Cyber Essentials est un programme de certification en cybersécurité soutenu par le gouvernement britannique qui aide les organisations à se défendre contre les menaces en ligne les plus courantes. Ce programme est administré par l'IASME pour le compte du Centre national de cybersécurité (NCSC) et exige la mise en œuvre de cinq mesures techniques portant sur les pare-feu, la configuration sécurisée, le contrôle d'accès des utilisateurs, la protection contre les logiciels malveillants et les mises à jour de sécurité. L'obtention de cette certification atteste auprès de vos clients, des organismes de réglementation et de vos partenaires de la chaîne d'approvisionnement que votre entreprise prend au sérieux les fondamentaux de la cybersécurité.
Ce guide explique tout ce qu'une entreprise britannique doit savoir sur Cyber Essentials en 2026 : ce que couvre exactement le programme, qui en a besoin, son coût, sa durée, les différences entre la certification de base et Cyber Essentials Plus, et sa comparaison avec des normes plus générales comme… ISO 27001Nous terminons par les erreurs les plus courantes commises par les organisations et montrons comment ISMS.en ligne raccourcit le chemin entre la période d'inactivité et l'obtention d'un certificat.
Qu’est-ce que Cyber Essentials ?
Cyber Essentials est un programme de certification soutenu par le gouvernement britannique qui définit un ensemble minimal de mesures de cybersécurité que toute organisation devrait mettre en œuvre. Lancé en 2014, ce programme est désormais supervisé par le NCSC et dispensé par l'IASME, unique organisme d'accréditation, qui collabore avec un réseau d'organismes de certification à travers le Royaume-Uni. Il est conçu pour être pratique et proportionné, en se concentrant sur les mesures techniques permettant de bloquer la majorité des cyberattaques opportunistes.
Le programme comporte deux niveaux. La certification Cyber Essentials de base s'obtient grâce à un questionnaire d'auto-évaluation (le questionnaire SAQ, que l'IASME met à jour à chaque nouvelle version du programme) signé par un cadre supérieur de l'entreprise, puis examiné par un évaluateur externe. Cyber Essentials Plus ajoute un audit technique indépendant en plus, au cours duquel l'évaluateur effectue des tests pratiques sur un échantillon de vos appareils, recherche les correctifs manquants et vérifie que les contrôles fonctionnent réellement en pratique.
Selon le NCSC, les organisations ayant mis en place la certification Cyber Essentials sont nettement moins susceptibles d'être victimes de cyberattaques courantes telles que le vol d'identifiants par hameçonnage, les rançongiciels diffusés via des logiciels non mis à jour et les logiciels malveillants propagés par les configurations par défaut. Le certificat est valable 12 mois à compter de sa date d'émission et doit être renouvelé chaque année en répondant aux questions en vigueur au moment du renouvellement.
Il est important de préciser ce que n'est pas Cyber Essentials. Il ne s'agit pas d'un test d'intrusion technique approfondi, ni d'un système de gestion de la sécurité de l'information (ce rôle étant défini par la norme ISO 27001), ni d'une certification de conformité au RGPD (qui relève d'une obligation réglementaire distincte). C'est un contrôle ciblé et reproductible permettant de vérifier que les fondamentaux de la cybersécurité sont en place au sein de l'organisation. La valeur de ce dispositif réside dans le fait que les contrôles qu'il teste sont précisément ceux qui bloquent la grande majorité des attaques opportunistes auxquelles les entreprises britanniques sont confrontées.
Qui a besoin de Cyber Essentials ? (et pourquoi)
La certification Cyber Essentials est obligatoire ou fortement recommandée pour un nombre croissant d'organisations britanniques. Les raisons les plus courantes pour lesquelles les entreprises obtiennent cette certification sont les suivantes :
- Contrats du gouvernement central du Royaume-Uni Depuis 2014, les fournisseurs soumissionnant pour des marchés publics impliquant le traitement de données personnelles ou la fourniture de certains produits et services TIC doivent être titulaires de la certification Cyber Essentials. Cette exigence est inscrite dans le cadre standard des marchés publics et s'applique aux fournisseurs directs ainsi qu'à de nombreux sous-traitants.
