Qu’est-ce que la liste de contrôle Cyber Essentials ?
La checklist Cyber Essentials est un guide pratique préalable à la demande de certification. Elle répertorie les configurations, les preuves et les décisions qu'une organisation britannique doit mettre en place avant de remplir le questionnaire d'auto-évaluation (SAQ). Elle couvre le périmètre, les cinq domaines de contrôle, les services cloud, l'authentification multifacteur, les correctifs et les vérifications supplémentaires applicables à Cyber Essentials Plus.
Cyber Essentials est un programme de certification soutenu par le gouvernement britannique et administré par l'IASME pour le compte du Centre national de cybersécurité. Ce programme vérifie si vos pare-feu, appareils, comptes, protections contre les logiciels malveillants et mises à jour logicielles sont configurés selon un niveau de sécurité minimal. La liste de contrôle ci-dessous détaille chaque vérification à laquelle la plupart des candidats sont confrontés, vous permettant ainsi de corriger les lacunes avant de soumettre votre candidature plutôt que d'en subir les conséquences. Pour plus d'informations sur le programme, consultez notre [lien/lien]. Centre de ressources en cybersécurité; pour plus de détails sur les contrôles associés à chaque élément de ligne, voir Exigences en matière de cybersécurité.
Parcourez chaque section dans l'ordre. Cochez les éléments déjà couverts, listez les lacunes sous forme d'actions avec un responsable et une date d'échéance, et ne planifiez votre évaluation que lorsque chaque ligne est soit complétée, soit fait l'objet d'une exception documentée. Les clients utilisant ISMS.en ligne Consignez chaque élément ci-dessous comme un contrôle suivi avec des preuves liées, afin que la même liste de contrôle serve de base à la cycle de renouvellement annuel ainsi que la première certification.
Comment définir le périmètre d'un projet Cyber Essentials ?
Avant toute intervention technique, il est essentiel de définir le périmètre du projet. Le périmètre est la décision la plus importante dans un projet Cyber Essentials, et toute modification ultérieure engendre des coûts et des délais supplémentaires.
- Déterminez la portée à l'échelle de l'organisation entière ou un sous-ensemble clairement défini (département, unité commerciale ou environnement nommé).
- Veuillez indiquer tous les sites et lieux de travail à domicile où se déroulent les activités concernées.
- Documentez les réseaux qui connectent les appareils concernés : réseaux locaux d’entreprise, Wi-Fi, VPN et toute utilisation de données cellulaires.
- Recenser tous les comptes utilisateurs concernés (employés, sous-traitants, tiers ayant accès).
- Inventoriez tous les appareils concernés : ordinateurs portables, ordinateurs de bureau, serveurs, téléphones portables, tablettes, périphériques réseau.
- Liste de tous les services cloud utilisés pour traiter ou stocker les données de l'organisation (SaaS, PaaS, IaaS).
- Identifiez les dispositifs BYOD (apportez votre propre appareil) et confirmez si ces appareils sont concernés.
- Confirmez une limite technique claire entre les environnements inclus et exclus (réseau, répertoire ou locataire distincts) si vous utilisez une portée partielle.
- Consignez par écrit la description du périmètre d'intervention et faites-la approuver par un propriétaire ayant autorité sur le bien immobilier concerné.
Si le périmètre s'étend à mesure que vous découvrez de nouveaux appareils, applications cloud ou technologies de l'information non officielles, c'est précisément ce type de découverte que le dispositif vise à mettre au jour. Mieux vaut le découvrir maintenant que lors de l'évaluation.
Comment configurer les pare-feu et les routeurs ?
Chaque appareil connecté à Internet, ainsi que le périmètre du réseau lui-même, doit se trouver derrière un pare-feu correctement configuré (ou un dispositif réseau équivalent).
- Chaque pare-feu et routeur connecté à Internet voit son mot de passe d'administration par défaut modifié et remplacé par un mot de passe fort et unique.
- Les connexions entrantes non authentifiées sont bloquées par défaut.
- Chaque règle de pare-feu entrante autorisant un service possède une justification commerciale documentée et un responsable.
- Les règles entrantes devenues inutiles ont été supprimées.
- Les pare-feu logiciels (basés sur l'hôte) sont activés sur les ordinateurs portables et autres appareils utilisés en dehors du réseau de l'entreprise.
- L'accès administratif à distance aux pare-feu depuis Internet est soit désactivé, soit protégé par une authentification multifacteurs ou une liste blanche d'adresses IP, avec un besoin métier documenté.
- Les télétravailleurs utilisent soit des routeurs FAI dont le mot de passe administrateur par défaut a été modifié, soit le pare-feu intégré de leur ordinateur portable professionnel.
