Que faire si mon partenaire IT n'a pas entendu parler de CyFun ?

Information utile. Le cadre CCB CyberFundamentals est la voie de conformite belge officielle pour NIS2 et est en ligne depuis 2023. Un partenaire IT qui ne le connait pas peut encore se mettre au courant — le cadre est bien documente et gratuit — mais demandez sur le calendrier et le cout franchement. S'ils ont besoin de 3 mois pour apprendre le cadre avant de pouvoir commencer votre evaluation, le calcul peut favoriser un partenaire deja certifie ou forme ECP.

Combien le partenaire IT devrait-il facturer pour une auto-evaluation CyFun BASIC ?

Les plages rapportees par l'industrie suggerent qu'une auto-evaluation CyFun BASIC geree coute 3K€-15K€ selon que le partenaire utilise une plateforme outillage (fourchette basse) ou une approche manuelle (fourchette haute). Les MSPs executant ECP facturent dans la bande basse parce que la plateforme remplace les heures d'echafaudage manuel. Voir l'article sur le cout de l'audit CAB pour la decomposition complete des couts.

Que faire si mon partenaire IT me pousse plutot vers ISO 27001 ?

Une position defendable si vous avez deja ou construisez un ISMS ISO 27001. Le CCB reconnait ISO 27001 avec une Statement of Applicability mappee NIS2 comme voie d'equivalence. Pour les PME sans ISMS existant, CyFun BASIC est plus rapide, moins cher, et explicitement accepte par le CCB comme l'auto-evaluation NIS2 minimale. Comparez les deux voies avant de vous engager.

Mon partenaire IT peut-il prendre notre travail de securite existant et juste soumettre l'evaluation ?

Parfois. Si votre partenaire a gere MFA, EDR, backups, patching et reponse aux incidents avec preuves documentees, le gap vers une auto-evaluation BASIC propre est principalement de mapper leurs artefacts existants a la structure de la workbook CCB. Si la documentation a ete ad-hoc, le gap est plus grand. Le test honnete : demandez-leur de vous montrer les 3 derniers mois de rapports de conformite des correctifs et de logs de test de restauration de backup. Si ceux-ci sont faciles a recuperer, vous etes en bonne forme.

Mon partenaire IT est genial en securite mais la conformite n'est pas leur truc — que dois-je faire ?

Schema courant dans le marche PME belge. Deux options : (1) faire venir une consultance de conformite separee pour gerer la couche CyFun pendant que votre partenaire continue a executer les controles techniques, ou (2) demander a votre partenaire de s'integrer a une plateforme de conformite geree comme ECP, qui leur permet de livrer des services de conformite sans construire une pratique de conformite a partir de zero. Le second est le modele autour duquel ECP est concu.

Que faire si mon partenaire IT n'a pas entendu parler de CyFun ?

Information utile. Le cadre CCB CyberFundamentals est la voie de conformite belge officielle pour NIS2 et est en ligne depuis 2023. Un partenaire IT qui ne le connait pas peut encore se mettre au courant — le cadre est bien documente et gratuit — mais demandez sur le calendrier et le cout franchement. S'ils ont besoin de 3 mois pour apprendre le cadre avant de pouvoir commencer votre evaluation, le calcul peut favoriser un partenaire deja certifie ou forme ECP.

Combien le partenaire IT devrait-il facturer pour une auto-evaluation CyFun BASIC ?

Les plages rapportees par l'industrie suggerent qu'une auto-evaluation CyFun BASIC geree coute 3K€-15K€ selon que le partenaire utilise une plateforme outillage (fourchette basse) ou une approche manuelle (fourchette haute). Les MSPs executant ECP facturent dans la bande basse parce que la plateforme remplace les heures d'echafaudage manuel. Voir l'article sur le cout de l'audit CAB pour la decomposition complete des couts.

Que faire si mon partenaire IT me pousse plutot vers ISO 27001 ?

Une position defendable si vous avez deja ou construisez un ISMS ISO 27001. Le CCB reconnait ISO 27001 avec une Statement of Applicability mappee NIS2 comme voie d'equivalence. Pour les PME sans ISMS existant, CyFun BASIC est plus rapide, moins cher, et explicitement accepte par le CCB comme l'auto-evaluation NIS2 minimale. Comparez les deux voies avant de vous engager.

Mon partenaire IT peut-il prendre notre travail de securite existant et juste soumettre l'evaluation ?

Parfois. Si votre partenaire a gere MFA, EDR, backups, patching et reponse aux incidents avec preuves documentees, le gap vers une auto-evaluation BASIC propre est principalement de mapper leurs artefacts existants a la structure de la workbook CCB. Si la documentation a ete ad-hoc, le gap est plus grand. Le test honnete : demandez-leur de vous montrer les 3 derniers mois de rapports de conformite des correctifs et de logs de test de restauration de backup. Si ceux-ci sont faciles a recuperer, vous etes en bonne forme.

Mon partenaire IT est genial en securite mais la conformite n'est pas leur truc — que dois-je faire ?