- fournisseurs du ministère de la Défense (MOD) — Le ministère de la Défense exige la certification Cyber Essentials pour tous les fournisseurs traitant des informations identifiables par le ministère, et la certification Cyber Essentials Plus est requise lorsque le fournisseur traite des données plus sensibles en niveau DEFCON 658.
- Fournisseurs du NHS et boîte à outils de sécurité et de protection des données — Les fournisseurs des organismes du NHS ont souvent besoin de la certification Cyber Essentials dans le cadre de l'évaluation du Data Security and Protection Toolkit.
- appels d'offres des collectivités locales et du secteur public — De nombreux conseils municipaux, services d'urgence et organismes indépendants incluent désormais la certification Cyber Essentials comme critère d'acceptation ou d'échec lors des appels d'offres.
- chaînes d'approvisionnement du secteur privé — Les grandes entreprises britanniques demandent de plus en plus aux PME fournisseurs de prouver leur certification Cyber Essentials avant de signer des contrats, notamment pour les sous-traitants de données, les fournisseurs informatiques et les prestataires de services gérés.
- Cyber assurance L'obtention de la certification Cyber Essentials permet souvent de bénéficier de primes d'assurance cyber plus avantageuses, voire constitue une condition préalable à la couverture. Ce certificat, soutenu par l'IASME, inclut également une couverture responsabilité civile gratuite pour les petites entreprises britanniques dont le chiffre d'affaires est inférieur à 20 millions de livres sterling.
- Signal de confiance aux clients — Le badge de certification est un indicateur reconnu de votre maîtrise des fondamentaux de la cybersécurité, ce qui est important pour les évaluations des ventes, du marketing et des achats B2B.
Si votre organisation ne correspond à aucune des situations décrites ci-dessus et n'est soumise à aucune contrainte contractuelle immédiate, la certification Cyber Essentials constitue néanmoins un choix judicieux. Son coût est faible, les contrôles sont des bonnes pratiques reconnues et le processus de certification vous oblige à documenter des mesures que vous devriez déjà avoir mises en place.
Que couvre la certification Cyber Essentials ? Les 5 domaines de contrôle
Cyber Essentials définit cinq domaines de contrôle technique. Chaque appareil, compte utilisateur et service cloud concerné doit satisfaire aux exigences des cinq domaines. Le tableau ci-dessous récapitule l'objectif de chaque domaine de contrôle et les éléments de preuve recherchés par les évaluateurs. Pour plus de détails sur les exigences, consultez notre [lien/référence manquante]. Exigences en matière de cybersécurité guider.
| Zone de contrôle | Ce qu'il couvre | Que vérifient les évaluateurs ? |
|---|---|---|
| 1. Pare-feu et routeurs | La limite du réseau entre votre entreprise et Internet, y compris les routeurs fournis par le FAI, les pare-feu dédiés et les pare-feu hôtes sur les ordinateurs portables itinérants. | Les mots de passe d'administrateur par défaut ont été modifiés ; les règles de trafic entrant sont documentées et justifiées ; les pare-feu hôtes sont activés sur les appareils utilisés en dehors du bureau. |
| 2. Configuration sécurisée | Supprimer les faiblesses inhérentes aux appareils et aux services cloud dès leur installation : comptes par défaut, exemples de mots de passe, paramètres d’exécution automatique, services inutiles. | Suppression des mots de passe par défaut ; désactivation des comptes utilisateurs et logiciels inutiles ; authentification multifacteur (MFA) sur tous les comptes d'administrateur ; longueur minimale du mot de passe de 12 caractères (8 caractères lorsque la MFA est en place). |
| 3. Contrôle d'accès utilisateur | Comment les comptes utilisateurs sont créés, authentifiés, dotés de privilèges et supprimés lorsque les utilisateurs quittent l'entreprise. | Processus documenté d'arrivée, de déplacement et de départ ; comptes d'administrateur séparés des comptes quotidiens ; authentification multifacteur pour les utilisateurs du cloud lorsque cela est possible ; révision annuelle des privilèges d'administrateur. |
