CyberFundamentals : comprendre les quatre niveaux

CyberFundamentals (CyFun) est le référentiel du Centre pour la Cybersécurité Belgique (CCB) pour mettre en œuvre des mesures de cybersécurité, en particulier dans le cadre de NIS2. Ses exigences s’appuient sur des référentiels reconnus — NIST CSF, ISO/IEC 27001 et 27002, IEC 62443, CIS Controls. Il se décline en quatre niveaux, du plus accessible au plus exigeant.

Les quatre niveaux

Small est un point d’entrée : un ensemble limité de mesures clés, pensé pour les très petites structures. Basic constitue le socle qui protège contre les attaques les plus courantes ; le CCB le recommande au minimum à toute organisation située dans la chaîne d’approvisionnement d’une entité NIS2. Important relève le niveau d’assurance, à la mesure des entités importantes. Essential, enfin, vise l’état de l’art et s’adresse aux entités essentielles.

Basic, Important et Essential sont les trois niveaux d’assurance utilisés dans le cadre de NIS2 ; Small reste un palier d’initiation.

Quel niveau pour mon organisation

Le CCB met à disposition un outil d’évaluation des risques, appuyé sur des analyses génériques menées pour dix-sept secteurs, afin d’orienter le choix du niveau. En pratique, le statut NIS2 donne déjà une indication : une entité importante se positionne sur Basic ou Important ; une entité essentielle, sur Important ou Essential.

Vérification ou certification

La présomption de conformité à NIS2 s’obtient par vérification CyFun pour les niveaux Basic et Important, et par certification CyFun pour le niveau Essential. Les entités essentielles doivent atteindre le niveau Basic ou Important avant le 18 avril 2026, puis faire certifier le niveau requis avant le 18 avril 2027.

Choisir le bon niveau revient à calibrer l’effort sur le risque réel — ni sous-dimensionné, ni disproportionné.