étape 2 : audit sur place | 5 à 10 jours | Tests des contrôles, entretiens, inspections des systèmes |
| Rapport et révision | 2-4 semaines | Rédaction par l’auditeur, révision indépendante, soumission à la CCB |
| Remédiation (si nécessaire) | 3-6 mois | Correction des non-conformités |
La phase de préparation prend le plus de temps. Les organisations effectuent une analyse des lacunes par rapport aux contrôles de la CyFun, rédigent les politiques manquantes et rassemblent des dossiers de preuves. Les partenaires de service qui effectuent des simulations d’audit au cours de cette phase réduisent systématiquement la durée de l’audit sur site en signalant les problèmes avant l’arrivée des auditeurs officiels.
La phase sur place consiste à vérifier la sécurité physique, à interroger le personnel clé et à demander des démonstrations en direct des contrôles. Pour les organisations disposant de plusieurs sites ou d’environnements OT, la partie sur site peut à elle seule durer jusqu’à 10 jours.
Les organisations qui utilisent la plateforme SASE de Jimber réduisent la charge de travail liée à la collecte de preuves lors de la préparation. La journalisation centralisée, les enregistrements d’accès basés sur l’identité et les rapports sur l’état des appareils s’exportent à partir d’une console unique, au lieu de nécessiter un assemblage manuel à partir d’outils distincts.
La remédiation est la phase que la plupart des organisations négligent lorsqu’elles planifient leur calendrier. Si un auditeur identifie des non-conformités, vous disposez d’un délai spécifique pour y remédier avant qu’une déclaration de vérification finale ne soit émise. Pour les entités essentielles, le non-respect des délais de correction peut entraîner des mesures de surveillance de la part du service d’inspection de la DGCC.
Quels sont les éléments probants demandés par les auditeurs ?
En 2026, les auditeurs recherchent des « preuves substantielles validées par la direction ». Les documents relatifs aux politiques ne suffisent pas. L’organisation doit prouver que les politiques sont actives, appliquées et régulièrement révisées. Le CCB demande aux inspecteurs de se concentrer sur les « mesures clés » dérivées des modèles d’attaques belges réels.
Les dix principaux types de preuves demandées lors des audits importants ou essentiels de la CyFun :
1. Cadre de sécurité validé par la direction. Une stratégie de cybersécurité et une documentation sur la gestion des risques approuvées par le conseil d’administration. La preuve que les administrateurs ont examiné et approuvé la position de l’organisation en matière de risques et qu’ils la comprennent.
2. Déclaration d’applicabilité (SoA). Une liste complète de tous les contrôles mis en œuvre, leur niveau de maturité (1-5) et les preuves de leur efficacité.
3. Inventaire des actifs. Une liste complète et à jour des actifs informatiques et OT, y compris les services cloud, les appareils IoT et le matériel mobile, avec une propriété et une classification claires. C’est là que de nombreuses organisations du marché intermédiaire échouent en premier. Les plateformes comme Jimber qui incluent la vérification de la posture des appareils maintiennent un registre des actifs en direct comme un sous-produit des opérations normales, plutôt que de nécessiter un inventaire manuel séparé.
4. Architecture du réseau et preuve de segmentation. Diagrammes et journaux de configuration démontrant que les systèmes critiques sont isolés des réseaux généraux de bureau.
5. Contrôle d’accès et dossiers d’identité. Documentation des processus d’entrée et de sortie, preuves de l’application de l’AMF et examens réguliers de l’accès privilégié.
6. Journaux de détection et de réponse aux incidents. Preuve d’une surveillance opérationnelle et d’un cahier des charges documenté pour des menaces spécifiques.
7. Contrats avec les fournisseurs et les tiers. Exigences de sécurité imposées et contrôlées pour les fournisseurs de services essentiels, y compris les droits d’audit et les clauses de notification des incidents.
8. Gestion des vulnérabilités et journaux des correctifs. Des analyses régulières prouvent que les vulnérabilités critiques sont corrigées dans les délais impartis.
9. Résultats des tests de continuité des activités et de sauvegarde. Preuve documentée que les sauvegardes sont protégées contre les ransomwares et que leur restauration a été testée.
10. Dossiers de formation à la cybersécurité. Les registres de participation montrent que tous les membres du personnel, y compris les cadres supérieurs, ont suivi la formation obligatoire.
