CyFun 2025 : ce qui change dans le référentiel du CCB

Publié le — par Matthieu Roland

6Fonctions (dont GOVERN)
Oct. 2025Publication par le CCB
18/04/2027Fin de la coexistence 2023/2025

En octobre 2025, le Centre pour la Cybersécurité Belgique (CCB) a publié CyFun 2025, la nouvelle version de son CyberFundamentals Framework. Cette mise à jour aligne le référentiel belge sur le NIST CSF 2.0 et introduit des changements structurants : une sixième fonction GOVERN, un net renforcement des exigences sur la chaîne d'approvisionnement et des mesures de gouvernance exigées dès le niveau Important. Si vous découvrez le référentiel, commencez par notre présentation générale de CyFun et des niveaux d'assurance ; cette page se concentre sur ce qui change entre CyFun 2023 et CyFun 2025 et sur la manière de migrer.

Qu'est-ce que CyFun 2025 ?

CyFun est le référentiel de cybersécurité du CCB, utilisé en Belgique comme voie privilégiée pour démontrer la conformité aux exigences de la directive NIS2 et de la loi belge du 26 avril 2024. Il se décline en quatre niveaux d'assurance — Small, Basic, Important et Essential — qui correspondent à la taille et à la classification NIS2 des organisations. CyFun 2025 en est la version actualisée : elle conserve cette architecture en niveaux, mais réorganise et enrichit les exigences pour suivre l'évolution du NIST Cybersecurity Framework, dont le CyFun est historiquement dérivé.

Pour les entités régulées, l'enjeu n'est pas académique : selon le calendrier publié par le CCB, les entités essentielles doivent pouvoir démontrer la mise en œuvre effective de leurs mesures depuis le 18 avril 2026, puis obtenir une certification CyFun au niveau requis pour le 18 avril 2027. La version du référentiel choisie pour ce parcours a donc des conséquences très concrètes.

L'alignement NIST CSF 2.0 et la fonction GOVERN

Le changement le plus visible de CyFun 2025 est l'adoption de la structure du NIST CSF 2.0, qui ajoute une sixième fonction aux cinq fonctions historiques (Identify, Protect, Detect, Respond, Recover) : GOVERN.

La fonction GOVERN regroupe les attentes en matière de gouvernance de la cybersécurité :

Cette logique fait directement écho à l'article 32 de la loi belge, qui impose aux organes de direction d'approuver les mesures, d'en superviser la mise en œuvre et de se former — sous peine de responsabilité personnelle (voir notre page sanctions NIS2). Avec CyFun 2025, cette exigence légale trouve sa traduction opérationnelle dans le référentiel lui-même.

Un renforcement net de la supply chain

Deuxième axe majeur : la sécurité de la chaîne d'approvisionnement. CyFun 2025 renforce les exigences relatives aux fournisseurs et prestataires : identification des tiers critiques, clauses de sécurité contractuelles, évaluation et suivi des fournisseurs. Pour les organisations dont le service dépend d'infogérants, d'éditeurs SaaS ou de sous-traitants industriels — situation typique dans les secteurs de l'énergie, de la santé ou de la finance — c'est souvent le chantier de migration le plus lourd, car il implique des négociations contractuelles qui prennent des mois.

La gouvernance dès le niveau Important

Troisième évolution structurante : les mesures de gouvernance s'appliquent dès le niveau Important, et plus seulement au sommet de la pyramide. Une entité importante qui vise le niveau CyFun Important doit donc désormais démontrer une gouvernance formalisée : politique approuvée par la direction, responsabilités attribuées, suivi du risque. Pour les PME concernées, cela déplace le centre de gravité de la conformité : il ne suffit plus d'empiler des contrôles techniques, il faut organiser le pilotage. Un RSSI externalisé est souvent la réponse la plus économique pour tenir ce rôle.

Tableau comparatif : CyFun 2023 vs CyFun 2025

AspectCyFun 2023CyFun 2025
Référentiel de baseNIST CSF (structure historique à 5 fonctions)NIST CSF 2.0
Fonctions5 : Identify, Protect, Detect, Respond, Recover6 : GOVERN + les 5 fonctions historiques
GouvernanceExigences réparties dans les fonctions existantesFonction dédiée, exigée dès le niveau Important
Supply chainPrésente, mais moins développéeExigences renforcées (tiers critiques, contrats, suivi)
Niveaux d'assuranceSmall, Basic, Important, EssentialSmall, Basic, Important, Essential (inchangés)
Statut depuis octobre 2025Utilisable jusqu'au 18 avril 2027Version de référence à terme

