Aller au contenu
arrow_back Tous les articles
· 7 min de lecture
Par Arnaud de Makeset

Cadre cybersécurité pour PME : NIST CSF 2.0 + CyFun

Quel cadre cybersécurité une PME doit-elle utiliser ? NIST CSF 2.0 est le standard mondial. Il est gratuit, indépendant des fournisseurs, et s'adapte d'une boîte de 5 personnes à une multinationale. En Belgique, le CCB (Centre pour la cybersécurité Belgique) a construit CyberFundamentals (CyFun) sur NIST CSF. Cy...

Cybersecurity Framework for SMBs: NIST CSF 2.0 + CyFun

Quel cadre cybersécurité une PME doit-elle utiliser ? NIST CSF 2.0 est le standard mondial. Il est gratuit, indépendant des fournisseurs, et s'adapte d'une boîte de 5 personnes à une multinationale. En Belgique, le CCB (Centre pour la cybersécurité Belgique) a construit CyberFundamentals (CyFun) sur NIST CSF. CyFun traduit le cadre en contrôles pratiques que vous pouvez réellement implémenter. Commencez par les 34 contrôles de CyFun Basic. Ils stoppent 82% des attaques documentées dans les profils d'incidents CERT - et ils vous mettent directement sur la route de la conformité NIS2.

Si vous gérez une PME et qu'on vous dit "implémentez un cadre cybersécurité", votre première réaction est probablement : par où commencer ? Il existe des dizaines de cadres - ISO 27001, NIST, CIS Controls, COBIT, SOC 2. C'est noyant.

Voici la version courte : commencez par NIST CSF 2.0. Il est gratuit, open-source, maintenu par le National Institute of Standards and Technology américain, et utilisé partout dans le monde quelle que soit la taille des organisations. En Belgique, le CCB (Centre pour la cybersécurité Belgique) a construit le cadre CyberFundamentals (CyFun) au-dessus de NIST CSF. CyFun vous donne un chemin pratique et auditable vers la conformité - y compris la conformité NIS2.

Ce guide explique les deux cadres et comment ils fonctionnent ensemble.

language NIST CSF 2.0 - le standard mondial (et il est gratuit)

NIST CSF 2.0 est sorti en février 2024, en remplacement de la version 1.1. C'est le cadre cybersécurité le plus largement adopté au monde. Le document complet est disponible gratuitement : NIST CSF 2.0 (PDF).

NIST a aussi publié un guide de démarrage rapide pour PME (PDF) spécifiquement pour les organisations qui n'ont pas d'équipe sécurité dédiée. Il vaut le coup d'œil - court et pratique.

CSF 2.0 n'est pas une checklist. C'est un cadre de gestion des risques que vous adaptez à votre taille et votre contexte. Un cabinet comptable de 10 personnes et une entreprise manufacturière de 200 personnes l'implémenteront différemment. C'est précisément l'intérêt de cette flexibilité.

Des organisations allant de la startup de 5 personnes au Fortune 500 l'utilisent. Les gouvernements le citent dans la réglementation. Le cadre belge CyFun est construit dessus. Si vous apprenez un seul cadre, que ce soit celui-là.

list Les 6 fonctions expliquées (sans le jargon)

NIST CSF 2.0 organise la cybersécurité autour de six fonctions clés. Voyez-les comme six questions auxquelles votre entreprise doit répondre.

chevron_right1. GOUVERNER

La question : qui est responsable de la cybersécurité ?

Cette fonction est nouvelle dans CSF 2.0. Elle pose la question : qui est responsable de la cybersécurité dans votre boîte ? Quel est le budget ? Quelles sont les politiques ?

Même une boîte de 10 personnes a besoin de quelqu'un qui "porte" les décisions sécurité. Ça n'a pas besoin d'être un poste à temps plein. Ça peut être l'office manager, l'IT, ou le fondateur. Mais quelqu'un doit être responsable. Sans gouvernance, les cinq autres fonctions s'effondrent.

search2. IDENTIFIER

La question : qu'est-ce que vous avez ?

Portables, serveurs, comptes cloud, données clients, licences logicielles. On ne peut pas protéger ce qu'on ne sait pas posséder.

Exemple pratique : un simple tableau listant tous les appareils, tous les comptes (Google Workspace, banque, CRM, hébergement), et où vivent les données clients. Ça prend quelques heures et révèle immédiatement les angles morts.

chevron_right3. PROTÉGER

La question : quelles protections sont en place ?

Pare-feux, chiffrement, contrôles d'accès, formation. Les serrures sur les portes.

