La date limite est fixée au 18 avril 2026. Chaque organisation belge enregistrée sous NIS2 doit transmettre son auto-évaluation CyberFundamentals (CyFun) ou sa documentation ISO 27001 au CCB avant cette date. Selon l’état de la cybersécurité du marché intermédiaire en Belgique, environ un quart des entités enregistrées n’ont pas encore commencé la mise en œuvre structurée.
Le problème n’est pas la sensibilisation. La plupart des responsables informatiques savent que CyFun existe. Le problème est la documentation : savoir exactement ce qu’il faut soumettre, quelles preuves collecter par fonction et comment les rassembler sans une équipe dédiée à la conformité. La charge de travail diminue considérablement lorsque votre pile de sécurité est consolidée au lieu d’être répartie entre cinq ou six outils distincts. Ce guide vous accompagne pas à pas dans le processus d’évaluation.
Qu’est-ce qu’une auto-évaluation CyFun ?
CyFun (CyberFundamentals) est le cadre national de cybersécurité de la Belgique, développé par le Centre for Cybersecurity Belgium (CCB). Il traduit les obligations du NIS2 en contrôles techniques et organisationnels mesurables. L’auto-évaluation est le document structuré que les organisations enregistrées dans le NIS2 soumettent au CCB pour démontrer leur maturité en matière de sécurité. Elle utilise un outil Excel standardisé fourni par le CCB, notant chaque contrôle sur une échelle de maturité alignée sur le système d’évaluation de la conformité.
Ce que vous devez soumettre d’ici avril 2026 (et à qui)
Toutes les soumissions passent par le portail Safeonweb@Work. L’inscription devrait déjà être terminée puisque la date limite d’inscription est passée en mars 2025.
Vous disposez de deux voies de conformité. Choisissez celle qui correspond à votre situation.
Piste 1 : CyFun. Soumettre une déclaration de vérification pour le niveau CyFun Basic ou Important. Il s’agit de compléter l’outil d’auto-évaluation du CCB et de démontrer que vous disposez des contrôles requis aux niveaux de maturité visés. Pour la plupart des entreprises de taille moyenne, il s’agit de la solution la plus rapide et la plus abordable.
Piste 2 : ISO 27001. Soumettez votre politique de sécurité de l’information, votre champ d’application et votre déclaration d’applicabilité (SoA) à la DGCC. Cette voie est intéressante si vous avez déjà obtenu la certification ISO 27001 ou si vous êtes sur le point de l’obtenir.
Les deux voies partagent la même date butoir : le 18 avril 2026. D’ici avril 2027, les organisations doivent rendre compte des progrès réalisés en vue d’une conformité totale au niveau CyFun qui leur a été attribué.
La distinction entre les types d’entités est importante pour la supervision. Les entités essentielles dans des secteurs tels que l’énergie, les soins de santé et l’infrastructure numérique sont soumises à des audits proactifs et à des évaluations de conformité obligatoires par un organisme d’évaluation de la conformité (OEC) accrédité par BELAC. Les entités importantes font l’objet d’une supervision réactive (ex post), mais doivent néanmoins soumettre leur auto-évaluation. Pour un aperçu complet des obligations de conformité au NIS2, y compris l’enregistrement, les délais de déclaration et les responsabilités au niveau du conseil d’administration, consultez notre guide séparé.
Les niveaux du CyFun expliqués : quels sont ceux qui s’appliquent à votre organisation ?
L’outil de sélection du CCB détermine le niveau d’assurance requis en fonction du secteur, de la taille de l’organisation et de l’impact sociétal d’un éventuel cyberincident. Il existe quatre niveaux, chacun s’appuyant sur le précédent.
| Niveau CyFun | Contrôles | Classification NIS2 | Délai de vérification |
|---|---|---|---|
| Petit | ~23 | Micro-entités | Volontaires |
| De base | ~34 | Entités importantes (point de départ) | Avril 2026 |
| Important | ~99 supplémentaires | Entités importantes (champ d’application complet) | avril 2027 |
| Essentiel | ~85 supplémentaires par rapport à Important | Entités essentielles | Avril 2027 |
La plupart des entreprises de taille moyenne, comptant entre 50 et 400 employés, commenceront par le niveau de base. Les 34 contrôles du niveau de base couvrent les éléments fondamentaux : gestion des accès, gestion des correctifs, procédures de sauvegarde et détection des incidents. Le CCB a déclaré que le niveau de base à lui seul couvre environ 82% des types d’attaques documentés dans les profils de menaces de CERT.be.