Les auditeurs demandent souvent des « preuves en direct » pendant la phase sur site : ils demandent à un administrateur de démontrer une politique en action ou un échantillon aléatoire de journaux à partir d’une date spécifique. Les organisations qui gèrent la sécurité au moyen d’une plateforme SASE unifiée produisent ces preuves beaucoup plus rapidement que celles qui établissent des corrélations entre les journaux de plusieurs outils.
Lacunes communes aux organisations belges du marché intermédiaire
Les recherches sur le cycle d’audit 2026 montrent qu’environ 84 % des organisations belges confrontées à une application active de la loi n’étaient pas totalement préparées à la vérification externe. Le manque de préparation est rarement lié à l’absence d’outils de sécurité, mais plutôt à des processus fragmentés et à un manque de documentation intégrée. Il s’agit plutôt de processus fragmentés et d’un manque de documentation intégrée.
Documentation de la chaîne d’approvisionnement. La lacune la plus fréquente relevée par les auditeurs. Les organisations peuvent avoir des systèmes internes sécurisés mais ne pas documenter la manière dont elles contrôlent la sécurité de leurs partenaires de services, de leurs fournisseurs de logiciels ou de leurs fournisseurs de services en nuage. L’article 21 de la NIS2 exige des attentes démontrables en matière de sécurité pour votre chaîne d’approvisionnement. Des DPA mises à jour et des annexes sur la sécurité dans les contrats des fournisseurs sont le minimum.
Des plans de réponse aux incidents périmés. De nombreuses organisations disposent d’une politique de réponse générale, mais ne disposent pas des manuels de jeu spécifiques et testés nécessaires pour respecter les fenêtres de rapport NIS2 de 24 heures et 72 heures. Les plans qui n’ont pas fait l’objet d’exercices au cours des 12 derniers mois obtiennent de mauvais résultats.
Découverte incomplète des actifs de l’OT. Les imprimantes, les capteurs IoT, les systèmes de gestion des bâtiments et les équipements industriels qui ne peuvent pas exécuter d’agents de sécurité restent les angles morts les plus courants. Les auditeurs vérifient les inventaires d’actifs par rapport à ce qu’ils observent sur le réseau. Le matériel NIAC de Jimber fournit un pont IT-OT documenté pour les appareils sans agent, comblant ainsi cette lacune avec des preuves d’isolation vérifiables.
Lacunes de l’AMF en matière d’outils administratifs. Les organisations qui appliquent l’AMF aux applications externes n’ont souvent pas d’application sur les consoles administratives internes et les outils d’infrastructure. Les auditeurs vérifient spécifiquement ce point.
Restauration de sauvegarde non testée. Il ne suffit pas d’avoir des sauvegardes. Les auditeurs demandent des preuves de restauration testées avec des résultats documentés. Les exercices trimestriels de restauration des applications critiques sont la norme attendue.
Incohérences dans la conservation des journaux. La DGCCRF exige que les journaux soient conservés pendant au moins six mois pour les besoins de l’analyse criminelle. De nombreuses organisations conservent des durées différentes d’un outil à l’autre, ce qui crée des lacunes que les auditeurs signalent immédiatement. La centralisation des logs via une plateforme SASE comme celle de Jimber élimine cette incohérence.
Déconnexion de la gouvernance. En vertu de l’article 20 de la NIS2, les organes de direction sont personnellement responsables. Les auditeurs cherchent à prouver que le conseil d’administration participe activement aux décisions relatives aux risques, et ne se contente pas d’approuver les rapports annuels.
Le coût de la certification CyFun
Le coût de la mise en conformité avec la CyFun varie en fonction de la complexité de l’organisation et du niveau d’assurance visé. Pour la plupart des organisations belges de taille moyenne, la voie CyFun est plus accessible et moins coûteuse qu’une certification ISO 27001 complète.
| Poste budgétaire | CyFun (fondamental/important) | ISO 27001 (champ d’application comparable) |
|---|---|---|
| Mise en œuvre interne | 5 000 À 30 000 EUROS | 15 000-60 000 EUROS |
| Honoraires de l’auditeur (vérification/cert) | EUR 1,000-15,000 | 5 000-25 000 EUR |
| Maintenance/surveillance annuelle | 500 À 5 000 EUR | 2 000 À 10 000 EUROS |
| Total du CTP estimé sur 3 ans | 10 000-60 000 EUROS | 30 000-120 000 EUROS |
Les coûts directs couvrent les honoraires de l’OEC pour l’audit lui-même. Les coûts indirects, y compris la préparation interne, la rédaction de la documentation et la consultance externe pour les analyses des lacunes, représentent la plus grande partie de ces coûts. Pour de nombreuses organisations belges, les subventions du VLAIO peuvent partiellement compenser ces coûts de préparation.
