CyFun (CyberFundamentals) : Basic, Important ou Essential — quel niveau pour votre PME ?

CyFun (CyberFundamentals) : Basic, Important ou Essential — quel niveau pour votre PME ?
Une fois qu'une PME a compris qu'elle est concernée par NIS2 (directement ou via ses clients), la question suivante est toujours la même : « concrètement, je dois faire quoi ? ». La réponse belge à cette question s'appelle **CyFun**, pour CyberFundamentals — le référentiel de cybersécurité développé par le Centre pour la Cybersécurité Belgique (CCB).
CyFun, c'est quoi exactement ?
CyFun est un ensemble de mesures de sécurité concrètes, organisées par niveau de maturité, que le CCB met à disposition des organisations belges — publiques et privées — pour structurer leur cybersécurité. Il a été conçu pour être **aligné avec les normes ISO/IEC 27001 et le NIST Cybersecurity Framework**, ce qui signifie que les mesures que vous mettez en place dans le cadre de CyFun ne sont pas une norme isolée : elles se retrouvent, avec le même vocabulaire de fond, dans les référentiels internationaux les plus utilisés. C'est un atout pour une PME qui voudrait, plus tard, aller vers une certification ISO 27001.
Les 4 niveaux de CyFun
CyFun propose une progression en quatre niveaux, pensée pour s'adapter à la taille et à la criticité de l'organisation plutôt que d'imposer un standard unique à tout le monde :
- **Small** — le socle gratuit, pensé pour les micro-entreprises et petites structures.
- **Basic** — l'hygiène de sécurité de base, adaptée à la majorité des PME.
- **Important** — un niveau renforcé, pour les organisations à risque plus élevé ou soumises à des exigences contractuelles/réglementaires plus strictes.
- **Essential** — le niveau le plus complet, destiné aux organisations les plus critiques.
Small : le socle gratuit à 7 mesures
Le niveau **Small** est gratuit et se limite à **7 mesures fondamentales**. Il a été pensé pour donner à n'importe quelle très petite structure un point de départ accessible, sans expertise technique poussée ni budget dédié : sauvegardes, mots de passe, mises à jour, antivirus, pare-feu de base, sensibilisation minimale et gestion des accès. Ce n'est pas suffisant pour répondre pleinement à NIS2 si vous êtes une entité essentielle ou importante, mais c'est un excellent point d'entrée pour une TPE qui n'a encore rien formalisé.
Basic, Important, Essential : jusqu'où aller ?
Les trois niveaux suivants élargissent progressivement le périmètre des mesures couvertes — gouvernance, gestion des identités et des accès, protection des données, détection des incidents, continuité d'activité, gestion des fournisseurs, etc. — et le degré d'exigence attendu sur chacune (une mesure peut passer d'une simple bonne pratique documentée à un contrôle formalisé, testé et audité).
Plutôt que de retenir des chiffres précis de mesures par niveau (qui évoluent avec les versions du référentiel), retenez le principe : **Basic** couvre l'hygiène de sécurité qu'on attend de toute PME sérieuse aujourd'hui ; **Important** ajoute une couche de robustesse et de formalisation pour les organisations dont l'activité ou les clients l'exigent ; **Essential** vise une maturité proche de ce qu'on attend des grandes infrastructures critiques.
Quel niveau choisir pour votre PME
Il n'y a pas de « bon niveau » dans l'absolu — seulement le niveau adapté à votre situation :
- Vous êtes une **TPE non concernée directement par NIS2**, sans exigence client particulière : commencez par **Small**, c'est gratuit et déjà structurant.
- Vous êtes une **PME sous-traitante d'une entité essentielle ou importante**, ou vous visez des marchés publics/contrats exigeants : visez au minimum **Basic**, voire **Important** si le donneur d'ordre le demande explicitement.
- Vous êtes vous-même une **entité importante** au sens de NIS2 : **Basic** est un minimum, **Important** est souvent le niveau réellement attendu.
- Vous êtes une **entité essentielle**, ou votre activité est critique pour vos clients (santé, énergie, finance, infrastructures) : visez **Important**, voire **Essential** selon votre exposition au risque.
Le lien entre CyFun et NIS2
CyFun n'est pas une obligation légale en tant que telle — NIS2 est la loi, CyFun est l'outil opérationnel recommandé par le CCB pour la mettre en œuvre concrètement. En pratique, s'appuyer sur CyFun est aujourd'hui la voie la plus balisée pour une PME belge qui veut démontrer, de façon crédible et reconnue, qu'elle gère ses risques cyber conformément aux attentes de NIS2. Une vérification officielle du niveau atteint peut ensuite être délivrée par un organisme de certification **accrédité BELAC** — une étape distincte de l'accompagnement à la mise en conformité.
Comment progresser sans tout bloquer
L'erreur la plus fréquente est de vouloir viser directement le niveau « Essential » par prudence, et de s'épuiser sur des mesures disproportionnées par rapport au risque réel de l'entreprise. L'approche qui fonctionne, sur le terrain, est progressive : un diagnostic honnête du niveau de départ, un choix de niveau cible réaliste compte tenu de votre statut NIS2 et de vos contraintes (budget, équipe, délais contractuels), puis un plan de remédiation qui traite d'abord les écarts les plus risqués.
C'est exactement le rôle que joue Smidjan auprès des PME wallonnes : un audit d'écart par rapport au référentiel CyFun, un niveau cible argumenté, et un accompagnement à la remédiation — sans jamais se substituer à la vérification officielle, qui reste du ressort des organismes accrédités BELAC.
Besoin d'accompagnement ?
Smidjan vous aide à mettre en place ces solutions pour votre entreprise en Belgique.