Le cadre s’aligne sur le NIST CSF 2.0. L’édition 2025 a ajouté la gouvernance en tant que sixième fonction essentielle, aux côtés de l’identification, de la protection, de la détection, de la réponse et de la récupération. Si vous avez déjà travaillé avec les contrôles NIST, ISO 27001 ou CIS, de nombreuses exigences de la CyFun vous sembleront familières. Le CCB fournit des documents de correspondance qui recoupent les contrôles CyFun avec les quatre cadres.
Quels sont les éléments probants attendus par les auditeurs pour chaque fonction de CyFun ?
C’est là que la plupart des organisations sous-estiment l’effort à fournir. Un auditeur de l’OEC ne se contente pas de vous demander si vous avez mis en place des mesures de sécurité. Il vous demande de le prouver. Vous trouverez ci-dessous ce qu’il attend par fonction CyFun, avec des exemples concrets de preuves acceptables.
Gouverner
Cette fonction a été ajoutée dans l’édition 2025 pour s’aligner sur le NIST CSF 2.0. Elle couvre votre structure de gouvernance en matière de cybersécurité : qui est responsable, quelles sont les politiques existantes et comment la sécurité est intégrée dans le processus décisionnel de l’organisation.
Les auditeurs attendent des éléments probants : une politique de cybersécurité documentée et approuvée par la direction, un cadre de gestion des risques avec une définition de l’appétit pour le risque, des rôles et responsabilités assignés en matière de sécurité (RSSI, DPO ou équivalent), des comptes rendus de réunions montrant que le conseil d’administration discute de la cybersécurité, et des exigences documentées en matière de sécurité de la chaîne d’approvisionnement pour les fournisseurs tiers.
Les exigences en matière de responsabilité du conseil d’administration du NIS2 rendent cette fonction particulièrement importante. La direction est personnellement responsable de l’approbation et de la supervision des mesures de cybersécurité.
Identifier
Dressez la carte de votre environnement numérique. Quels sont les systèmes, les données et les processus critiques pour l’entreprise ? Les auditeurs veulent avoir la preuve que vous savez ce que vous protégez.
Les auditeurs attendent comme preuves : un inventaire du matériel et des logiciels, un schéma topologique du réseau montrant tous les segments et les points de connexion, une classification des niveaux de sensibilité des données, une évaluation des risques documentée selon une méthodologie reconnue et un registre des services tiers ayant accès à votre réseau ou à vos données.
Protéger
Il s’agit de la fonction la plus importante de la CyFun et celle où les contrôles techniques dominent. Les auditeurs veulent la preuve que vos protections sont actives, appliquées et enregistrées.
Les auditeurs attendent des preuves : des journaux de contrôle d’accès indiquant les permissions par utilisateur et par application avec l’application du principe du moindre privilège. Des plateformes comme Jimber les génèrent automatiquement à partir du module ZTNA, éliminant ainsi la corrélation manuelle qui consomme des semaines de préparation. En outre, les registres d’authentification multifactorielle, les registres de gestion des correctifs indiquant les mises à jour opportunes, les calendriers de sauvegarde avec des procédures de restauration testées, les politiques de cryptage des données au repos et en transit, les preuves de segmentation du réseau indiquant l’isolation entre les segments IT et OT, et les registres d’achèvement de la formation à la sensibilisation à la sécurité.
Pour les organisations disposant d’appareils sans agent tels que des imprimantes, des capteurs IoT ou des équipements industriels, le guide des vérifications de la posture des appareils explique comment la vérification des appareils s’articule directement avec les contrôles de CyFun Protect. Le matériel NIAC de Jimber fournit des journaux d’isolation au niveau du réseau pour ces appareils, couvrant une zone de contrôle que les outils endpoint traditionnels ne peuvent tout simplement pas atteindre.