| 4. Protection contre les logiciels malveillants | Protection des appareils contre les codes malveillants à l'aide de logiciels anti-malware, d'applications autorisant le listing ou le sandboxing. | Un mécanisme approuvé est en place sur chaque appareil concerné ; les signatures sont tenues à jour ; les applications mobiles proviennent uniquement des boutiques officielles ; la numérisation à l’accès est activée. |
| 5. Gestion des mises à jour de sécurité | Assurer la maintenance, la mise à jour et le suivi de tous les logiciels afin que les attaquants ne puissent pas exploiter les vulnérabilités connues. | Seuls les logiciels pris en charge par le fournisseur sont utilisés ; les correctifs critiques et de haute importance sont appliqués dans un délai de 14 jours ; les systèmes d'exploitation et les navigateurs en fin de vie sont supprimés ; le micrologiciel des routeurs et des pare-feu est maintenu à jour. |
Les cinq mêmes contrôles s'appliquent aux ordinateurs portables, ordinateurs de bureau, serveurs, appareils mobiles, équipements réseau et services cloud concernés. Ce dispositif considère les services cloud (Microsoft 365, Google Workspace, AWS, Azure et autres) comme une extension de votre environnement et non comme une exception. Vous êtes toujours responsable de l'accès utilisateur, de l'authentification multifacteur et de la configuration du locataire pour chaque service cloud que vous utilisez.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Cyber Essentials vs Cyber Essentials Plus
La question la plus fréquente concernant Cyber Essentials est la suivante : ai-je besoin de la certification de base ou de la certification Plus ? La réponse honnête est que les deux ne sont pas vraiment des alternatives. Plus est la certification de base avec une vérification technique indépendante en plus. Vous ne pouvez pas bénéficier du statut Plus sans avoir préalablement obtenu le statut Cyber Essentials de base.
Le tableau ci-dessous présente les différences pratiques. Pour plus de détails techniques sur l'audit Plus, consultez notre Exigences de Cyber Essentials Plus guider.
| Caractéristique | Cyber Essentials (niveau de base) | Cyber Essentials Plus |
|---|---|---|
| Méthode d'évaluation | Questionnaire d'auto-évaluation (QAE) signé par un cadre supérieur et examiné par un évaluateur | Auto-évaluation suivie d'un audit technique indépendant, comprenant des tests pratiques sur un échantillon d'appareils |
| Analyse de vulnérabilité | Pas nécessaire | Analyses de vulnérabilité authentifiées internes et externes d'échantillons d'appareils |
| Test des configurations par défaut, de l'authentification multifacteur et des correctifs | Confirmé par attestation | Vérifié physiquement par l'évaluateur |
| Coût typique | À partir de 330 £ + TVA pour les micro-entreprises, jusqu'à 500 £ + TVA pour les grandes entreprises. | Généralement de 1 500 £ à plus de 3 000 £ selon la taille de l'environnement |
| Chronologie typique | 2 à 4 semaines une fois la préparation terminée | Cela ajoute 4 à 6 semaines supplémentaires pour la phase d'audit technique. |
| Validité | 12 mois | 12 mois |
| Meilleur pour | Des fournisseurs plus petits, des contrats à moindre risque, des entreprises qui établissent une base de référence | Fournisseurs réglementés, contrats du ministère de la Défense et du NHS, marchés publics de grande envergure, organisations exigeant une assurance vérifiée |
Si votre contrat précise le niveau requis, respectez-le. Si vous avez le choix, commencez par la certification Cyber Essentials de base pour identifier et corriger rapidement les failles, puis passez à la certification Plus une fois que vous êtes certain que vos contrôles résistent aux tests en conditions réelles. De nombreuses organisations visent la certification Plus dans les trois mois suivant l'obtention de la certification de base, lorsque les données sont encore récentes et que l'environnement n'a pas encore évolué.