Exemple pratique : MFA sur chaque compte, portables chiffrés, formation régulière du personnel à la reconnaissance du phishing. Ces trois mesures à elles seules bloquent la majorité des attaques courantes.

monitor_heart4. DÉTECTER

La question : comment sauriez-vous que quelque chose cloche ?

Surveillance, journalisation, alertes.

Exemple pratique : au minimum, activez les alertes de connexion sur vos comptes email et cloud. Si quelqu'un se connecte à votre Microsoft 365 depuis un pays où vous n'opérez pas, vous voulez le savoir tout de suite - pas trois mois plus tard.

bolt5. RÉPONDRE

La question : quel est le plan quand quelque chose arrive ?

Procédures de réponse à incident.

Exemple pratique : qui appelle qui ? Qui déconnecte les systèmes compromis ? Qui parle aux clients ? Qui contacte les autorités ? Mettez-le par écrit. Un plan de réponse à incident d'une page est infiniment mieux qu'aucun plan.

chevron_right6. RESTAURER

La question : comment revenez-vous à la normale ?

Le retour à la normale. Sauvegardes, continuité d'activité, leçons tirées.

Exemple pratique : des sauvegardes testées. Pas "on pense qu'on a des sauvegardes quelque part". Testées veut dire que vous avez réellement restauré depuis une sauvegarde dans les 90 derniers jours et confirmé que ça marche. Si vous ne l'avez pas testée, vous n'avez pas une sauvegarde - vous avez un espoir.

flag Le cadre belge CyFun - NIST adapté localement

Le cadre CyberFundamentals (CyFun) a été créé par le CCB (Centre pour la cybersécurité Belgique). Il prend NIST CSF 2.0, le combine avec des contrôles ISO 27001, CIS Controls et IEC 62443, et l'emballe en quatre niveaux pratiques.

Les quatre niveaux CyFun :

  • Small - pour les micro-organisations (moins de 10 employés, IT minimale)
  • Basic - 34 contrôles. Le point de départ pour la plupart des PME. Stoppe 82% des attaques documentées.
  • Important - 99 contrôles supplémentaires en plus de Basic. Pour les entreprises au profil de risque plus élevé.
  • Essential - 85 contrôles supplémentaires en plus d'Important. Pour les infrastructures critiques et grandes organisations.

Pour la plupart des PME, CyFun Basic est la cible. 34 contrôles, ça paraît gérable parce que ça l'est. Beaucoup d'entre eux sont probablement déjà en place chez vous - vous ne les avez juste pas documentés.

Le CCB fournit un outil d'auto-évaluation gratuit sur atwork.safeonweb.be. Utilisez-le. Ça prend environ une heure et vous donne une image claire d'où vous en êtes.

shield_lock Comment NIST CSF et CyFun se mappent

CyFun est construit sur NIST CSF, donc le mapping est direct. Voici comment les six fonctions NIST se traduisent en contrôles CyFun Basic :

Fonction NIST CSF 2.0 Contrôles CyFun Basic (exemples)
GOUVERNER Politique de sécurité, évaluation des risques, rôles et responsabilités
IDENTIFIER Inventaire des actifs, classification des données
PROTÉGER Contrôle d'accès, MFA, chiffrement, sauvegardes, sensibilisation du personnel
DÉTECTER Journalisation, surveillance, détection d'anomalies
RÉPONDRE Plan de réponse à incident, procédures de communication
RESTAURER Restauration de sauvegardes, leçons tirées, plan de continuité

L'avantage de commencer par CyFun : vous obtenez des contrôles concrets et auditables au lieu de catégories abstraites. NIST vous dit "protégez vos actifs". CyFun vous dit exactement ce que ça signifie en pratique.

link Le lien avec NIS2

NIS2 (directive UE 2022/2555) est la loi. CyFun est la manière dont la Belgique l'applique.

Si votre organisation tombe dans le périmètre NIS2, la conformité CyFun équivaut à la conformité NIS2 en Belgique. La loi belge du 26 avril 2024 a transposé NIS2 en droit national et a désigné CyFun comme cadre de conformité.

La date qui compte : 18 avril 2026 pour la soumission de l'auto-évaluation au CCB. Si vous n'avez pas commencé, commencez maintenant.

