Publié le — par Matthieu Roland
En octobre 2025, le Centre pour la Cybersécurité Belgique (CCB) a publié CyFun 2025, la nouvelle version de son CyberFundamentals Framework. Cette mise à jour aligne le référentiel belge sur le NIST CSF 2.0 et introduit des changements structurants : une sixième fonction GOVERN, un net renforcement des exigences sur la chaîne d'approvisionnement et des mesures de gouvernance exigées dès le niveau Important. Si vous découvrez le référentiel, commencez par notre présentation générale de CyFun et des niveaux d'assurance ; cette page se concentre sur ce qui change entre CyFun 2023 et CyFun 2025 et sur la manière de migrer.
CyFun est le référentiel de cybersécurité du CCB, utilisé en Belgique comme voie privilégiée pour démontrer la conformité aux exigences de la directive NIS2 et de la loi belge du 26 avril 2024. Il se décline en quatre niveaux d'assurance — Small, Basic, Important et Essential — qui correspondent à la taille et à la classification NIS2 des organisations. CyFun 2025 en est la version actualisée : elle conserve cette architecture en niveaux, mais réorganise et enrichit les exigences pour suivre l'évolution du NIST Cybersecurity Framework, dont le CyFun est historiquement dérivé.
Pour les entités régulées, l'enjeu n'est pas académique : selon le calendrier publié par le CCB, les entités essentielles doivent pouvoir démontrer la mise en œuvre effective de leurs mesures depuis le 18 avril 2026, puis obtenir une certification CyFun au niveau requis pour le 18 avril 2027. La version du référentiel choisie pour ce parcours a donc des conséquences très concrètes.
Le changement le plus visible de CyFun 2025 est l'adoption de la structure du NIST CSF 2.0, qui ajoute une sixième fonction aux cinq fonctions historiques (Identify, Protect, Detect, Respond, Recover) : GOVERN.
La fonction GOVERN regroupe les attentes en matière de gouvernance de la cybersécurité :
Cette logique fait directement écho à l'article 32 de la loi belge, qui impose aux organes de direction d'approuver les mesures, d'en superviser la mise en œuvre et de se former — sous peine de responsabilité personnelle (voir notre page sanctions NIS2). Avec CyFun 2025, cette exigence légale trouve sa traduction opérationnelle dans le référentiel lui-même.
Deuxième axe majeur : la sécurité de la chaîne d'approvisionnement. CyFun 2025 renforce les exigences relatives aux fournisseurs et prestataires : identification des tiers critiques, clauses de sécurité contractuelles, évaluation et suivi des fournisseurs. Pour les organisations dont le service dépend d'infogérants, d'éditeurs SaaS ou de sous-traitants industriels — situation typique dans les secteurs de l'énergie, de la santé ou de la finance — c'est souvent le chantier de migration le plus lourd, car il implique des négociations contractuelles qui prennent des mois.
Troisième évolution structurante : les mesures de gouvernance s'appliquent dès le niveau Important, et plus seulement au sommet de la pyramide. Une entité importante qui vise le niveau CyFun Important doit donc désormais démontrer une gouvernance formalisée : politique approuvée par la direction, responsabilités attribuées, suivi du risque. Pour les PME concernées, cela déplace le centre de gravité de la conformité : il ne suffit plus d'empiler des contrôles techniques, il faut organiser le pilotage. Un RSSI externalisé est souvent la réponse la plus économique pour tenir ce rôle.
| Aspect | CyFun 2023 | CyFun 2025 |
|---|---|---|
| Référentiel de base | NIST CSF (structure historique à 5 fonctions) | NIST CSF 2.0 |
| Fonctions | 5 : Identify, Protect, Detect, Respond, Recover | 6 : GOVERN + les 5 fonctions historiques |
| Gouvernance | Exigences réparties dans les fonctions existantes | Fonction dédiée, exigée dès le niveau Important |
| Supply chain | Présente, mais moins développée | Exigences renforcées (tiers critiques, contrats, suivi) |
| Niveaux d'assurance | Small, Basic, Important, Essential | Small, Basic, Important, Essential (inchangés) |
| Statut depuis octobre 2025 | Utilisable jusqu'au 18 avril 2027 | Version de référence à terme |
Le CCB a prévu une transition en douceur : CyFun 2023 et CyFun 2025 coexistent jusqu'au 18 avril 2027, et chaque entité choisit librement la version sur laquelle elle s'évalue ou se fait certifier jusqu'à cette date. Ce libre choix est une vraie décision stratégique :
À l'inverse, une entité déjà engagée dans une démarche ISO 27001 peut préférer capitaliser sur ce standard, qui reste une voie reconnue de démonstration de conformité pour les entités essentielles.
CyFun 2025 est la version du CyberFundamentals Framework publiée par le Centre pour la Cybersécurité Belgique (CCB) en octobre 2025. Elle aligne le référentiel sur le NIST CSF 2.0, introduit la sixième fonction GOVERN, renforce les exigences de sécurité de la chaîne d'approvisionnement et intègre des mesures de gouvernance dès le niveau Important.
Oui. Les deux versions coexistent jusqu'au 18 avril 2027 et les entités choisissent librement la version sur laquelle elles s'évaluent ou se font certifier jusqu'à cette date. Au-delà, CyFun 2025 devient la référence.
GOVERN est la sixième fonction introduite par le NIST CSF 2.0 et reprise par CyFun 2025. Elle regroupe les attentes de gouvernance : politique de sécurité, rôles et responsabilités, supervision par la direction, intégration du risque cyber dans la stratégie et pilotage de la chaîne d'approvisionnement. Elle fait écho à l'article 32 de la loi belge NIS2, qui rend les organes de direction personnellement responsables de l'approbation et de la supervision des mesures.
Si votre self-assessment a été réalisé sur CyFun 2023, il reste utilisable jusqu'au 18 avril 2027. Il est toutefois recommandé de refaire l'exercice sur la grille CyFun 2025 dès que possible : les écarts nouveaux (GOVERN, supply chain) demandent souvent plusieurs mois de remédiation.
Non. Les niveaux d'assurance Small, Basic, Important et Essential sont conservés. Ce qui change, c'est le contenu des exigences à chaque niveau, en particulier l'apparition d'exigences de gouvernance dès le niveau Important.
Les entités essentielles qui visent la certification CyFun pour l'échéance du 18 avril 2027 fixée par le calendrier du CCB : se certifier directement sur CyFun 2025 évite une double démarche. Viennent ensuite les entités fortement dépendantes de fournisseurs critiques, que le volet supply chain concerne au premier chef, et les organisations qui démarrent leur conformité aujourd'hui, qui n'ont aucune raison de partir de la version 2023.
Cryptaguard réalise votre gap analysis CyFun 2023 vs 2025, construit le plan de migration et vous accompagne jusqu'à l'audit CAB. Plus la migration démarre tôt, plus elle se lisse dans le temps.