Autre nuance importante : seul le niveau Plus offre à l’acheteur une véritable garantie indépendante de l’efficacité de vos contrôles. L’autocertification Cyber Essentials suffit pour de nombreuses catégories de fournisseurs, mais lorsque les contrats portent sur des données sensibles ou des services critiques, attendez-vous à ce que le client exige le niveau Plus. En visant le niveau Plus dès le départ, même si vous n’obtenez initialement que la certification de base, vous vous assurez que vos preuves seront conformes aux exigences d’un audit externe ultérieur.
Combien coûte Cyber Essentials ?
La certification Basic Cyber Essentials utilise une structure tarifaire IASME forfaitaire qui s'adapte à la taille de l'organisation. Pour 2026, les niveaux sont les suivants :
- Micro (0 à 9 employés) — 330 £ + TVA
- Petite (10 à 49 employés) — 400 £ + TVA
- Moyen (50 à 249 employés) — 450 £ + TVA
- Grande entreprise (plus de 250 XNUMX employés) — 500 £ + TVA
Ces frais comprennent une première soumission, avec possibilité de la soumettre à nouveau en cas de corrections mineures, ainsi que le certificat IASME. Pour les entreprises britanniques dont le chiffre d'affaires est inférieur à 20 millions de livres sterling, ils incluent également l'assurance responsabilité civile cybernétique, garantie par l'IASME, à hauteur de 25 000 livres sterling.
L'offre Cyber Essentials Plus est facturée séparément par l'organisme de certification choisi et son prix dépend de la taille de l'environnement concerné et du nombre d'appareils à tester. Au Royaume-Uni, le prix se situe généralement entre 1 500 £ et plus de 3 000 £ pour les PME, et augmente pour les environnements plus importants et plus complexes. À cela s'ajoutent les frais de la certification Cyber Essentials de base, ainsi que le temps interne consacré à la préparation et à la correction.
Pour une analyse complète, incluant les coûts cachés et les totaux sur trois ans, consultez notre coût de Cyber Essentials guider.
Le prix affiché de la certification IASME ne reflète que rarement la réalité. La plupart des entreprises britanniques investissent également dans la préparation : coûts de licence pour la mise à niveau des logiciels existants vers une version compatible, outils d’authentification multifacteur (MFA) pour les comptes qui en étaient dépourvus, inscription à une solution MDM pour les appareils personnels (BYOD), et parfois quelques jours de conseil pour valider les réponses avant soumission. En règle générale, prévoyez le double du prix de la certification IASME pour le niveau de base et ajoutez deux à trois fois le prix du niveau Plus afin de couvrir l’ensemble des coûts liés à la première certification Cyber Essentials Plus. Les renouvellements annuels suivants sont nettement moins chers une fois les contrôles et les preuves mis en place.
Combien de temps dure la formation Cyber Essentials ?
La réponse honnête est : de 3 jours ouvrables à 8 semaines, selon votre niveau de préparation. Le questionnaire peut être rempli et évalué en moins d’une semaine si vos contrôles sont en place et que vous disposez des justificatifs nécessaires. La partie la plus longue consiste à combler les lacunes. La plupart des entreprises britanniques mettent entre 2 et 4 semaines pour obtenir la certification de base complète, et 4 à 6 semaines supplémentaires si elles passent directement à la certification Plus.
Les retards les plus importants proviennent généralement de trois sources :
- Découverte de comptes d'administrateur obsolètes sans authentification multifacteur ou de logiciels en fin de vie nécessitant un remplacement
- En attente de preuves de la part de tiers tels que le support informatique, les administrateurs cloud ou les utilisateurs BYOD
- Re-cycles de soumission où l'évaluateur signale des clarifications sur le questionnaire
Pour consulter le calendrier détaillé étape par étape et la procédure accélérée, veuillez consulter notre Combien de temps dure la formation Cyber Essentials ? guider.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Comment obtenir la certification Cyber Essentials : le processus étape par étape
Le parcours de certification comporte six phases distinctes. Aucune n'est techniquement compliquée, mais chacune récompense la préparation.