On a écrit une checklist détaillée de conformité NIS2 couvrant le périmètre, les délais et les étapes pratiques - à lire ici.

rule Où ISO 27001 et SOC 2 entrent en jeu

ISO 27001 est une voie de conformité alternative pour NIS2 en Belgique. Si vous avez déjà la certification ISO 27001, vous pouvez l'utiliser pour démontrer la conformité NIS2 plutôt que CyFun. Cela dit, la certification ISO 27001 est chère et chronophage. Pour la plupart des PME, CyFun est la voie plus rapide et moins coûteuse.

SOC 2 est plus courant pour les SaaS et les boîtes tech qui travaillent avec des clients américains. Ce n'est pas une exigence belge ou européenne, mais les grands clients américains l'exigent souvent. Si vous servez des clients internationaux, SOC 2 construit la confiance.

Bonne nouvelle : CyFun intègre des contrôles ISO 27001. Commencer par CyFun vous met sur la voie de la certification ISO si vous décidez d'y aller plus tard. Le travail n'est pas perdu.

Si vous êtes une boîte tech qui sert des clients internationaux, visez ISO 27001 + SOC 2 comme cible. CyFun vous lance. ISO 27001 vous donne la crédibilité internationale. SOC 2 ouvre le marché américain.

event_available Démarrage - le plan en 30 jours

  1. Semaine 1 : prenez une photo de l'existant. Lancez l'outil d'auto-évaluation du CCB. Répondez honnêtement. L'objectif est de voir où vous en êtes, pas de réussir un examen.
  2. Semaine 2 : inventaire des actifs. Listez tout - appareils, comptes, données, logiciels. Chaque portable, chaque abonnement cloud, chaque endroit où vivent les données clients. Mettez-le dans un tableau. C'est la fonction IDENTIFIER de CyFun en action.
  3. Semaine 3 : quick wins. Activez la MFA partout. Mettez à jour tous les logiciels. Configurez des sauvegardes automatiques et vérifiez qu'elles fonctionnent. Ces trois actions à elles seules couvrent plusieurs contrôles CyFun Basic et réduisent drastiquement votre surface d'attaque.
  4. Semaine 4 : documentation. Rédigez votre politique de sécurité, votre plan de réponse à incident, et vos procédures de contrôle d'accès. Pas besoin que ce soit long. Une politique de sécurité peut tenir en deux pages. Un plan de réponse à incident peut tenir en une page. Ce qui compte, c'est qu'ils existent et que votre équipe sache où les trouver.

Ça ne vous rendra pas pleinement conforme. Mais ça couvre les contrôles CyFun Basic les plus critiques et vous donne quelque chose à montrer à un auditeur. Plus important : ça rend réellement votre boîte plus sûre.

Si vous manquez de temps ou de personnel, les agents IA peuvent automatiser une partie de ce processus - découverte d'actifs, surveillance des logs, voire génération de brouillons de politiques. On a vu des petites équipes diminuer significativement leur charge de conformité de cette façon.

lightbulb Le mot de la fin

Vous n'avez pas besoin d'un budget à six chiffres pour avoir une cybersécurité décente. NIST CSF 2.0 vous donne le cadre. CyFun vous donne les contrôles pratiques. Commencez par les 34 fondamentaux, documentez ce que vous faites, et construisez à partir de là.

support_agentBesoin d'aide pour implémenter CyFun ?

On aide les entreprises belges à implémenter CyberFundamentals et à se préparer à la conformité NIS2.

Demander une analyse d'écart

chevron_rightRéférences & lectures complémentaires

arrow_back Retour à l'accueil
Discuter de votre projet arrow_forward

À lire aussi

AI Agents for Small Business: What Actually Works in 2026
· 7 min

Agents IA pour PME : ce qui marche vraiment en 2026

Tout le monde parle d'agents IA en 2026. Anthropic a lancé Claude Cowork avec 11 plugins entreprise. OpenAI a sorti Frontier pour construire des agents. Chaque outil SaaS a ajouté "agentique" sur sa page marketing. Gartner annonce que plus de 80% des entreprises feront tourner de l'IA agentique en production fin 2026...

Lire la suite arrow_forward
NIS2 Compliance in Belgium: The Practical Checklist for 2026
· 7 min

Conformité NIS2 en Belgique : la checklist pratique pour 2026

La date butoir NIS2 en Belgique est le 18 avril 2026. Ce n'est pas une coquille et ce n'est pas loin. Si votre entreprise compte 50 employés ou plus, ou un chiffre d'affaires de plus de 10 millions d'euros, et que vous opérez dans l'un des 18 secteurs critiques - cette loi s'applique à vous. Aujourd'hui, environ une entreprise sur quatre n'a même pas commencé l'implémentation...

Lire la suite arrow_forward