Découvert dans le cadre de l’Executive Master in Cybersecurity Management de Solvay Brussels School, CyberFundamentals (CyFun) a immédiatement attiré mon attention.

J’ai toujours aimé les référentiels solides — ISO 27001, NIST, les guidelines construites par des experts qui ont vraiment réfléchi au sujet. Ce sont des outils qui structurent la pensée et qui aident les organisations à progresser concrètement.

Restait à voir comment CyFun se comportait sur le terrain.

Puis je l’ai appliqué sur le terrain.

Et c’est là que le sujet devient intéressant.

À l’heure où l’Europe accélère autour de NIS2, du Cyber Resilience Act et des exigences de résilience opérationnelle, la Belgique a choisi une approche assez différente : ne pas seulement réglementer, mais aider concrètement les entreprises à progresser.

Pas uniquement avec des audits.

Pas uniquement avec des obligations.

Mais avec une méthode pragmatique, accessible et structurante.

Un framework pensé pour être utilisé

CyberFundamentals repose sur une idée relativement simple : évaluer la maturité cybersécurité d’une organisation à travers plusieurs domaines clés, avec des questionnaires compréhensibles, des attentes documentaires explicites et des niveaux de progression clairs.

Sur le papier, cela paraît évident.

Dans la réalité, très peu de frameworks réussissent cet équilibre entre :

  • simplicité d’usage ;
  • alignement avec les standards internationaux ;
  • applicabilité opérationnelle ;
  • capacité pédagogique.

CyFun y parvient étonnamment bien.

Le framework s’appuie discrètement — mais clairement — sur des référentiels connus :

  • ISO 27001 ;
  • NIST ;
  • bonnes pratiques de gouvernance ;
  • exigences de résilience et de documentation.

Le résultat est suffisamment structuré pour être crédible auprès des équipes sécurité, sans devenir inaccessible pour les organisations moins matures.

Et c’est probablement là sa plus grande force.

“Not one size fits all”

L’autre élément particulièrement pertinent est que l’approche n’est pas uniforme.

CyberFundamentals cherche à rapprocher les attentes cybersécurité du contexte réel de l’entreprise :

  • secteur d’activité ;
  • criticité ;
  • niveau de maturité ;
  • exposition opérationnelle.

C’est un détail important.

Car beaucoup d’organisations échouent non pas parce qu’elles refusent la sécurité, mais parce qu’on leur applique des modèles impossibles à absorber opérationnellement.

CyFun évite en partie cet écueil.

Le framework donne un cadre, mais laisse de l’espace au pragmatisme.

Et lorsqu’on l’applique dans une grande organisation, ce pragmatisme devient indispensable.

La spider chart qui fait mal

Comme beaucoup de modèles de maturité, CyberFundamentals produit une représentation visuelle des résultats.

La fameuse spider chart.

Sur le principe, l’exercice semble presque banal.

En pratique, il est souvent brutal.

Parce qu’il met face à face :

  • la perception de maturité ;
  • la réalité documentée ;
  • la capacité réelle à démontrer les pratiques annoncées.

Et c’est ici que l’outil devient particulièrement intéressant.

Car CyFun est implacable sur un point fondamental :

“Vous estimez être au niveau 3. Très bien. Pouvez-vous montrer la documentation associée ?”

Cette simple question change complètement la dynamique.

Soudainement :

  • les certitudes deviennent plus fragiles ;
  • les approximations apparaissent ;
  • les “oui, bien sûr” deviennent des recherches fébriles dans SharePoint ;
  • certaines pratiques supposées existantes se révèlent en réalité informelles, orales ou dépendantes de quelques individus.

Le framework agit alors moins comme un audit technique que comme un révélateur organisationnel.

Ce que l’exercice révèle vraiment

En l’ayant utilisé dans une grande entreprise, j’ai rapidement constaté que la difficulté n’était pas technique.

Elle était humaine.

Parce qu’une évaluation de maturité crédible impose :

  • du pragmatisme ;
  • de la diplomatie ;
  • une capacité à challenger sans braquer ;
  • et surtout une implication transverse des équipes.

L’outil peut être utilisé relativement rapidement.

Avec peu d’ancienneté dans l’entreprise, il est déjà possible de compléter une grande partie de l’évaluation.

Une demi-journée avec un CISO ou un responsable sécurité permet souvent d’obtenir une première vue cohérente.

Mais ce premier exercice ne suffit pas.

Le vrai travail commence lorsqu’il faut impliquer :

  • les opérations ;
  • l’IT ;
  • le cloud ;
  • les équipes produit ;
  • les responsables métiers ;
  • les architectes ;
  • parfois même les RH ou le juridique.

Et c’est là que les écarts apparaissent.

Non pas forcément des mensonges explicites.

Mais des omissions.

Des zones grises.

Des sujets “supposés gérés”.

Des contrôles jamais réellement formalisés.

Des pratiques dépendantes d’une seule personne.

La cybersécurité comme maturité organisationnelle

C’est probablement ce que CyberFundamentals met le mieux en lumière :

la cybersécurité n’est pas uniquement un sujet de contrôle.

C’est un sujet de maturité organisationnelle.

Le framework ne mesure pas seulement :

  • des configurations ;
  • des politiques ;
  • des procédures.

Il mesure indirectement :

  • la capacité d’une organisation à se structurer ;
  • documenter ;
  • transmettre ;
  • démontrer ;
  • gouverner.

Et dans le contexte européen actuel, cette capacité devient essentielle.

Car avec NIS2, les organisations devront de plus en plus prouver leur maîtrise — pas simplement l’affirmer.

Une approche européenne intéressante

La Belgique montre ici une approche particulièrement intéressante de la cybersécurité nationale.

Au lieu de produire uniquement des obligations réglementaires, l’écosystème belge cherche aussi à :

  • accompagner ;
  • structurer ;
  • rendre les attentes compréhensibles ;
  • faire progresser les entreprises.

C’est une différence importante.

Et probablement une direction dont d’autres pays européens pourraient s’inspirer.

Parce qu’entre les grands frameworks théoriques et la réalité opérationnelle des entreprises, il existe souvent un fossé considérable.

CyberFundamentals essaie justement de réduire cet écart.

Simplement.

Pragmatiquement.

Et parfois, c’est exactement ce dont les organisations ont besoin.