- Déterminez votre périmètre — Choisissez soit le périmètre de l'ensemble de l'organisation (recommandé), soit un sous-ensemble clairement délimité. Cartographiez chaque utilisateur, appareil, réseau et service cloud inclus dans le périmètre.
- Effectuer une analyse des écarts Analysez chacun des cinq domaines de contrôle en fonction de votre environnement actuel et identifiez les éléments manquants. Le questionnaire Willow est accessible à tous ; vous pouvez donc l’utiliser comme grille d’analyse des écarts.
- Combler les lacunes — Modifiez les mots de passe par défaut, activez l'authentification multifacteur sur les comptes cloud, remplacez les logiciels en fin de vie, documentez votre processus de gestion des arrivées, des mutations et des départs, activez les pare-feu hôtes sur les ordinateurs portables itinérants.
- Choisissez un organisme de certification L’IASME publie sur son site web une liste d’organismes de certification agréés. La plupart proposent des tarifs compétitifs ; choisissez-en un qui répond rapidement et offre des conseils utiles avant le dépôt de votre dossier.
- Complétez le questionnaire auto-administré (SAQ). Un responsable valide les réponses et l'organisme de certification évalue le dossier. En cas d'ambiguïté, des questions vous seront posées.
- Recevez votre certificat (et l'audit Plus optionnel) Le certificat de base est généralement délivré sous quelques jours ouvrables après réception d'un dossier complet et sans erreur. Si vous optez pour le certificat Plus, un audit technique est effectué ultérieurement.
Pour une analyse plus approfondie du questionnaire lui-même, des preuves recherchées par les évaluateurs et des pièges les plus courants, consultez notre Auto-évaluation des compétences en cybersécurité guider.
Renouvellement de la certification Cyber Essentials : que se passe-t-il après 12 mois ?
La certification Cyber Essentials n'est pas un exercice ponctuel. Elle est valable 12 mois à compter de sa date d'émission et son renouvellement doit être effectué en se basant sur le questionnaire en vigueur à cette date. Le programme renforçant ses exigences chaque année, le renouvellement introduit souvent des contrôles qui n'étaient pas en place lors de la certification initiale.
Les principaux points de blocage lors du renouvellement incluent des exigences renforcées en matière d'authentification multifacteur (MFA) pour les comptes cloud, des exigences explicites concernant l'inventaire des actifs et l'application du délai de 14 jours pour la mise à jour du micrologiciel des routeurs et des points d'accès. Prévoyez de commencer vos préparatifs de renouvellement au moins 60 jours avant l'expiration de votre certificat afin de pouvoir combler les éventuelles lacunes sans précipitation.
Pour connaître le cycle complet de 12 mois et savoir comment s'y préparer par étapes, consultez notre renouvellement de la certification Cyber Essentials guider.
Cyber Essentials vs ISO 27001 et SOC 2
Cyber Essentials est une certification de base valable uniquement au Royaume-Uni. La norme ISO 27001 est la norme internationale relative aux systèmes de gestion de la sécurité de l'information (SGSI). SOC 2 Il s'agit du référentiel de reporting d'origine américaine le plus fréquemment utilisé par les acheteurs nord-américains. Chaque référentiel s'adresse à un public différent et les certifications sont complémentaires plutôt que concurrentes.