Schema courant dans le marche PME belge. Deux options : (1) faire venir une consultance de conformite separee pour gerer la couche CyFun pendant que votre partenaire continue a executer les controles techniques, ou (2) demander a votre partenaire de s'integrer a une plateforme de conformite geree comme ECP, qui leur permet de livrer des services de conformite sans construire une pratique de conformite a partir de zero. Le second est le modele autour duquel ECP est concu.

Comment Parler a Votre Partenaire IT d'un Audit CAB CyFun

Pourquoi Cette Conversation Compte Maintenant

La deadline d'auto-evaluation du 18 avril 2026 est deja passee. Environ 84% des organisations belges dans le perimetre n'etaient pas pleinement pretes (enquete sectorielle D3 Security, avril 2026). Le prochain point de pression est la deadline de certification complete entite-essentielle du 18 avril 2027 — et un cycle d'audit Conformity Assessment Body (CAB) prend 3-6 mois une fois la preparation faite.

Pour la plupart des PME belges, le partenaire IT est le point de depart naturel. Ils gerent deja MFA, EDR, backups, patching, et probablement certaines des politiques. La question est de savoir s'ils peuvent aussi produire l'artefact dont un audit CAB a besoin : une workbook CCB CyberFundamentals notee honnetement, avec preuves par controle, prete pour la soumission.

La conversation ci-dessous est concue pour faire emerger la reponse a cette question rapidement — sans mettre votre partenaire sur la defensive.

Demarreur d'Email a Copier-Coller

Remplacez les espaces reserves entre crochets, collez dans votre client de messagerie, envoyez. Les cinq questions sont delimitees pour que vous obteniez une reponse concrete dans la premiere reponse, pas une brochure marketing.

Objet : Preparation audit NIS2 — pouvons-nous discuter ?

Bonjour [nom du partenaire],

La loi belge NIS2 nous oblige a etre prets pour un audit de cybersecurite. La deadline d'auto-evaluation du 18 avril 2026 est deja passee et la deadline de certification complete du 18 avril 2027 est la prochaine.

Nous devons soumettre une auto-evaluation CyFun (CyberFundamentals) au CCB et idealement commencer a preparer un audit CAB au niveau IMPORTANT ou ESSENTIAL. J'aimerais comprendre :

1. Etes-vous familier avec CCB CyberFundamentals (BASIC = 34 controles, IMPORTANT = 132, ESSENTIAL = 217) ? Avez-vous accompagne d'autres clients a travers cela ?

2. Pouvez-vous delimiter une auto-evaluation CyFun BASIC pour nous ? A quoi cela ressemble-t-il en temps, cout, et votre implication versus la notre ?

3. Pouvez-vous collecter les preuves que la workbook CCB attend (politiques, captures d'ecran, echantillons de log, registres de formation) pour nos controles existants — MFA, EDR, backups, patch management ?

4. Avez-vous une couche d'outillage (plateforme de conformite, wiki de preuves) que vous utiliseriez, ou ferions-nous cela dans Excel ?

5. Si nous avions besoin d'un audit CAB au niveau IMPORTANT, geriez-vous la preparation, ou engagerions-nous une consultance separee ?

Un court appel cette semaine aiderait. Pourriez-vous repondre avec deux ou trois creneaux horaires ?

Merci,
[votre nom]

Lire la Reponse Honnetement

Trois signaux a ecouter dans la reponse de votre partenaire :

Specificite plutot que generalites. "Nous pouvons faire cela en 6 semaines pour X€" est une vraie reponse. "Nous le delimiterons" ne l'est pas. Poussez pour la reponse concrete.
Outillage vs Excel. Un partenaire qui execute des evaluations CyFun depuis Excel peut le faire ; un partenaire avec une plateforme de conformite sera 2-3x plus rapide et la qualite de la workbook sera plus elevee. Demandez explicitement.
Honnetete sur le perimetre niveau-CAB. Une auto-evaluation BASIC est bien dans la capacite de la plupart des MSPs a livrer. Un audit CAB IMPORTANT ou ESSENTIAL est un effort plus important ; les partenaires qui disent "nous trouverons une solution" sans referencer une methode ou plateforme ont plus de chances de sous-livrer. Mieux d'entendre "nous nous associerions a X pour la couche CAB" qu'une vague confiance.

Si Votre Partenaire Veut Livrer la Conformite mais Manque du Toolkit

Easy Cyber Protection est concu pour les managed service providers dans exactement cette situation. Votre partenaire IT obtient une plateforme de conformite qui :

Mappe chaque controle CyFun BASIC, IMPORTANT et ESSENTIAL a la collecte de preuves — pas d'Excel.
Tire les donnees de couverture en direct de Microsoft Graph, Sophos, Bitdefender dans les fentes de preuves de controle pertinentes automatiquement.
Exporte la workbook Excel compatible CCB que le portail Safeonweb @work accepte — et reimporte les conclusions CAB sans reconciliation manuelle.
Transferez cet article a votre partenaire IT — la page partenaire ci-dessous a la configuration technique.