Jusqu'où va CyFUN Basic ? Regard franc sur la baseline

Le framework CyFUN du CCB est un des cadres de cybersécurité les plus pragmatiques pensés pour la PME belge. Pas 400 pages d'ISO, pas de jargon de consultant, juste une liste graduée de mesures concrètes qui évoluent avec votre maturité et votre profil de risque.

Une question récurrente : Basic suffit-il, ou faut-il viser Important tout de suite ? Voici une lecture franche de ce que Basic couvre, ce qu'il évite volontairement, quand Important devient pertinent, et l'effort à prévoir.

Ce que Basic couvre, et ce qu'il ne couvre pas

CyFUN Basic est bâti autour de 34 contrôles essentiels. Beaucoup correspondent à ce que vous devriez déjà faire :

• Antivirus sur chaque endpoint
• Authentification multi-facteurs sur les comptes critiques
• Backups réellement testés
• Un plan d'incident response à jour
• Gestion centralisée des droits d'accès et des installations de logiciels

Un trajet Basic pour une PME type de 10 à 30 personnes prend généralement environ trois mois entre la première évaluation et la démonstration de conformité. Pas parce que les mesures sont techniquement complexes, mais parce que l'ancrage organisationnel demande un vrai effort. Exemple : écrire « gestionnaire de mots de passe obligatoire » dans une politique ne coûte rien. Apprendre Vaultwarden ou équivalent à toute l'équipe, importer leurs mots de passe existants, et sortir les fichiers Excel partagés des conversations Teams, ça coûte autre chose.

Ce que Basic ne fait pas

Basic vous donne une bonne ligne de base. Il ne vous donne pas :

• De détection continue de menaces avancées (c'est le rôle d'Important ou Essential)
• Des tests d'intrusion ou red teaming
• La conformité à des cadres sectoriels comme DORA ou NIS2 en tant qu'entité

Pour la plupart des PME avec un profil de risque limité (menaces côté client comme phishing, ransomware, fraude au président, abus courants de credentials), c'est suffisant. Basic ancre cette exposition correctement, sans devoir faire tourner un SOC 24/7.

Quand viser Important malgré tout ?

Trois raisons qui sont décisives en pratique :

1. Un client le demande. À la reconduction des contrats avec les plus gros donneurs d'ordre, CyFUN Important revient de plus en plus souvent. Surtout si ce client est lui-même soumis à NIS2.
2. Votre assureur cyber le demande. Certains assureurs offrent 15 à 20 pour cent de remise au niveau Important. Sur une prime, ça compte.
3. Vous êtes vous-même 'entité importante' au sens NIS2. Important devient alors le minimum défendable comme 'mesures raisonnables'.

Si aucun des trois ne s'applique, Basic est un très bon point d'arrivée. Toute organisation n'a pas besoin du niveau maximal, chaque organisation a besoin du niveau adapté.

Ce qu'il faut prévoir

Chiffres indicatifs pour une PME d'environ 10 à 20 personnes, basés sur ce qui est usuel sur le marché :

• Évaluation et gap analyse : environ 12 heures de consultance
• Trajet de remédiation : environ 50 heures de travail sur trois mois
• Outils (gestionnaire de mots de passe, application MFA, éventuellement licence backup supplémentaire) : environ 80 euros par mois en plus de l'existant
• Session de sensibilisation pour toute l'équipe : deux heures

Pas des chiffres compliqués. Du vrai travail tout de même. Une nuance importante : le parcours avance bien plus vite quand le dirigeant participe lui-même à la session de sensibilisation et porte le projet. Sans cet engagement au sommet, il dure au moins deux fois plus longtemps, surtout parce que le changement de comportement ne tient pas.