Éléments à recueillir : fournisseur et version du pare-feu, captures d’écran ou attestations confirmant la modification du mot de passe administrateur, une liste des règles entrantes avec leur justification et la confirmation que les pare-feu hôtes sont activés sur l’ensemble des appareils.
Que requiert une configuration sécurisée ?
La configuration sécurisée élimine les faiblesses inhérentes aux appareils et aux logiciels livrés par défaut : comptes inutilisés, exemples de mots de passe, contenu de démonstration et partage trop permissif.
- Les comptes utilisateurs et les logiciels dont vous n'avez pas besoin ont été supprimés ou désactivés (logiciels superflus, comptes d'administrateur par défaut, comptes utilisateurs inactifs).
- Les mots de passe par défaut ou faciles à deviner sur les appareils, les comptes et les services ont été modifiés.
- Les fonctionnalités d'exécution automatique qui exécutent du code à partir de supports amovibles sont désactivées.
- Les utilisateurs doivent s'authentifier avant d'accéder aux données ou services de l'organisation.
- L'authentification multifacteurs (MFA) est obligatoire pour tous les comptes d'administration de chaque service cloud.
- L'authentification multifacteur (MFA) est activée pour les utilisateurs cloud standard partout où la plateforme la prend en charge.
- La longueur du mot de passe est d'au moins 12 caractères lorsque l'authentification multifacteur n'est pas en place, ou de 8 caractères avec l'authentification multifacteur, ou de 8 caractères avec limitation de débit ou verrouillage.
- L’authentification multifacteur par SMS uniquement a été remplacée (ou complétée) par des applications d’authentification ou des jetons matériels lorsque cela était possible.
- Les réseaux Wi-Fi invités sont isolés du réseau local de l'entreprise.
C’est dans cette zone de contrôle que la plupart des organisations constatent la plus grande quantité de travail imprévu ; il est donc conseillé de l’aborder dès le début de votre projet. Reliez les contrôles effectués ici à vos besoins. Auto-évaluation des compétences essentielles en cybersécurité réponses avant soumission.
Comment fonctionne concrètement le contrôle d'accès des utilisateurs ?
Le contrôle d'accès des utilisateurs limite qui peut faire quoi sur vos systèmes et garantit la suppression des comptes lorsque les utilisateurs partent.
- Il existe une procédure documentée de création et d'approbation des comptes utilisateurs, qui est respectée.
- Les utilisateurs s'authentifient à l'aide d'identifiants forts et uniques avant d'accéder aux systèmes concernés.
- Une procédure d'arrivée/de départ/de mutation permet de supprimer ou de désactiver rapidement les comptes lorsque des personnes changent de rôle ou quittent l'entreprise.
- L'authentification multifacteurs est obligatoire sur les services cloud pour tous les utilisateurs lorsque la plateforme la prend en charge, et systématiquement pour tous les comptes d'administrateur.
- Les comptes d'administrateur sont distincts des comptes utilisateurs courants ; les administrateurs ne naviguent pas sur le Web et ne lisent pas leurs courriels à l'aide de leur compte privilégié.
- La liste des utilisateurs disposant de privilèges d'administrateur a été revue au cours des 12 derniers mois et tous les droits injustifiés ont été supprimés.
- Les comptes partagés (lorsqu'ils existent) sont documentés, justifiés, protégés par l'authentification multifacteur et ont un propriétaire.
Éléments à recueillir : la procédure d’arrivée/de départ, une liste des utilisateurs administrateurs avec la justification commerciale pour chacun, des captures d’écran de la configuration MFA de vos principales plateformes cloud et un échantillon de comptes de départ récemment désactivés.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Comment configurer la protection contre les logiciels malveillants ?
Chaque appareil concerné doit être protégé contre les codes malveillants à l'aide d'un logiciel anti-malware, d'une liste d'autorisation d'applications ou d'un environnement sandbox.
- L'un des trois mécanismes approuvés (anti-malware, liste blanche d'applications ou sandbox) est en place sur chaque appareil concerné.
- Les définitions et les moteurs anti-malware sont mis à jour automatiquement.
- Le logiciel anti-malware est configuré pour analyser les fichiers à l'accès et les pages web.
- Les connexions aux sites web malveillants connus sont bloquées lorsque le produit anti-malware propose cette fonctionnalité.
- Si l'option « liste d'autorisation d'applications » est utilisée, une liste approuvée est créée et empêche l'exécution de toute autre application.
- Si le sandboxing est utilisé (iOS, Android, certaines versions gérées de Windows), chaque application s'exécute dans son propre sandbox.
