Cout Audit CAB CyFun : Combien Coute Reellement un Audit NIS2 Belge
Les organisations belges NIS2 qui pesent un audit Conformity Assessment Body (CAB) contre l'auto-evaluation CyFun BASIC ont d'abord une question d'argent a repondre. Voici ce que coute reellement chaque voie, source de plages publiquement rapportees et de la tarification de plateforme publiee — avec une note honnete sur ce qui n'est pas encore publiquement documente.
Les Quatre Seaux de Couts
La preparation d'audit CyFun a quatre composantes de cout. Trois des quatre sont nuls ou presque nuls ; un varie largement. Comprendre dans quel seau atterrit chaque cout change la conversation budgetaire.
1. Cadre CCB + workbook + portail : 0€
Le Centre pour la Cybersecurite Belgique (CCB) publie le cadre CyberFundamentals, la workbook Excel, la rubrique de notation et le portail Safeonweb @work sans cout. Cela inclut les niveaux BASIC (34 controles), IMPORTANT (132) et ESSENTIAL (217). Le cadre etant gratuit est un choix politique CCB delibere ; il supprime l'objection ere-RGPD la plus courante (cadres proprietaires bloquant la conformite derriere des frais de licence).
2. Effort de preparation : 2-6 mois de temps interne
Une premiere auto-evaluation CyFun BASIC prend typiquement 4-8 semaines d'effort focalise avec une hygiene de securite existante raisonnable ; depuis une baseline presque-nulle, 12-16 semaines. Le niveau IMPORTANT met l'effort a l'echelle 16-24 semaines ; ESSENTIAL a 24-36. C'est la plus grande ligne de cout — et la plus facile a sous-estimer. Le temps interne est de l'argent reel ; un senior compliance lead a 700€/jour pendant 60 jours est 42.000€.
3. Frais audit CAB : 5K€-25K€ (plage rapportee par l'industrie)
Un Conformity Assessment Body (CAB) accredite par BELAC facture par engagement. Les frais rapportes par l'industrie durant 2025-2026 tombent grossierement dans une plage de 5K€-25K€ pour des audits niveau IMPORTANT premiere fois, avec les audits niveau ESSENTIAL tendant 50-100% au-dessus de IMPORTANT. Les frais s'echelonnent avec la taille de l'organisation, la complexite du perimetre, et la qualite de la remise de la workbook (une workbook propre reduit les heures d'audit).
4. Consultance externe optionnelle : 15K€-60K€ (plage rapportee par l'industrie)
La consultance externe pour un premier audit niveau IMPORTANT couvre l'analyse des gaps, la redaction de politiques, le support a la collecte de preuves, le mock-run et l'accompagnement pre-audit. La fourchette basse est pour les organisations avec une hygiene de securite existante raisonnable ; la fourchette haute est pour les organisations partant de presque-nul documentation. Ce seau est optionnel — beaucoup d'organisations utilisent une plateforme outillage plus du temps interne a la place.
Trois Voies, Trois Profils de Couts
Pour une PME belge typique poursuivant l'auto-evaluation CyFun BASIC ou un premier audit CAB niveau IMPORTANT :
| Voie | Cout An-1 | Temps interne |
|---|---|---|
| A. Auto-evaluation BASIC, interne uniquement | ~0€-5K€ (outillage) | 4-12 semaines |
| B. Audit CAB IMPORTANT + consultance externe | 20K€-85K€ | 3-6 mois |
| C. Audit CAB IMPORTANT + ECP-via-MSP | 10K€-35K€ | 3-4 mois |
Tous les chiffres rapportes par l'industrie / estimes sauf la tarification de plateforme ECP. Le temps interne est le plus gros poste budgetaire dans les trois voies.
Ou ECP-via-MSP Atterrit sur la Courbe de Couts
Easy Cyber Protection livre une plateforme de conformite geree que les MSPs operent au nom de leurs clients finaux. La plateforme remplace les heures d'echafaudage manuel qui pilotent les factures de consultance : remplissage de workbook, modeles de politiques, cablage de collecte de preuves, notation mock-run, export Excel compatible CCB.
Tarification de plateforme autoritaire (abonnement par partenaire MSP, facture par le MSP a leurs clients finaux) :
- Starter 399€ setup unique + 75€/client/mois (pas de mensuel) — consultants solo et vCISOs gerant <10 clients. Modeles + import CSV d'entites + sortie d'audit. IA et integrations a partir de Practice.
- Practice 499€/mois + par client selon la taille — petits MSPs avec 10-49 clients.
- Studio 999€/mois + par client selon la taille — cabinet intermediaire avec 50-99 clients.
- Firm 1.999€/mois + par client selon la taille — MSPs etablis avec 100-999 clients.
- Enterprise MSP 4.999€+/mois — MSPs multi-regions et partenaires avec offres de conformite gerees.
Pour un MSP de niveau Starter avec 8 clients de taille S, le cout de plateforme atterrit a environ 79€/client/mois en annee 1 (399€ setup + 8 × 75€ × 12 = 7.599€ / 8 / 12 ≈ 79€). C'est bien sous la depense typique de consultance par cycle d'audit, et la sortie de plateforme (la workbook compatible CCB avec preuves par controle) est exactement ce qu'un CAB recoit.
Les clients enterprise directs (typiquement des entites essentielles au niveau ESSENTIAL) sont hors de la bande de tarification du canal MSP ; ECP sert direct-enterprise de 24K€-122K€ A1 selon le perimetre et la complexite d'integration.
