ISO 27001 ou CyberFundamentals : quel référentiel choisir ?

En Belgique, deux référentiels permettent de démontrer la conformité à NIS2 : la norme internationale ISO/IEC 27001 et le référentiel CyberFundamentals (CyFun) du Centre pour la Cybersécurité Belgique (CCB). Le CCB les reconnaît à parité — l’objectif affiché est de placer toutes les entités sur un pied d’égalité. Le choix dépend du contexte.

ISO/IEC 27001

ISO/IEC 27001 est la norme internationale de management de la sécurité de l’information. Elle repose sur une approche par les risques, une déclaration d’applicabilité (SoA) et une certification délivrée par un organisme accrédité indépendant. Son principal atout est sa reconnaissance internationale, utile face à des clients ou partenaires hors de Belgique.

CyberFundamentals

CyFun est le référentiel belge du CCB. Il est gratuit, gradué en quatre niveaux, et directement aligné sur NIS2 ; ses mesures clés sont dérivées d’attaques réellement observées en Belgique. Il offre un point de départ plus rapide, calibré au risque.

Pour la conformité NIS2

La présomption de conformité s’obtient par vérification CyFun (niveaux Basic ou Important), par certification CyFun (niveau Essential), ou par certification ISO/IEC 27001 — à condition que le périmètre et la déclaration d’applicabilité soient jugés acceptables par le CCB. Concrètement, la SoA doit couvrir les exigences du niveau CyFun visé, ce qui se démontre au moyen d’une table de correspondance ; le service d’inspection du CCB vérifie cette équivalence, avec une attention particulière aux mesures clés.

Comment trancher

Une organisation déjà certifiée ISO 27001, ou tournée vers l’international, a intérêt à capitaliser sur cette norme. Une organisation qui part d’un cadre belge et recherche une montée graduée et économique trouvera dans CyFun une voie plus directe. Les deux ne s’excluent pas — et le bon choix se décide à partir du périmètre réel et des obligations applicables.