- Les appareils mobiles installent uniquement les applications provenant des boutiques officielles (Apple App Store, Google Play) ou d'une boutique d'entreprise gérée.
- Tous les appareils BYOD non gérés ont été soit intégrés au système MDM, soit exclus du périmètre.
Le problème le plus fréquent concerne un Mac personnel utilisé par un employé pour sa messagerie professionnelle, sans inscription au système de gestion et sans visibilité pour le service informatique. Il faut soit inscrire l'appareil, soit cesser de l'utiliser à des fins professionnelles.
Comment fonctionne la gestion des mises à jour de sécurité ?
Tous les logiciels concernés doivent être pris en charge, sous licence et à jour. Les systèmes d'exploitation, navigateurs, plugins, micrologiciels et applications en fin de vie seront automatiquement disqualifiés.
- Chaque système d'exploitation installé sur les appareils concernés est sous licence et continue de recevoir les mises à jour de sécurité du fournisseur.
- Chaque application installée sur les appareils concernés est sous licence et continue de recevoir les mises à jour de sécurité du fournisseur.
- Les micrologiciels des routeurs, pare-feu, commutateurs et points d'accès reçoivent toujours des mises à jour des fournisseurs.
- Les modules complémentaires et extensions de navigateur sont sous licence et à jour.
- Les mises à jour automatiques sont activées partout où le fournisseur les propose.
- Les mises à jour de sécurité de gravité élevée et critique sont installées dans les 14 jours suivant leur publication (la règle des 14 jours).
- Les fenêtres de maintenance mensuelles des serveurs ont été revues afin de s'assurer qu'elles ne dépassent pas le délai de 14 jours pour l'application des correctifs.
- Un inventaire des versions logicielles et micrologicielles existe, vous permettant de voir en un coup d'œil ce qui est concerné et dans quel état cela se trouve.
Le non-respect du délai de 14 jours pour l'application des correctifs est la principale cause d'échec de la certification Cyber Essentials Plus. Intégrez le suivi des correctifs à votre cycle de conformité mensuel.
Comment les services cloud s'intègrent-ils à la liste de contrôle ?
Les services cloud qui traitent ou stockent des données organisationnelles sont concernés. La responsabilité partagée pour chaque contrôle dépend du modèle de service.
- Chaque application SaaS (Microsoft 365, Google Workspace, Salesforce, Xero, etc.) utilisée par l'organisation est répertoriée dans votre inventaire d'actifs.
- Chaque environnement PaaS (App Service, App Runner, Heroku, etc.) est répertorié et la couche application est patchée.
- Chaque hôte IaaS (EC2, Azure VM, Compute Engine) est traité comme s'il s'agissait d'un serveur sur site, avec les correctifs, les logiciels malveillants et les pare-feu hôtes sous votre contrôle.
- L'authentification multifacteur (MFA) est obligatoire sur tous les comptes d'administrateur cloud, sans exception.
- L'authentification multifacteur (MFA) est activée pour les utilisateurs standard sur les services cloud lorsque la plateforme la prend en charge.
- Les paramètres de sécurité par défaut des locataires (paramètres de sécurité par défaut de Microsoft 365, paramètres de sécurité de Google Workspace, garde-fous AWS) ont été revus et renforcés le cas échéant.
- Les comptes d'administrateur cloud sont distincts des comptes utilisateurs quotidiens.
- L’informatique parallèle (applications SaaS souscrites par des particuliers avec une carte ou un domaine d’entreprise) a été examinée et soit intégrée au périmètre, soit mise hors service.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Comment se préparer à la certification Cyber Essentials Plus ?
Cyber Essentials Plus ajoute un audit technique indépendant à l'auto-évaluation. L'évaluateur prélèvera des échantillons sur vos appareils, effectuera des analyses de vulnérabilité et vérifiera l'efficacité des mesures de contrôle que vous avez attestées. La plupart des échecs constatés lors de l'évaluation Plus sont prévisibles ; utilisez cette liste de vérification pour les éviter.
- Vos réponses à l'auto-évaluation reflètent l'état actuel de l'environnement, et non un état futur idéal.
- Aujourd'hui, un échantillon représentatif d'appareils est mis à jour dans le délai de 14 jours, et non il y a trois mois.
- Le système anti-malware est actif et génère un rapport sur chaque appareil échantillonné.
- L'authentification multifacteur (MFA) sur les comptes cloud a été vérifiée en se connectant depuis une nouvelle session de navigateur, et non en consultant une page de politique de confidentialité.
- Le filtrage des courriels et du Web est configuré pour bloquer les liens et pièces jointes malveillants connus.
