CyFun ou ISO 27001 : lequel choisir ?

Le choix dépend de 3 critères principaux : (1) Êtes-vous concerné par NIS2 en Belgique ? Si oui → CyFun (référentiel officiel CCB, alignement 100% NIS2). (2) Avez-vous des clients ou marchés exigeant une certification internationale ? Si oui → ISO 27001 (reconnu mondialement). (3) Quel est votre budget ? CyFun Basic est plus rapide et moins cher (auto-évaluation possible) ; ISO 27001 nécessite un audit certifié (~10-25 k€ pour PME). Beaucoup d'organisations font les deux : CyFun pour la conformité NIS2 belge, ISO 27001 pour la reconnaissance internationale.

Quel est le coût d'une certification ISO 27001 pour une PME ?

Pour une PME belge (50-250 ETP), le coût total ISO 27001:2022 se situe entre 25 000 € et 80 000 € la première année (gap analysis 5-15 k€, accompagnement 10-40 k€, audit de certification 8-20 k€), puis 5-15 k€/an pour les audits de surveillance et la recertification (3 ans). Le coût varie selon la maturité initiale et le périmètre certifié.

Combien de temps pour obtenir CyFun Basic vs ISO 27001 ?

CyFun Basic en auto-évaluation : 1 à 3 mois pour une PME organisée. CyFun Important / Essential avec audit CAB : 6 à 9 mois. ISO 27001:2022 en première certification : 9 à 18 mois (gap analysis 1-2 mois, mise en œuvre 4-12 mois, audit en 2 stages 1-2 mois). Si vous êtes déjà conforme CyFun Important, ajouter ISO 27001 prend 3-6 mois supplémentaires.

CyFun est-il reconnu en France et dans l'UE ?

CyFun est officiellement reconnu en Belgique (CCB) et accepté comme preuve de conformité NIS2 dans tous les États membres de l'UE via le mécanisme de reconnaissance mutuelle prévu à l'article 21 §5 de la directive NIS2. Cependant, hors UE, CyFun est peu connu : ISO 27001 reste le standard mondial pour les marchés internationaux.

Peut-on combiner CyFun et ISO 27001 ?

Oui, et c'est même recommandé pour les entités essentielles NIS2 visant des marchés internationaux. CyFun 2.0 et ISO 27001:2022 partagent ~85% de contrôles (CyFun s'appuie sur ISO 27002:2022). Une organisation certifiée ISO 27001 peut atteindre rapidement le niveau CyFun Important ou Essential avec un effort marginal (2-3 mois pour combler les gaps spécifiques NIS2 belge : enregistrement CCB, notification 24h, etc.).

Quel choix pour une TPE / micro-organisation ?

Pour une TPE de moins de 10 ETP, le niveau CyFun Small (~34 exigences, auto-évaluation gratuite sur le portail CCB) est le bon point de départ. Inutile de viser ISO 27001 (trop coûteux et complexe) sauf exigence client explicite. CyFun Small permet de démontrer une cyber-hygiène solide et de répondre aux questionnaires de fournisseurs/clients.

CyFun vs ISO 27001 — Quel référentiel choisir ? Comparatif PME 2026

Vous hésitez entre CyFun (CCB) et ISO/IEC 27001:2022 pour structurer votre démarche cybersécurité ? Cet article vous donne une matrice de décision claire selon votre contexte (NIS2 ou non, PME ou grande entreprise, marché belge ou international, budget et délai).

Verdict express en 3 questions

Êtes-vous une entité essentielle ou importante NIS2 en Belgique ? → CyFun obligatoire/recommandé (référentiel officiel CCB, 100% aligné NIS2)
Avez-vous des clients/marchés internationaux exigeant une certification reconnue mondialement ? → ISO 27001 indispensable
Les deux à la fois ? → Implémenter ISO 27001 puis ajouter CyFun (couverture NIS2 et reconnaissance internationale)

Tableau comparatif détaillé

Critère	CyFun 2.0 (CCB)	ISO/IEC 27001:2022
Émetteur	Centre pour la Cybersécurité Belgique (CCB)	ISO + IEC (international)
Type	Référentiel + niveaux d'assurance	Norme certifiable
Niveaux	4 (Small / Basic / Important / Essential)	1 (binaire : certifié ou non)
Nombre de mesures	~34 (Small) à ~138 (Essential)	93 contrôles Annexe A + clauses 4-10
Couverture NIS2	100 % (alignement officiel)	~ 85 % (gaps : notification 24h/72h, enregistrement CCB)
Reconnaissance géographique	Belgique + UE (reconnaissance mutuelle NIS2)	Mondiale
Mode de validation	Auto-évaluation (Small/Basic) ou audit CAB (Important/Essential)	Audit obligatoire par organisme accrédité
Coût première année (PME)	0 € (Small auto-éval) à 15-30 k€ (Essential audit)	25 000 € à 80 000 €
Coût annuel récurrent	0 € (Basic) à 3-8 k€ (Essential surveillance)	5 000 € à 15 000 € (audit surveillance)
Durée de mise en œuvre	1-3 mois (Basic) à 6-9 mois (Essential)	9 à 18 mois
Recertification	3 ans + maintenance annuelle	3 ans + audits surveillance annuels
Adapté à	Entités belges sous champ NIS2, PME pragmatiques	Organisations matures, marchés internationaux
Difficulté de mise en œuvre	★★ (Basic) à ★★★★ (Essential)	★★★★★