| Cyber Essentials | ISO 27001 | SOC 2 | |
|---|---|---|---|
| Domaine | 5 zones de contrôle technique | Système de gestion de l'information complet (SGSI) plus 93 contrôles de l'annexe A | 5 critères de services de confiance, appliqués à un service |
| Reconnaissance géographique | UK | International | Principalement l'Amérique du Nord |
| Coût typique | À partir de 330 £ HT | De 3 000 £ à plus de 15 000 £ pour la certification, plus les efforts internes. | 15 000 £ à plus de 50 000 £ pour un rapport de type 2 |
| Chronologie typique | 2 à 8 semaines | 6-18 mois | Une période de 6 à 12 mois, suivie d'une période d'observation de 3 à 12 mois. |
| Renouvellement | Annuellement | Cycle de 3 ans avec surveillance annuelle | cycle de rapport annuel |
| Meilleur pour | Contrats du gouvernement britannique, référentiel de la chaîne d'approvisionnement, cyberassurance | Ventes aux entreprises, clients internationaux, secteurs réglementés | Fournisseurs SaaS vendant aux entreprises nord-américaines |
Pour la plupart des entreprises britanniques, la voie pragmatique consiste à obtenir d'abord la certification Cyber Essentials afin de débloquer les contrats et les assurances, puis à mettre en place les fondements du système de management pour la norme ISO 27001 (et SOC 2, le cas échéant). Les cinq contrôles de Cyber Essentials correspondent directement à l'annexe A de la norme ISO 27001 ; le travail se complète donc au lieu de se dupliquer. Pour une comparaison directe, consultez notre [lien/référence]. Cyber Essentials vs ISO 27001 guider.
Si vous êtes une petite entreprise avec un plan de développement sur 12 mois, une séquence judicieuse est la suivante : certification Cyber Essentials au cours des trois premiers mois pour répondre aux besoins immédiats en matière d’approvisionnement et d’assurance, certification Cyber Essentials Plus au sixième mois pour démontrer une assurance vérifiée, et un projet de mise en œuvre de la norme ISO 27001 mené en parallèle à partir du troisième mois. La certification SOC 2 n’entre généralement en ligne de compte que si vous commencez à vendre des solutions SaaS aux entreprises nord-américaines. Pour une analyse détaillée de cette décision adaptée aux petites entreprises, consultez notre… Cybersécurité essentielle pour les petites entreprises guider.
Erreurs courantes liées à la certification Cyber Essentials (et comment les éviter)
La plupart des demandes de certification Cyber Essentials qui échouent ou sont retardées se résument à une même petite liste d'erreurs évitables :
- Portée trop étroite — Certifier une seule équipe ou un seul environnement, puis ne pas pouvoir utiliser le certificat pour un contrat plus large. Par défaut, la certification doit s'appliquer à l'ensemble de l'organisation, sauf raison technique valable de faire autrement.
- Oubliez le BYOD et les routeurs domestiques — Les téléphones personnels utilisés pour la messagerie professionnelle et les appareils des télétravailleurs connectés aux routeurs par défaut des fournisseurs d'accès Internet sont concernés. Il convient de les cartographier en amont, et non après que l'évaluateur vous le demande.
- Exécution de logiciels en fin de vie — Versions Windows obsolètes, navigateurs non mis à jour, applications métier anciennes : le système les considère comme des échecs automatiques. Faites l’inventaire avant de commencer.
- MFA incohérent L'authentification multifacteur (MFA) est activée sur le compte du PDG, mais pas sur le compte d'administrateur du domaine existant ni sur le compte de service. Les évaluateurs vérifient une couverture complète sur chaque compte d'administrateur et sur chaque plateforme cloud.
- Délai de 14 jours pour la mise à jour manqué Les serveurs mis à jour mensuellement manquent souvent les délais de correction des niveaux de gravité élevés ou critiques. Il est recommandé d'adopter une fréquence plus élevée pour les mises à jour de sécurité.
- Archives de déménageurs de menuisiers vieillissants — Employés de longue date ayant accumulé des droits d'administrateur, anciens employés dont les comptes n'ont jamais été désactivés. Effectuez un nettoyage avant de soumettre.
- Laisser les preuves pour la dernière minute — C’est en essayant de rassembler des captures d’écran, des exportations de configuration et des documents de politique interne durant la dernière semaine que les projets prennent du retard. Consignez des preuves au fur et à mesure que vous comblez chaque étape.
Explorez les guides Cyber Essentials
Approfondissez les sujets les plus importants lors de la planification, de l'obtention et du renouvellement de votre certification Cyber Essentials :
- Exigences en matière de cybersécurité — Les cinq domaines de contrôle, les décisions relatives à la portée et les éléments de preuve recherchés par les évaluateurs.