La variable la plus importante est la remédiation. Si votre infrastructure actuelle n’est pas en mesure de répondre à des exigences telles que la journalisation centralisée, la segmentation du réseau ou l’accès basé sur l’identité, le coût de la nouvelle technologie augmente considérablement. C’est là que les plateformes consolidées permettent de réaliser des économies mesurables. Une plateforme SASE unique qui couvre le contrôle d’accès, la sécurité web, la segmentation du réseau et la journalisation répond à de multiples exigences de CyFun par le biais d’un seul investissement, au lieu de nécessiter quatre ou cinq achats distincts. Le guide de l ‘architecture SASE explique comment ces composants s’intègrent.
Conséquences d’un échec de l’audit
L’échec d’un audit de la CyFun ou d’une inspection de la DGCC qui met en évidence une non-conformité importante entraîne des conséquences qui vont au-delà des amendes. La vue d’ensemble de la conformité NIS2 2026 couvre l’ensemble du cadre d’application. L’impact est financier, opérationnel et réputationnel.
La loi belge sur le NIS2 introduit des mesures administratives et des sanctions. Les entités essentielles s’exposent à des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel global. Les entités importantes risquent jusqu’à 7 millions d’euros ou 1,4 %. La CCB donne la priorité aux mesures correctives plutôt qu’aux amendes, mais les risques immédiats comprennent la suspension des déclarations de vérification, la disqualification des organisations pour les appels d’offres gouvernementaux et les contrats de la chaîne d’approvisionnement.
En vertu de l’article 20 de la NIS2, les membres de l’organe de direction peuvent être tenus personnellement responsables et interdits temporairement d’exercer des fonctions de direction. Le programme « Active Cyber Protection » de la CCB signifie que l’autorité de régulation est déjà au courant de nombreuses vulnérabilités grâce à ses propres analyses. Le fait de ne pas donner suite aux avertissements avant un audit est considéré comme un manque de diligence raisonnable.
L’attaque du ransomware AZ Monica en janvier 2026 a montré ce qui se passe lorsque les organisations de soins de santé belges sont confrontées simultanément à un cyberincident et à une surveillance réglementaire. Les conséquences opérationnelles d’une mauvaise préparation vont bien au-delà des amendes.
Comment SASE simplifie les preuves d’audit
Une plateforme Secure Access Service Edge (SASE) répond directement à plusieurs des exigences les plus difficiles en matière de collecte de preuves dans le cadre de CyFun. En intégrant l’accès basé sur l’identité, les contrôles de posture des appareils, la sécurité web et la journalisation centralisée dans une architecture cloud native unique, elle réduit l’effort manuel qui rend la préparation de l’audit si chronophage pour les équipes du marché intermédiaire.
| Capacité SASE | Cartographie des preuves CyFun/NIS2 | Avantages de l’audit |
|---|---|---|
| Enregistrement centralisé | Article 21 (détection et réaction) | Exportation des journaux d’accès en un seul clic, conservation pendant plus de 6 mois |
| Accès basé sur l’identité | Domaine de contrôle d’accès CyFun | Preuve du moindre privilège au niveau de l’application par utilisateur |
| Contrôles de la posture des appareils | Domaine de gestion des actifs CyFun | Preuve que seuls des appareils sécurisés et connus se connectent |
| Isolation du matériel NIAC | Domaine de sécurité du réseau CyFun | Passerelle IT-OT documentée pour les actifs de l’usine sans agent |
| Exportation d’une console unique | Gouvernance et responsabilité en matière d’audit | Réduction du temps passé par les auditeurs sur place |
| Résidence des données en Europe | Chevauchement du GDPR et de la CyFun | Les données restent sous la juridiction de l’UE |
L’architecture SASE de Jimber répond directement à ces besoins. La journalisation centralisée fournit une source unique de vérité pour toutes les tentatives d’accès, comme l’exige l’article 21 de la NIS2, sans qu’il soit nécessaire de déployer un SIEM distinct. L’accès basé sur l’identité démontre l’application du principe du moindre privilège au niveau de l’application. Pour les organisations ayant des activités industrielles, le matériel NIAC fournit des preuves physiques et vérifiables de l’isolation IT-OT.