- La gestion des périphériques USB et amovibles est conforme à votre politique documentée sur les appareils de démonstration.
- Les dates de la période d'audit sont fixées suffisamment à l'avance pour vous permettre de prendre des mesures suite à toute analyse des écarts préalable à l'audit.
- Vous avez désigné une personne comme référent technique pendant l'audit, disposant d'un accès administrateur.
- Vous avez sauvegardé tous les appareils de test avant leur évaluation, au cas où des modifications seraient apportées pendant l'audit.
Voir le périmètre technique dans Exigences de Cyber Essentials Plus pour connaître les tests exacts effectués par les évaluateurs, et notre coût de Cyber Essentials page présentant la fourchette de prix habituelle pour les forfaits Plus.
Quelles sont les lacunes les plus courantes avant la soumission ?
Même les candidats disposant de systèmes de sécurité performants peuvent être victimes des mêmes failles. Effectuez cette brève vérification avant soumission :
- Le routeur fourni par le FAI au domicile d'un télétravailleur conserve son mot de passe administrateur par défaut.
- Un employé de longue date a accumulé des droits administratifs grâce à ses fonctions précédentes.
- Une boîte mail partagée à des fins financières ou un compte de connexion aux réseaux sociaux ne dispose d'aucune authentification multifacteur et n'a pas de propriétaire enregistré.
- Une version non prise en charge de Windows ou un navigateur obsolète est toujours installé sur au moins un appareil concerné.
- Le calendrier de maintenance mensuelle des serveurs a repoussé l'application d'un correctif critique au-delà du délai de 14 jours.
- Un téléphone personnel BYOD lit les courriels d'entreprise en dehors de tout système MDM.
- Une application SaaS contenant des données clients a été souscrite avec une carte personnelle et n'a jamais fait l'objet d'un inventaire.
- Un réseau Wi-Fi invité partage le même domaine de diffusion que le réseau local de l'entreprise.
Consignez chaque constat comme une action, avec un responsable et une date d'échéance. Une fois la liste établie, vous êtes prêt à soumettre. Si vous évaluez la charge de travail pour la première fois, consultez notre guide. Combien de temps dure la formation Cyber Essentials ? définit des attentes réalistes.
Tableau récapitulatif de la liste de contrôle Cyber Essentials
| Blog | Focus | Preuves typiques |
|---|---|---|
| Scoping | Décider de l'inventaire global ou partiel : sites, utilisateurs, appareils, réseaux, services cloud et BYOD. | Énoncé de portée écrit, inventaire des actifs, description des limites du sous-ensemble. |
| Pare-feu et routeurs | Mots de passe par défaut modifiés ; règles de trafic entrant documentées ; pare-feu hôtes activés ; administration distante protégée. | Version du pare-feu, attestation de changement de mot de passe, liste des règles, couverture du pare-feu hôte. |
| Configuration sécurisée | Logiciels superflus supprimés ; mots de passe par défaut modifiés ; authentification multifacteur sur l’interface d’administration du cloud ; longueur du mot de passe : 12 caractères ou 8 caractères + authentification multifacteur. | Normes de construction, politique d'application de l'authentification multifacteur, politique de mots de passe, exemples de captures d'écran d'appareils. |
| Contrôle d'accès utilisateur | Processus d'arrivée/de départ ; séparation des administrateurs ; examen annuel des administrateurs ; authentification multifacteur pour tous les utilisateurs du cloud. | Procédure JML, liste des utilisateurs administrateurs, preuve de configuration MFA, exemple de désactivation de départ. |
| Protection contre les logiciels malveillants | Anti-malware, autorisation de listage ou de mise en sandbox sur tous les appareils ; applications mobiles provenant des boutiques officielles. | Rapport de couverture des terminaux, politique de source d'application mobile, enregistrement d'inscription MDM. |
| Gestion des mises à jour de sécurité | Tous les logiciels sont pris en charge et sous licence ; correctifs critiques/de haute importance sous 14 jours ; firmware couvert. | Inventaire des logiciels avec état du support fournisseur, rapport de déploiement des correctifs, plan de remplacement en fin de vie. |
| Les services cloud | Inventaire des solutions SaaS, PaaS et IaaS ; authentification multifacteur pour l'administration ; examen des défauts des locataires ; suppression des systèmes informatiques parallèles. | Registre des actifs cloud, preuves d'authentification multifacteur, attestation des défauts de sécurité, examen des systèmes informatiques fantômes. |
| Plus de préparation | Vérification en temps réel ; état du correctif de l’appareil échantillon ; authentification multifacteur vérifiée par connexion ; logistique d’audit réservée. | Analyse des écarts avant audit, exemple de rapport de correctif, journal de vérification MFA, confirmation de réservation d'audit. |
Si vous comparez Cyber Essentials à cadres plus larges, Notre Cyber Essentials vs ISO 27001 Le guide explique la place de chacun, et de nombreuses organisations britanniques certifiées Cyber Essentials passent ensuite à ISO 27001 or SOC 2 à mesure que les demandes des clients augmentent.