Détecter
Les auditeurs veulent la preuve que vous pouvez identifier les événements de sécurité en temps réel, et pas seulement que vous avez installé des outils.
Les auditeurs attendent des preuves : des journaux de surveillance continue montrant une détection active des anomalies, une configuration SIEM ou d’agrégation de journaux avec des règles d’alerte définies, des enregistrements de détection d’intrusion, des seuils documentés pour l’escalade, et des preuves d’un examen régulier des journaux. L’enregistrement centralisé de Jimber capture les événements d’accès, les changements de politique et l’état de la posture de l’appareil à partir d’une seule console, ce qui simplifie considérablement l’ensemble des preuves par rapport à l’extraction des journaux à partir de cinq tableaux de bord distincts.
Répondre
Votre capacité de réaction en cas d’incident. Les auditeurs vérifient que vous disposez d’un plan et que vous l’avez testé.
Les auditeurs attendent des éléments probants : un plan de réponse aux incidents documenté avec des rôles définis, des modèles de communication pour les exigences de rapport NIS2 dans les 24 heures et 72 heures, des enregistrements d’exercices sur table ou de tests de simulation, des rapports d’examen post-incident (le cas échéant) et des procédures d’escalade, y compris la notification au CSIRT de l’OCC.
L’affaire du ransomware de l’hôpital belge est un exemple concret de ce qui se passe lorsque les procédures de réponse aux incidents échouent sous la pression. Sept patients ont dû être transférés d’urgence parce qu’il n’était pas possible de les contenir au niveau du réseau.
Récupérer
La façon dont vous rétablissez les opérations normales après un incident. Cette fonction est souvent négligée dans les auto-évaluations.
Les auditeurs attendent des éléments probants : des plans de continuité des activités avec des objectifs de délai de reprise, les résultats des tests de restauration des sauvegardes avec les dates et les résultats, la documentation sur les enseignements tirés d’incidents ou d’exercices passés, des plans de communication pour les parties prenantes pendant la reprise et des éléments prouvant que les procédures de reprise sont révisées et mises à jour chaque année.
Cinq erreurs qui font échouer votre évaluation CyFun
1. Traiter l’auto-évaluation comme un exercice de cases à cocher. L’outil Excel de la DGCCRF demande des notes de maturité pour chaque contrôle. Si vous inscrivez « 3 » partout sans preuve à l’appui, vous vous exposez à des problèmes lorsque l’auditeur de l’OEC demandera des preuves. Soyez honnête dans votre notation. Un score faible accompagné d’un plan d’amélioration documenté vaut mieux qu’un score élevé que vous ne pouvez pas justifier.
2. Commencer par la technologie plutôt que par la gouvernance. De nombreux responsables informatiques passent directement aux contrôles techniques et négligent la fonction de gouvernance. Sans une politique de cybersécurité documentée, des responsabilités attribuées et l’approbation du conseil d’administration, vos mesures techniques n’ont pas la base organisationnelle que les auditeurs vérifient en premier lieu.
3. Ignorer les dispositifs sans agent. Les imprimantes, les capteurs IoT, les systèmes de gestion des bâtiments et les équipements de production qui ne peuvent pas exécuter d’agents de sécurité sont les éléments les plus souvent oubliés dans les inventaires d’actifs. S’ils sont sur votre réseau, ils sont dans le champ d’application. S’ils ne figurent pas dans votre inventaire, votre fonction d’identification est incomplète.
4. S’appuyer sur un trop grand nombre d’outils déconnectés les uns des autres. C’est là que les entreprises de taille moyenne perdent des semaines. Si votre contrôle d’accès se trouve dans un outil, votre filtrage web dans un autre, votre segmentation de réseau dans un troisième et votre journalisation dans un quatrième, vous devez extraire, corréler et présenter des preuves provenant de ces quatre outils. Chaque outil a son propre format d’exportation, sa propre politique de conservation, sa propre terminologie. Jimber consolide le contrôle d’accès, la sécurité web, la segmentation du réseau et la journalisation en une seule plateforme auditable. Une seule source de preuves au lieu de cinq tableaux de bord distincts qui ne sont pas corrélés.
