CyFun ou ISO/IEC 27001 : que choisir pour répondre à NIS2 ?

CyFun ou ISO/IEC 27001 : que choisir pour répondre à NIS2 ?
Quand une PME wallonne commence à s'intéresser sérieusement à sa conformité NIS2, elle tombe rapidement sur deux noms de référentiels : **CyFun**, le cadre belge du CCB, et **ISO/IEC 27001**, la norme internationale de management de la sécurité de l'information. La question revient presque systématiquement : lequel choisir ? La réponse honnête est qu'il ne s'agit pas vraiment d'un choix binaire, mais d'une question de point de départ et d'objectif.
Deux référentiels, un même objectif : la sécurité
CyFun et ISO 27001 poursuivent le même but — réduire les risques cyber d'une organisation de façon structurée et démontrable — mais avec des philosophies et des publics différents. L'un est né dans un contexte réglementaire belge et pensé pour être accessible aux PME ; l'autre est un standard international générique, utilisé aussi bien par des multinationales que par des PME, mais avec un formalisme plus lourd.
ISO/IEC 27001 : la norme internationale de référence
ISO/IEC 27001 impose la mise en place d'un **système de management de la sécurité de l'information (SMSI)** complet : politique de sécurité formalisée, gestion documentée des risques, amélioration continue, audits internes, revue de direction. La certification est délivrée par un **organisme de certification accrédité**, à l'issue d'un audit externe formel, et doit être renouvelée périodiquement.
C'est un référentiel puissant et reconnu mondialement — souvent exigé dans des appels d'offres internationaux ou par de grands donneurs d'ordre — mais son coût et sa charge de gestion documentaire peuvent être disproportionnés pour une PME qui cherche avant tout à répondre, de façon proportionnée, à ses obligations NIS2 belges.
CyFun : le référentiel belge pensé pour NIS2
CyFun (CyberFundamentals) a été développé par le CCB spécifiquement pour donner aux organisations belges — PME comprises — un chemin réaliste vers un bon niveau de cybersécurité, avec une entrée en matière progressive (niveaux Small, Basic, Important, Essential) et un niveau gratuit accessible même sans budget. C'est le référentiel opérationnel que le CCB recommande pour structurer la mise en conformité aux exigences de gestion des risques imposées par NIS2.
CyFun et ISO 27001 sont alignés — voici ce que ça change
Le point clé, souvent méconnu, est que **CyFun a été construit en alignement avec ISO/IEC 27001 et le NIST Cybersecurity Framework**. En pratique, cela signifie que les mesures mises en œuvre dans le cadre de CyFun ne sont pas un travail « perdu » si votre organisation grandit et vise un jour une certification ISO 27001 : les contrôles, le vocabulaire et la logique de gestion des risques se retrouvent largement d'un référentiel à l'autre. Ce n'est pas un jeu à somme nulle entre les deux — c'est une base commune sur laquelle capitaliser.
Quel référentiel pour votre PME ?
Quelques repères pour trancher, selon votre situation :
- Votre priorité est de **répondre à NIS2 de façon proportionnée**, sans viser un marché international exigeant une certification ISO spécifique : **CyFun** est le point d'entrée logique, en particulier via ses niveaux Small ou Basic.
- Vos **clients ou appels d'offres exigent explicitement une certification ISO 27001** (fréquent dans certains secteurs industriels, IT ou à l'export) : il faudra viser **ISO 27001**, quel que soit votre point de départ CyFun.
- Vous êtes une **entité essentielle ou importante** avec une exposition forte : viser un **niveau CyFun élevé (Important/Essential)** peut suffire à démontrer une conformité NIS2 solide, sans nécessairement passer par une certification ISO complète — sauf exigence contractuelle spécifique.
La complémentarité : commencer par CyFun, garder ISO en ligne de mire
Pour la grande majorité des PME wallonnes, la démarche la plus pragmatique est de **commencer par CyFun** : c'est gratuit ou peu coûteux à l'entrée, cela répond directement aux attentes belges de NIS2, et l'alignement avec ISO 27001 signifie que rien n'est perdu si l'entreprise a, plus tard, besoin d'une certification ISO pour des raisons commerciales. C'est une trajectoire raisonnable : maturité croissante d'abord, certification internationale ensuite si le besoin se confirme.
Notre recommandation
Chez Smidjan, nous recommandons systématiquement à nos clients PME de démarrer par un audit d'écart CyFun : c'est le chemin le plus direct vers une conformité NIS2 crédible, avec un coût et une charge de gestion proportionnés à la taille de l'entreprise. Nous vous aidons à mener cet audit, à prioriser la remédiation, et à évaluer honnêtement si une démarche ISO 27001 complète se justifie dans votre cas. Nous ne délivrons pas nous-mêmes de certification CyFun ou ISO 27001 — ces vérifications officielles relèvent d'organismes accrédités BELAC ou de certificateurs ISO agréés — mais nous vous amenons dans les meilleures conditions possibles jusqu'à cette étape.
Besoin d'accompagnement ?
Smidjan vous aide à mettre en place ces solutions pour votre entreprise en Belgique.


