CyberFundamentals belge (CCB) — de Small à Essential
Préparé par
Tom Janssens · Fondateur, ECP
Langues
NL · FR · EN
§2 Les quatre piliers en un coup d'œil
§2 Les quatre piliers en un coup d'œil
#
Pilier
Affirmation centrale
Démonstration
01
La marge vous revient
Marge 70 %+ typique au palier Practice — pas de partage de revenus, pas de gating.
voir §3
02
Deux fois moins d'heures par client
≈40–50 % de temps CISO en moins sur la corvée autour de votre jugement.
voir §4
03
CyFun natif
Construit directement à partir de la spécification CCB CyberFundamentals.
voir §5
04
Local-first par défaut
Piste d'audit infalsifiable ; sûr par l'architecture, pas par promesse.
voir §6
01
La marge vous revient
Marge 70 %+ typique au palier Practice — pas de partage de revenus, pas de gating.
voir §3
02
Deux fois moins d'heures par client
≈40–50 % de temps CISO en moins sur la corvée autour de votre jugement.
voir §4
03
CyFun natif
Construit directement à partir de la spécification CCB CyberFundamentals.
voir §5
04
Local-first par défaut
Piste d'audit infalsifiable ; sûr par l'architecture, pas par promesse.
voir §6
L'argumentaire en 30 secondes. Chaque pilier est développé en §3 à §6.
§3 La marge vous revient
Tarification MSP adaptée à votre échelle, plus la composition de vos clients. White-label, pas de partage de revenus, pas de gating — chaque palier inclut le produit complet.
§3 La marge vous revient
Approche
Coût indicatif (A1)
Adapté aux MSP
Mission de consultance (par client)
10 000 €–20 000 €
Aucun levier — chaque client repart à zéro.
Plateforme GRC générique
8 000 €–30 000 € + intégrateur
Indépendant du cadre — CyFun n'est qu'un habillage, pas la spec.
Tableur + preuves manuelles
Bon marché ; coûteux en heures CISO
Plafond d'échelle vers 5–10 clients avant que le tableur ne l'emporte.
ECP (exemple palier Practice)
~1 950 €/mois pour 50 clients SME ; retail 5 000 €+
Marge 70 %+ typique, white-label inclus.
Mission de consultance (par client)
10 000 €–20 000 €
Aucun levier — chaque client repart à zéro.
Plateforme GRC générique
8 000 €–30 000 € + intégrateur
Indépendant du cadre — CyFun n'est qu'un habillage, pas la spec.
Tableur + preuves manuelles
Bon marché ; coûteux en heures CISO
Plafond d'échelle vers 5–10 clients avant que le tableur ne l'emporte.
ECP (exemple palier Practice)
~1 950 €/mois pour 50 clients SME ; retail 5 000 €+
Marge 70 %+ typique, white-label inclus.
Barème complet (paliers par client et durées d'engagement) sur le dossier d'engagement — voir /.
Pourquoi cela fonctionne
·Tarifs grossiste par client (25 € à 750 €/mois selon le nombre d'entités) — vous fixez le retail.
·White-label partout — votre logo sur les politiques, rapports, dossiers de preuves et portail client.
·Pas de gating — chaque palier inclut white-label, toutes les intégrations, l'IA complète.
·Pas de partage de revenus, pas de commission — marge pure.
§4 Deux fois moins d'heures par client
Mapping des contrôles, collecte de preuves, détection de lacunes et dossiers d'audit sont automatisés. La corvée autour de votre jugement disparaît — le jugement, les échanges client et l'horloge CAB restent de votre côté.
§4 Deux fois moins d'heures par client
Phase
Ordre
Résultat
Onboarding & évaluation
D'abord
Périmètre, entités, palier CyFun, registre des risques par client, rapport de lacunes en direct.
Construction & preuves
Ensuite
Politiques rédigées par IA (NL/FR/EN), coffre de preuves structuré, cohérence inter-doc.
Dossier d'audit
Enfin
.zip signé en un clic — Excel CCB officiel rempli de preuves liées.
D'abord
Onboarding & évaluation
Périmètre, entités, palier CyFun, registre des risques par client, rapport de lacunes en direct.
Ensuite
Construction & preuves
Politiques rédigées par IA (NL/FR/EN), coffre de preuves structuré, cohérence inter-doc.
Enfin
Dossier d'audit
.zip signé en un clic — Excel CCB officiel rempli de preuves liées.
Ordre des phases, pas durée — l'horloge CAB dépend de la posture de départ du client et de votre bande passante, pas d'une promesse marketing.
§5 CyFun natif
CyFun n'est pas une fonctionnalité parmi d'autres — c'est le produit entier. Construit directement à partir de la spécification officielle du Centre for Cybersecurity Belgium (CCB), en NL, FR et EN.
Version du cadre
CCB CyberFundamentals 2025 (Small · Basic · Important · Essential)
Nombre de contrôles
Small 7 · Basic 34 · Important 132 · Essential 217 — vérifié à chaque version contre la spec CCB.
Livrable
Dossier d'audit prêt pour le CAB — Excel CCB officiel rempli de toutes les preuves, dans un .zip signé numériquement.
Parcours d'évolution
Progression Small → Basic → Important → Essential. Les preuves d'un palier se reportent au suivant — vous ne faites que le delta.