Coexistence jusqu'au 18 avril 2027 : un libre choix de version

Le CCB a prévu une transition en douceur : CyFun 2023 et CyFun 2025 coexistent jusqu'au 18 avril 2027, et chaque entité choisit librement la version sur laquelle elle s'évalue ou se fait certifier jusqu'à cette date. Ce libre choix est une vraie décision stratégique :

Plan de migration CyFun 2023 vers CyFun 2025, pas à pas

  1. Gap analysis initiale (2 à 4 semaines) — comparer votre dispositif actuel (basé sur CyFun 2023, ISO 27001 ou rien du tout) à la grille CyFun 2025 du niveau visé. Nos outils d'auto-évaluation permettent de dégrossir l'exercice.
  2. Mapping des écarts — classer les écarts en trois familles : gouvernance (GOVERN), supply chain, et exigences techniques reformulées. Prioriser selon le risque et l'effort ; notre page coût de la conformité NIS2 donne des ordres de grandeur pour budgéter.
  3. Remédiation — traiter d'abord les écarts de gouvernance (politiques, rôles, comité de pilotage), puis les chantiers fournisseurs, enfin les ajustements techniques. Les 13 mesures clés CyFun restent un bon fil conducteur.
  4. Self-assessment CyFun 2025 — refaire l'auto-évaluation sur la nouvelle grille via Safeonweb@Work et la documenter : c'est la pièce maîtresse du dossier, y compris en cas d'inspection du CCB.
  5. Audit par un CAB — pour les niveaux Important et Essential, faire vérifier puis certifier le dispositif par un organisme d'évaluation de la conformité (CAB), conformément au parcours décrit sur notre page certification CyFun Essential 2027.

Qui doit migrer en priorité ?

À l'inverse, une entité déjà engagée dans une démarche ISO 27001 peut préférer capitaliser sur ce standard, qui reste une voie reconnue de démonstration de conformité pour les entités essentielles.

FAQ — CyFun 2025

Qu'est-ce que CyFun 2025 ?

CyFun 2025 est la version du CyberFundamentals Framework publiée par le Centre pour la Cybersécurité Belgique (CCB) en octobre 2025. Elle aligne le référentiel sur le NIST CSF 2.0, introduit la sixième fonction GOVERN, renforce les exigences de sécurité de la chaîne d'approvisionnement et intègre des mesures de gouvernance dès le niveau Important.

CyFun 2023 reste-t-il utilisable ?

Oui. Les deux versions coexistent jusqu'au 18 avril 2027 et les entités choisissent librement la version sur laquelle elles s'évaluent ou se font certifier jusqu'à cette date. Au-delà, CyFun 2025 devient la référence.

Qu'est-ce que la fonction GOVERN ?

GOVERN est la sixième fonction introduite par le NIST CSF 2.0 et reprise par CyFun 2025. Elle regroupe les attentes de gouvernance : politique de sécurité, rôles et responsabilités, supervision par la direction, intégration du risque cyber dans la stratégie et pilotage de la chaîne d'approvisionnement. Elle fait écho à l'article 32 de la loi belge NIS2, qui rend les organes de direction personnellement responsables de l'approbation et de la supervision des mesures.

Dois-je refaire mon self-assessment CyFun ?

Si votre self-assessment a été réalisé sur CyFun 2023, il reste utilisable jusqu'au 18 avril 2027. Il est toutefois recommandé de refaire l'exercice sur la grille CyFun 2025 dès que possible : les écarts nouveaux (GOVERN, supply chain) demandent souvent plusieurs mois de remédiation.

La migration vers CyFun 2025 change-t-elle mon niveau (Basic, Important, Essential) ?

Non. Les niveaux d'assurance Small, Basic, Important et Essential sont conservés. Ce qui change, c'est le contenu des exigences à chaque niveau, en particulier l'apparition d'exigences de gouvernance dès le niveau Important.

Qui doit migrer en priorité vers CyFun 2025 ?

Les entités essentielles qui visent la certification CyFun pour l'échéance du 18 avril 2027 fixée par le calendrier du CCB : se certifier directement sur CyFun 2025 évite une double démarche. Viennent ensuite les entités fortement dépendantes de fournisseurs critiques, que le volet supply chain concerne au premier chef, et les organisations qui démarrent leur conformité aujourd'hui, qui n'ont aucune raison de partir de la version 2023.

Sources officielles

Faites votre gap analysis CyFun 2025 maintenant

Cryptaguard réalise votre gap analysis CyFun 2023 vs 2025, construit le plan de migration et vous accompagne jusqu'à l'audit CAB. Plus la migration démarre tôt, plus elle se lisse dans le temps.

Planifier ma migration CyFun 2025 →