- Coût de Cyber Essentials — Niveaux de prix de l'IASME, coûts supplémentaires, coûts cachés et totaux sur 3 ans pour les entreprises britanniques.
- La formation Cyber Essentials vaut-elle le coup ? — Une évaluation honnête des avantages, des inconvénients et des personnes qui ont réellement besoin de cette certification.
- Exigences de Cyber Essentials Plus — L’audit technique, les analyses de vulnérabilité et les avantages que Plus offre en plus de la certification de base.
- Auto-évaluation des compétences essentielles en cybersécurité — Le flux de travail, la portée, les preuves et les pièges courants du SASQ.
- Combien de temps dure la formation Cyber Essentials ? — Délais habituels au Royaume-Uni, options accélérées et facteurs de ralentissement.
- Renouvellement de la certification Cyber Essentials — Le cycle de 12 mois, les changements de contrôle de 2026 et comment se préparer 60 jours à l'avance.
- Cybersécurité essentielle pour les petites entreprises — Tarification, périmètre et analyse coûts-avantages spécifiques aux PME.
- Cyber Essentials vs ISO 27001 — Comparaison de la portée, du coût, du temps et de la reconnaissance.
Pourquoi choisir ISMS.online pour Cyber Essentials ?
- Commandes préconfigurées — Chaque domaine de contrôle de Cyber Essentials est déjà cartographié à l'intérieur ISMS.en ligneVous pouvez ainsi évaluer la situation par rapport au dispositif complet sans avoir à créer votre propre liste de contrôle ou feuille de calcul à partir de zéro.
- Analyse des écarts guidée — Parcourez chaque contrôle à l'aide des invites intégrées, indiquez l'état actuel et transformez chaque intervalle en une action assignée avec un responsable et une date d'échéance.
- bibliothèque de preuves unique — Joignez une seule fois les exportations de configuration du pare-feu, les captures d'écran MFA, les enregistrements des arrivées, des départs et des mutations, ainsi que les journaux de correctifs, puis réutilisez-les lors des renouvellements, des audits Plus et d'autres processus.
- L'exploitation multi-cadres — Preuves relatives à Cyber Essentials ISMS.en ligne alimente également les normes ISO 27001, SOC 2 et NIS 2 Cela fonctionne, c'est pourquoi les clients qui vont au-delà de Cyber Essentials restent fidèles à la plateforme.
- Renouvellement prêt par défaut — La plateforme maintient vos preuves à jour entre les cycles annuels, avec des rappels 60 jours avant l'expiration de votre certificat, vous n'avez donc jamais à tout recommencer.
- Toujours au courant du programme — La plateforme suit l'ensemble de questions Willow actuel et signale les nouvelles exigences à mesure que l'IASME renforce les contrôles chaque année.
- Des milliers d'organisations leur font confiance. - ISMS.en ligne accompagne les entreprises britanniques de toutes tailles dans leur démarche de mise en conformité, depuis les nouveaux candidats à la certification Cyber Essentials jusqu'aux groupes internationaux certifiés ISO.
FAQ
Qu’est-ce que Cyber Essentials en langage clair ?
Cyber Essentials est une certification soutenue par le gouvernement britannique qui atteste que votre entreprise dispose de cinq contrôles techniques fondamentaux pour se protéger contre les cyberattaques courantes : pare-feu, configuration sécurisée, contrôle d’accès des utilisateurs, protection contre les logiciels malveillants et gestion des mises à jour de sécurité. Délivrée par l’IASME pour le compte du NCSC, elle constitue la norme d’entrée de gamme reconnue en matière de cybersécurité au Royaume-Uni. Le certificat est valable 12 mois.
Quel sera le prix de Cyber Essentials en 2026 ?