5. Attendre que l’auditeur vous dise ce qui manque. Les auditeurs de l’OEC vérifient votre auto-évaluation. Ils ne la préparent pas pour vous. Les organisations qui soumettent une auto-évaluation pleine de lacunes et qui s’attendent à ce que l’auditeur les guide pour les corriger finissent par payer pour des cycles d’audit supplémentaires et des délais non respectés. Utilisez l’outil d’auto-évaluation de la DGCCRF dès le début, évaluez-vous honnêtement et comblez les lacunes avant de faire appel à un OEC.
Comment votre architecture de sécurité détermine votre expérience d’évaluation
C’est la partie dont personne ne parle. Votre choix d’architecture de sécurité n’affecte pas seulement votre posture de sécurité. Il détermine à quel point votre évaluation CyFun sera douloureuse ou facile.
Envisagez deux scénarios.
Scénario A : pile fragmentée. Vous utilisez un pare-feu d’un fournisseur, un VPN d’un autre, un filtrage web d’un troisième, un outil distinct pour les points finaux et une solution de journalisation autonome. Pour préparer votre dossier de preuves CyFun, vous devez documenter cinq contrats de fournisseurs pour votre évaluation de la chaîne d’approvisionnement. Vous devez extraire les journaux d’accès du VPN, les enregistrements de filtrage web du SWG, les preuves de segmentation du réseau du pare-feu et les données d’événements de l’enregistreur. Ensuite, vous les mettez en corrélation manuellement pour démontrer que vos fonctions de protection et de détection fonctionnent ensemble. Cela prend des semaines, voire des mois, pour une équipe de deux ou trois personnes.
Scénario B : plateforme SASE consolidée. Vous utilisez la plateforme SASE de Jimber avec ZTNA, SWG, FWaaS et SD-WAN dans une seule console. Les journaux d’accès, les enregistrements de sécurité web, les politiques de segmentation et les données d’événements proviennent d’une seule source. Un seul contrat de fournisseur pour la documentation de la chaîne d’approvisionnement. Une piste d’audit. Un seul jeu de configuration à prouver. Le temps de préparation passe de plusieurs mois à quelques semaines.
Cela n’a rien de théorique. Un gestionnaire de fortune belge a réduit ses coûts de 58 % après avoir consolidé un système de sécurité fragmenté sur la plateforme Jimber. Une grande partie de ces économies provient de la simplification des rapports de conformité. Les preuves qui nécessitaient auparavant une corrélation manuelle entre plusieurs outils proviennent désormais d’une piste d’audit unique regroupant les versions des politiques, les journaux d’accès et les enregistrements de la posture des appareils en un seul endroit.
La plateforme SASE de Jimber s’adapte directement aux contrôles CyFun pour les fonctions de protection, de détection et de réponse. L’outil de conformité CRACy montre quels contrôles votre configuration actuelle satisfait déjà et où des lacunes subsistent. Pour les responsables informatiques qui préparent leur première évaluation CyFun, cela transforme un exercice de collecte de preuves de plusieurs semaines en une vue de tableau de bord.
L’évaluation elle-même ne change pas en fonction de votre architecture. Les contrôles sont les mêmes. Les exigences en matière de preuves sont les mêmes. Mais l’effort nécessaire pour produire ces preuves varie énormément selon que vos données de sécurité se trouvent à un seul endroit ou à cinq.
Questions fréquemment posées
Que signifie CyFun ?
CyFun est l’abréviation de CyberFundamentals, le cadre national belge de cybersécurité développé par le Centre for Cybersecurity Belgium (CCB). Il fournit un ensemble structuré de contrôles de sécurité alignés sur NIST CSF 2.0, ISO 27001, CIS Controls et IEC 62443. Ce cadre est le principal moyen dont dispose la Belgique pour démontrer sa conformité à la norme NIS2.
CyFun est-il obligatoire pour toutes les entreprises belges ?