La résidence des données en Europe est importante dans le contexte de l’audit. Les auditeurs qui évaluent la chaîne d’approvisionnement de vos fournisseurs trouvent moins de questions ouvertes lorsque votre plateforme de sécurité fonctionne sous la juridiction de l’UE de par sa conception. Les partenaires de service qui guident les clients belges dans la vérification signalent qu’un ensemble d’outils alignés localement réduit à la fois le temps de préparation et les frictions liées à l’audit.
La liste de contrôle de conformité NIS2 met en correspondance ces contrôles avec l’ensemble des attentes du CCB, y compris les exigences en matière de contrôle d’accès et de chaîne d’approvisionnement qui font trébucher la plupart des organisations du marché intermédiaire.
Questions fréquemment posées
Qu’est-ce qu’une évaluation de conformité CCB ?
Une évaluation de conformité CCB est un processus formel par lequel un organisme d’évaluation de la conformité indépendant et accrédité par BELAC vérifie qu’une organisation belge a mis en œuvre les contrôles de sécurité requis par le cadre des CyberFundamentals (CyFun). Il s’agit de la principale voie permettant aux entités importantes et essentielles de prouver leur conformité au NIS2 et de recevoir un label ou un certificat CyFun.
De quel niveau de CyFun mon organisation a-t-elle besoin ?
Votre niveau dépend de votre classification NIS2. Les entités essentielles des secteurs de l’annexe I (énergie, soins de santé, transports, infrastructure numérique) nécessitent une vérification de niveau Important ou Essentiel. Les entités importantes dans les secteurs de l’annexe II visent le niveau Important. De nombreuses organisations commencent par le niveau « Basic », qui constitue une première étape avant l’échéance de 2027.
Combien de temps dure un audit CyFun ?
Pour une organisation de 200 personnes, la préparation prend de 6 à 12 mois. L’audit formel comprend 1 à 3 jours d’examen de la documentation et 5 à 10 jours de vérification sur place, en fonction de la complexité des environnements informatiques et informatiques. La correction des non-conformités peut ajouter 3 à 6 mois.
Quel est le coût d’un audit CyFun pour une organisation belge de taille moyenne ?
Le coût total de possession pour un cycle CyFun de trois ans varie entre 10 000 et 60 000 euros. Il couvre les frais de vérification de l’OEC (1 000 à 15 000 euros), les coûts de mise en œuvre interne et la maintenance courante. Les subventions VLAIO peuvent compenser une partie des coûts de préparation pour les organisations éligibles.
Les plateformes SASE peuvent-elles contribuer à la mise en conformité avec la CyFun ?
Les plateformes SASE répondent directement à plusieurs exigences d’audit de la CyFun en fournissant une journalisation centralisée pour les preuves de détection, un accès basé sur l’identité pour la preuve du moindre privilège, des rapports sur la posture des appareils pour la gestion des actifs et l’isolation du réseau pour les preuves de segmentation. L’exportation à partir d’une console unique réduit l’assemblage manuel des preuves qui consomme la majeure partie du temps de préparation.
Que se passe-t-il si mon organisation échoue à un audit de la CyFun ?
Un manquement peut entraîner des amendes administratives (jusqu’à 10 millions d’euros pour les entités essentielles), la perte du label CyFun et l’exclusion des contrats de la chaîne d’approvisionnement. En vertu de la loi belge sur le NIS2, les membres de l’organe de gestion engagent leur responsabilité personnelle et peuvent être temporairement exclus de leurs fonctions s’ils ne remédient pas aux lacunes documentées en matière de sécurité.
Les organisations belges qui traitent l’évaluation de la conformité de la CyFun comme un exercice d’amélioration opérationnelle, et non comme une case à cocher de conformité, obtiennent de meilleurs résultats. Les organisations qui progressent le plus rapidement sont celles qui ont consolidé leur système de sécurité avant l’audit, réduisant ainsi le temps nécessaire à la collecte des preuves et le nombre de lacunes détectées par les auditeurs. Si votre équipe se prépare à une vérification externe ou aide ses clients à naviguer dans le processus, réservez une démo Jimber pour voir comment une console SASE unique correspond aux preuves que votre CAB demandera.