Pourquoi cela compte pour votre résultat CAB
·Les exigences de preuves par contrôle suivent la spec CCB — pas d'incertitude sur ce que les auditeurs attendent.
·NL/FR/EN partout — contrôles, politiques, libellés de preuves et exports.
·Sortie Excel CCB directe — le dossier d'audit est l'artefact examiné par le CAB, pas une traduction.
·Pas de rétrofit : commencer en Basic ne vous ferme pas Important ou Essential plus tard.
§6 Garanties architecturales
Local-first n'est pas un slogan — c'est l'architecture. Trois principes, chacun avec une conséquence concrète pour votre réponse sur la résidence des données.
§6 Garanties architecturales
Principe
Ce que cela signifie
Conséquence pour vous
6.1 Local-first par défaut
Les données de conformité de chaque client résident dans un bundle portable, signé numériquement, sur leur propre infrastructure — pas dans notre cloud.
Réponse de résidence : « le stockage du client lui-même » — pas de questionnaire SaaS transfrontalier à remplir.
6.2 Cloud uniquement pendant le travail
Le bundle est hébergé côté serveur seulement durant les éditions actives, puis restitué au client en snapshot.
Pas de copie cloud permanente — la surface d'attaque et d'injonction se limite aux sessions actives.
6.3 Piste d'audit infalsifiable
Chaque modification est un événement signé numériquement. L'auditeur CAB peut rejouer et vérifier l'historique complet — sans avoir à faire confiance à ECP.
Votre défense d'audit : « vérifiez le bundle vous-même » — la position la plus solide face à un auditeur CAB.
6.1 Local-first par défaut
Les données de conformité de chaque client résident dans un bundle portable, signé numériquement, sur leur propre infrastructure — pas dans notre cloud.
Réponse de résidence : « le stockage du client lui-même » — pas de questionnaire SaaS transfrontalier à remplir.
6.2 Cloud uniquement pendant le travail
Le bundle est hébergé côté serveur seulement durant les éditions actives, puis restitué au client en snapshot.
Pas de copie cloud permanente — la surface d'attaque et d'injonction se limite aux sessions actives.
6.3 Piste d'audit infalsifiable
Chaque modification est un événement signé numériquement. L'auditeur CAB peut rejouer et vérifier l'historique complet — sans avoir à faire confiance à ECP.
Votre défense d'audit : « vérifiez le bundle vous-même » — la position la plus solide face à un auditeur CAB.
§7 Questions fréquentes — pourquoi ECP vs. alternatives
Q1.Pourquoi pas une plateforme GRC générique qui prend en charge plusieurs cadres ?
Les plateformes GRC génériques rhabillent une bibliothèque de contrôles pour qu'elle ressemble à CyFun. Elles sont indépendantes du cadre, ce qui signifie que les exigences de preuves spécifiques à CyFun, le format Excel CCB et la progression à quatre paliers sont en surcouche. ECP est construit depuis la spec — chaque contrôle, chaque type de preuve, chaque export correspond à ce qu'attend l'auditeur CAB, parce qu'il n'y a pas de couche de traduction.
Q2.Un consultant CyFun expérimenté pourrait-il livrer cela plus vite ?
Pour un seul client : peut-être. Pour cinq, dix, cinquante — le consultant devient le goulot d'étranglement et la facture évolue de façon linéaire. ECP automatise la corvée (mapping des contrôles, politiques rédigées par IA, collecte structurée de preuves, détection de lacunes, assemblage du dossier d'audit) pour que le jugement du consultant porte plus loin. Des consultants seniors restent disponibles sur demande, facturés à la journée ; la plateforme fait compter leurs heures.
Q3.Pourquoi pas des tableurs et un drive partagé ?
Au cinquième client, le tableur gagne. La cohérence inter-documents casse ; les preuves dérivent par rapport aux politiques ; l'auditeur CAB voit l'écart en premier. ECP encode la structure une fois et le flux reste le même à 5 ou 500 clients — c'est ce qu'on ne reproduit pas avec des drives partagés.
Q4.Qu'arrive-t-il aux données de mon client si je quitte ECP ?
Vous exportez le bundle signé — politiques, preuves, évaluations, historique event-sourced complet — et vous partez. Le bundle est la source de vérité, pas notre base de données. Chaque modification est reconstructible à partir du seul bundle, par quiconque possède la clé publique de vérification. L'auditeur CAB peut le rejouer indépendamment. La souveraineté est par l'architecture, pas par promesse.
NL, FR et EN partout — interface, contrôles, politiques, libellés de preuves, exports. Les références CCB et BELAC sont des citoyens de première classe, pas des ajouts. La préparation supply-chain NIS2 est mappée aux preuves attendues par palier CyFun. L'échéance de transposition d'avril 2026 est suivie au niveau organisation pour que vous sachiez quels clients sont sous compte à rebours.
Q6.ECP est-il lui-même audité ou certifié ?
ECP est un outil, pas l'auditeur. Le CAB (Conformity Assessment Body) audite votre client ; ECP produit les artefacts que le CAB examine. Les garanties architecturales du §6 — stockage local-first, événements signés, historique rejouable — permettent au CAB de vérifier les preuves indépendamment. La confiance n'a pas besoin d'être dans notre entreprise ; elle est dans les mathématiques.
Parcourons-le ensemble.
Appel de 20 minutes. On prend un de vos clients réels et on applique les quatre piliers dessus.