Pas directement. La certification CyFun (ou une certification ISO 27001 équivalente) est obligatoire pour les organisations qui relèvent de la loi belge NIS2 en tant qu’entités essentielles ou importantes. Il s’agit d’organisations de 18 secteurs désignés qui atteignent des seuils de taille de 50 employés ou plus ou un chiffre d’affaires annuel supérieur à 10 millions d’euros. Toutefois, l’effet d’entraînement est plus large. Les entités NIS2 sont tenues d’évaluer la sécurité dans l’ensemble de leur chaîne d’approvisionnement, ce qui signifie que les fournisseurs et les partenaires de services sont de plus en plus confrontés aux exigences de la CyFun par le biais d’obligations contractuelles, même s’ils ne sont pas directement concernés.
Quelle est la différence entre CyFun et ISO 27001 ?
Tous deux sont acceptés par le CCB comme preuve de la conformité à la norme NIS2. CyFun est spécialement conçu pour le contexte belge, son utilisation est gratuite et il fournit un outil d’auto-évaluation structuré avec une notation claire de la maturité. ISO 27001 est une norme internationale qui nécessite une certification formelle par un organisme accrédité, ce qui est plus coûteux et prend plus de temps. Pour les entreprises de taille moyenne qui n’ont pas de certification ISO, CyFun est généralement la solution la plus rapide et la plus rentable. Le CCB fournit des documents de correspondance qui montrent comment les deux cadres s’alignent. Pour une analyse détaillée contrôle par contrôle, consultez notre liste de contrôle complète de la conformité NIS2.
Une plateforme SASE peut-elle contribuer à la mise en conformité avec la CyFun ?
Oui. Une plateforme SASE unifiée comme Jimber génère les preuves de contrôle d’accès, de segmentation de réseau et de journalisation centralisée que les fonctions Protect et Detect de CyFun requièrent. Au lieu d’extraire des preuves de cinq outils distincts, vous les exportez à partir d’une seule console avec un formatage cohérent et des données d’événements corrélées. CRACy fait correspondre votre configuration aux contrôles spécifiques de CyFun, en montrant quelles exigences votre configuration actuelle satisfait déjà et où des lacunes subsistent. Cela ne remplace pas l’auto-évaluation elle-même, mais réduit considérablement l’effort de collecte de preuves.
Que se passe-t-il si je ne respecte pas la date limite d’avril 2026 ?
Le CCB peut imposer des amendes administratives et des instructions contraignantes. Pour les entités essentielles, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel global, le montant le plus élevé étant retenu. Pour les entités importantes, le maximum est de 7 millions d’euros ou de 1,4 % du chiffre d’affaires. Outre les sanctions financières, la DGCC peut suspendre temporairement les certifications ou les autorisations, divulguer publiquement les manquements à la conformité et, en cas de négligence répétée, interdire temporairement à des personnes d’exercer des fonctions de direction. L’amende est doublée en cas de récidive dans les trois ans.
Combien de temps faut-il pour se préparer à une évaluation CyFun ?
Cela dépend de votre point de départ et de votre architecture de sécurité. Avec une plateforme de sécurité consolidée qui centralise la journalisation, le contrôle d’accès et la gestion des politiques, la préparation au niveau de base prend généralement quelques semaines. Avec des outils fragmentés et une corrélation manuelle des preuves, il faut des mois. L’investissement en temps le plus important ne concerne généralement pas les contrôles techniques eux-mêmes, mais la documentation relative à la gouvernance : rédaction de la politique de cybersécurité, formalisation de l’évaluation des risques et documentation des procédures de réponse aux incidents. Commencez par gouverner et identifier. Les preuves techniques suivent.
La date limite est dans quelques semaines. Si vous n’avez pas encore commencé votre auto-évaluation CyFun, c’est maintenant qu’il faut le faire. La plateforme SASE de Jimber fournit les journaux d’accès centralisés, les preuves de segmentation et les enregistrements de la posture des appareils dont les fonctions Protect et Detect de CyFun ont besoin, le tout à partir d’une seule console. L’outil CRACy compare votre configuration actuelle aux contrôles de CyFun afin que vous puissiez voir exactement où vous en êtes. Commencez par notre liste de contrôle complète de la conformité NIS2 pour comprendre les contrôles, puis réservez une démonstration pour voir comment la consolidation de la plateforme transforme la préparation de l’évaluation d’un projet de plusieurs mois en une tâche gérable.