Matrice de décision selon votre profil

Profil	NIS2 ?	Marchés Int.	Recommandation
TPE belge (<10 ETP)	Non	Non	CyFun Small (gratuit, auto-éval)
PME belge (50-249 ETP) hors NIS2	Non	Non	CyFun Basic (auto-éval ou CAB léger)
PME belge entité importante NIS2	Oui (importante)	Non	CyFun Important (audit CAB)
PME belge entité essentielle NIS2	Oui (essentielle)	Non	CyFun Essential (audit CAB renforcé)
PME belge avec clients internationaux	Variable	Oui	ISO 27001 + CyFun équivalent (combinaison)
ETI / Grande entreprise	Oui (essentielle)	Oui	ISO 27001 + CyFun Essential (obligatoire)
Filiale belge groupe étranger déjà ISO 27001	Oui	—	Étendre ISO 27001 + ajouter CyFun gap NIS2
Société belge B2C uniquement	Variable	Non	CyFun selon classification NIS2

Détail des coûts pour PME belge (50-250 ETP)

CyFun Important (entité importante NIS2)

Gap analysis : 3 000 - 8 000 €
Accompagnement implémentation : 8 000 - 25 000 €
Audit CAB initial : 6 000 - 12 000 €
Total année 1 : 17 000 - 45 000 €
Récurrent : 3 000 - 6 000 € / an (audit annuel + maintenance)

ISO/IEC 27001:2022

Gap analysis : 5 000 - 15 000 €
Accompagnement implémentation : 10 000 - 40 000 €
Audit certification (Stage 1 + Stage 2) : 8 000 - 20 000 €
Documentation et outils : 2 000 - 5 000 €
Total année 1 : 25 000 - 80 000 €
Récurrent : 5 000 - 15 000 € / an (audits de surveillance)

Fourchettes indicatives pour la Belgique — les coûts varient selon la maturité initiale, le périmètre certifié et le niveau de support externe.

Couverture des 11 mesures NIS2 (article 30)

Mesure NIS2	CyFun 2.0	ISO 27001:2022
1. Analyse des risques	✓ GOV-03	✓ 5.1, 5.7, 5.31
2. Gestion des incidents (incl. notification 24h/72h)	✓ INC-01 à INC-05	~ 5.24-5.28 (délais NIS2 à documenter en sus)
3. Continuité d'activité	✓ BCM-01 à BCM-04	✓ 5.29, 5.30, 8.13, 8.14
4. Supply chain (audit fournisseurs)	✓ SUP-01 à SUP-04	✓ 5.19-5.23
5. Sécurité des SI (dev, maintenance)	✓ DEV-01 à DEV-04	✓ 8.8, 8.9, 8.25-8.32
6. Évaluation efficacité (audits, pentests)	✓ COM-02	✓ 5.35, 5.36, 8.29
7. Cyberhygiène / formation	✓ HUM-01	✓ 6.3
8. Cryptographie	✓ CRY-01 à CRY-04	✓ 5.14, 8.24
9. RH / contrôle accès / actifs	✓ HUM, ACC, ASS	✓ 5.9-5.18, 6.1-6.7
10. MFA	✓ ACC-03	✓ 5.17, 8.5
11. Communications sécurisées (urgence)	✓ COM-04	~ 5.14, 8.21, 8.22 (à étendre)

Verdict : CyFun 2.0 couvre nativement les 11 mesures (100 %) car conçu spécifiquement pour NIS2 belge. ISO 27001:2022 couvre ~85 % — il manque principalement les délais de notification spécifiques NIS2 (24h/72h/1 mois) et l'enregistrement CCB, qui doivent être ajoutés en complément.

Quand combiner les deux ?

Pour une entité essentielle NIS2 ayant des marchés internationaux (ex : énergie, santé, finance, industrie exportatrice), la combinaison ISO 27001 + CyFun Essential est la meilleure stratégie :

ISO 27001 d'abord (9-18 mois) : pose le SMSI international
Puis CyFun Essential en surcouche (3-6 mois additionnels) : capitalise sur 85 % des contrôles déjà en place et comble les gaps NIS2 belge spécifiques
Coût additionnel CyFun : 5 000 - 12 000 € (gap analysis + audit CAB) au lieu d'un projet complet

Pour aller plus loin

Besoin d'un diagnostic personnalisé ?

Cryptaguard réalise des diagnostics « CyFun ou ISO 27001 ? » : analyse de votre contexte (classification NIS2, maturité, marchés cibles, budget), recommandation argumentée et roadmap chiffrée 12-24 mois.

Demander un diagnostic →

CyFun vs ISO 27001 — Quel référentiel cybersécurité choisir ?