Couts Souvent Oublies
Trois lignes de cout qui echappent a la plupart des premiers budgets CyFun :
- Audits de surveillance. La certification CyberFundamentals est valide 2-3 ans avec audits de surveillance entre les deux. Les frais de surveillance courent grossierement 30-50% de l'audit initial. Les budgets An-2 et An-3 ont besoin d'une ligne.
- Remediation entre audits. Les conclusions de l'audit initial ont besoin de fermeture avant l'audit de surveillance. Si l'approche plateforme-et-temps de remediation n'est pas budgetee, les organisations finissent par payer des tarifs journaliers de consultance exactement quand le prochain audit approche.
- Couts de mise a niveau de tier. Les entites importantes qui grandissent vers la classification entite-essentielle (reclassification de taille ou de secteur) font face a un re-audit au niveau ESSENTIAL. Le cout n'est pas nul — planifiez un budget de rafraichissement tous les 12-18 mois.
Un Cadre de Decision pour la Question d'Argent
Pour les organisations qui pesent l'auto-evaluation contre un audit CAB :
- 1 Si votre classification NIS2 est "importante" et vos grands clients professionnels ne poussent pas pour un certificat externe — commencez par l'auto-evaluation BASIC. Cadre gratuit, temps interne uniquement, voie valide pour satisfaire la deadline du 18 avril 2026.
- 2 Si vous etes une entite essentielle — un audit CAB au niveau IMPORTANT ou ESSENTIAL est obligatoire d'ici le 18 avril 2027. Budgetez les frais d'audit et l'effort de preparation a partir du Q3 2026 au plus tard.
- 3 Si la pression de la chaine d'approvisionnement est le moteur — alignez ce que vos grands clients professionnels demandent. Parfois une auto-evaluation BASIC propre avec une feuille de route de remediation satisfait un questionnaire de due-diligence fournisseur ; parfois seul un certificat CAB externe le fait.
Questions Frequentes
Le cadre CCB CyberFundamentals est-il vraiment gratuit ?
Oui. La specification du cadre, la workbook Excel, la rubrique de notation de maturite, et la soumission via le portail CCB Safeonweb @work sont toutes gratuites. Le cout vit ailleurs : effort de preparation, consultance externe optionnelle, et le frais d'audit CAB pour la certification IMPORTANT ou ESSENTIAL.
Pourquoi n'y a-t-il pas de listes de prix CAB publiees ?
Les Conformity Assessment Bodies (CABs) accredites par BELAC fixent leurs propres tarifs et citent typiquement par engagement base sur la taille de l'organisation, la complexite et le niveau (IMPORTANT ou ESSENTIAL). Au moment de l'ecriture, aucun CAB belge ne publie une carte de tarif forfaitaire. La plage 5K€-25K€ citee ci-dessus est basee sur le rapport de l'industrie et les conversations directes de Tom avec des prospects — ce n'est pas un chiffre publie par CAB autoritaire.
Que couvre reellement la plage de preparation 15K€-60K€ ?
La consultance externe pour un premier audit niveau IMPORTANT couvre typiquement l'analyse des gaps, la redaction de politiques, le support a la collecte de preuves, le mock-run et l'accompagnement pre-audit. La fourchette basse (15K€-20K€) est pour les organisations avec une hygiene de securite existante raisonnable ; la fourchette haute (40K€-60K€) est pour les organisations partant de presque-nul documentation. Ce sont des plages rapportees par l'industrie, pas des citations de sources nommees — collectez trois propositions CAB ou de consultance avant de budgetiser.
Comment l'economie ECP-via-MSP change-t-elle cela ?
Un managed service provider gerant plusieurs clients sur Easy Cyber Protection paie un frais de plateforme par paliers (Starter 399€ setup + 75€/client/mois sans base, Practice 499€/mois, Studio 999€/mois, Firm 1.999€/mois, Enterprise MSP 4.999€+/mois) et amortit cela sur le portefeuille. Le cout par client atterrit bien sous la consultance autonome dans la plage 5K€-60K€, parce que la plateforme remplace les heures d'echafaudage manuel (remplissage de workbook, modeles de politiques, collecte de preuves, mock-run) et le MSP fournit l'expertise par-dessus.
Puis-je faire un audit CAB sans preparation externe ?
Oui — et beaucoup d'organisations le font, surtout quand un compliance lead interne pilote le travail et une couche d'outillage comme ECP gere la machinerie workbook + preuves. Le CCB n'exige pas que vous engagiez une consultance avant de soumettre a un CAB. La question honnete est de savoir si votre equipe a 2-6 mois de bande passante disponible et la discipline pour noter la workbook honnetement — les deux etant plus faciles a sous-estimer qu'a surestimer.
Y a-t-il une difference entre les couts d'audit IMPORTANT et ESSENTIAL ?
Oui. Le niveau ESSENTIAL couvre 217 controles vs 132 pour IMPORTANT, plus des exigences de preuves plus rigoureuses par controle. Le rapport de l'industrie suggere que les audits CAB niveau ESSENTIAL tendent 50-100% au-dessus des audits niveau IMPORTANT en frais et temps de preparation, avec le differentiel de cout plus grand pour les organisations dont la posture de securite existante est plus proche de BASIC que de IMPORTANT.
Qu'en est-il de la maintenance de certification continue ?
La certification CyberFundamentals est typiquement valide pour 2-3 ans avec audits de surveillance entre les deux. Les audits de surveillance sont de plus petit perimetre (re-verification d'un echantillon de controles) et courent grossierement 30-50% du frais d'audit initial. Planifiez cela dans les budgets an-2 et an-3.