La certification Cyber Essentials de base applique la tarification forfaitaire IASME : 330 £ HT pour les micro-entreprises (0 à 9 employés), 400 £ HT pour les petites entreprises (10 à 49 employés), 450 £ HT pour les moyennes entreprises (50 à 249 employés) et 500 £ HT pour les grandes entreprises (250 employés et plus). La certification Cyber Essentials Plus est facturée séparément par votre organisme de certification et son prix varie généralement de 1 500 £ à plus de 3 000 £ selon la taille de votre environnement. Ajoutez à cela le temps de préparation interne.
Combien de temps faut-il pour obtenir la certification Cyber Essentials ?
La plupart des entreprises britanniques obtiennent la certification de base en 2 à 4 semaines, voire 3 à 5 jours ouvrés en procédure accélérée si les contrôles sont déjà en place. La certification Cyber Essentials Plus ajoute 4 à 6 semaines pour l'audit technique indépendant. Les principaux retards sont liés à la correction des failles existantes, comme l'absence d'authentification multifacteur (MFA), les logiciels obsolètes et les comptes d'administrateur non documentés.
Quelle est la différence entre Cyber Essentials et Cyber Essentials Plus ?
La certification Cyber Essentials de base consiste en un questionnaire d'auto-évaluation validé en interne et examiné par un évaluateur externe. Cyber Essentials Plus couvre le même périmètre, auquel s'ajoute un audit technique indépendant, comprenant des analyses de vulnérabilité et des tests pratiques sur un échantillon de vos appareils. Plus offre une assurance vérifiée et est de plus en plus exigée par le ministère de la Défense, le NHS et les fournisseurs soumis à la réglementation. La certification Plus ne peut être obtenue sans avoir préalablement validé la certification de base.
Qui a besoin de Cyber Essentials ?
La certification Cyber Essentials est obligatoire pour les fournisseurs du gouvernement central britannique dont les contrats impliquent des données personnelles ou certains services TIC, ainsi que pour les fournisseurs du ministère de la Défense relevant du niveau DEFCON 658. Les fournisseurs du NHS, les prestataires des collectivités locales et un nombre croissant d'entreprises du secteur privé l'exigent également. De nombreux assureurs cyber proposent des primes plus avantageuses ou en font une condition préalable à la couverture. Même sans obligation contractuelle, elle constitue un socle reconnu de bonnes pratiques en matière de cybersécurité.
Que couvre la certification Cyber Essentials ?
Cyber Essentials couvre cinq domaines de contrôle technique : pare-feu et routeurs, configuration sécurisée, contrôle d’accès utilisateur, protection contre les logiciels malveillants et gestion des mises à jour de sécurité. Chaque appareil, compte utilisateur et service cloud concerné doit satisfaire aux exigences de ces cinq domaines. Les services cloud tels que Microsoft 365, Google Workspace, AWS et Azure sont explicitement inclus dans le périmètre, et l’authentification multifacteur (MFA) pour tous les comptes d’administrateur est une exigence de base en 2026.
La certification Cyber Essentials vaut-elle le coup ?
Pour la plupart des entreprises britanniques, oui. La certification permet d'accéder aux marchés publics, facilite les demandes d'assurance cyber et impose une mise à niveau des contrôles de base qui empêchent la majorité des attaques opportunistes. Le coût (330 £ HT minimum) et le délai (quelques semaines) sont faibles au regard des avantages contractuels et d'assurance. Pour une évaluation plus complète et objective, consultez notre La certification Cyber Essentials vaut-elle le coup ? guider.
En quoi la norme Cyber Essentials diffère-t-elle de la norme ISO 27001 ?
Cyber Essentials est une certification de base spécifique au Royaume-Uni, axée sur cinq domaines de contrôle techniques. La norme ISO 27001 est la norme internationale pour un système de management de la sécurité de l'information (SMSI) complet, couvrant 93 contrôles de l'annexe A, le leadership, la gestion des risques et l'amélioration continue. La certification Cyber Essentials dure quelques semaines et coûte à partir de 330 £ HT ; la certification ISO 27001 dure plusieurs mois et coûte à partir d'environ 3 000 £. Ces deux certifications sont complémentaires, Cyber Essentials constituant généralement une étape intermédiaire vers l'ISO 27001.