Pourquoi choisir ISMS.online pour Cyber Essentials ?
- Liste de contrôle pré-cartographiée — Chaque ligne de cette liste de contrôle existe déjà en tant que contrôle suivi dans ISMS.en ligne, vous évaluez donc le système dans son intégralité sans le reconstruire à partir de zéro.
- Preuves rassemblées en un seul endroit — Joignez une seule fois les captures d'écran, les exportations de configuration et les enregistrements des arrivées/départs à chaque contrôle, puis réutilisez-les pour les renouvellements, les audits Plus et autres cadres.
- Portée et registre des actifs — Consignez les utilisateurs, appareils, réseaux et services cloud concernés dans un registre structuré afin que les limites du périmètre soient documentées et auditables.
- Suivi des écarts entre l'action et le résultat — Chaque élément manquant sur la liste de contrôle devient une action assignée avec un responsable et une date d'échéance, afin qu'aucun problème ne soit négligé entre son identification et sa résolution.
- Prêt pour le renouvellement — La plateforme maintient vos preuves à jour entre les cycles annuels, de sorte que le prochain certificat constitue une mise à jour et non un redémarrage.
- Effet de levier multi-cadres — Preuves relatives à Cyber Essentials ISMS.en ligne nourrit également ISO 27001, SOC 2 et NIS 2 Cela fonctionne, c'est pourquoi les clients qui vont au-delà de Cyber Essentials restent sur la plateforme.
- Des milliers d'organisations leur font confiance. - ISMS.en ligne accompagne les entreprises de toutes tailles dans leur démarche de mise en conformité, des candidats à la certification Cyber Essentials pour la première fois aux groupes internationaux multi-certifications.
FAQ
Existe-t-il une liste de contrôle officielle pour les compétences en cybersécurité ?
L'IASME publie le questionnaire d'auto-évaluation (SAQ) officiel, qui constitue la liste de contrôle de l'évaluateur. La liste de contrôle de préparation présentée sur cette page reprend les cinq mêmes domaines de contrôle et y ajoute les vérifications de périmètre, de couverture et les vérifications complémentaires dont la plupart des candidats ont besoin avant d'aborder le SAQ. En la complétant au préalable, le SAQ devient un exercice de confirmation plutôt qu'un exercice de découverte.
Combien de temps faut-il pour parcourir la liste de contrôle Cyber Essentials ?
Pour une petite organisation dotée d'un système informatique mature, la vérification et la collecte des preuves ne prennent que quelques jours. Ce sont les lacunes qu'elle met en évidence qui prennent du temps : le déploiement de l'authentification multifacteur, la mise à jour des correctifs et les décisions relatives au BYOD peuvent chacun prendre plusieurs semaines. La plupart des candidats prévoient un délai de quatre à douze semaines entre le début de la vérification et la soumission du questionnaire d'auto-évaluation (SAQ).
Ai-je besoin d'une liste de contrôle différente pour Cyber Essentials Plus ?
Les cinq domaines de contrôle sont identiques, mais la certification Plus ajoute des vérifications d'audit technique : analyses de vulnérabilité, tests sur des appareils de test, vérification de l'authentification multifacteur (MFA) par connexion réelle et tests de filtrage des e-mails et du Web. La section « Préparation à la certification Plus » de cette liste de contrôle détaille ces vérifications supplémentaires. Pour obtenir rapidement la certification Plus, il est conseillé d'obtenir d'abord la certification Cyber Essentials, de corriger les problèmes identifiés, puis de réserver la certification Plus dans les trois mois suivants.
Quelle est la raison la plus fréquente pour laquelle les organisations échouent à la vérification des critères ?
Deux problèmes majeurs se posent : la présence de logiciels obsolètes encore utilisés sur au moins un appareil concerné et l’absence de correctifs installés au-delà du délai de 14 jours. Ces deux problèmes sont faciles à corriger une fois identifiés, mais peuvent également bloquer une évaluation s’ils sont découverts lors de l’audit plutôt que lors de la vérification de la liste de contrôle de préparation.
La liste de contrôle s'applique-t-elle aux télétravailleurs et aux utilisateurs d'appareils personnels (BYOD) ?
Oui. Tout appareil utilisé pour accéder aux données ou services de l'organisation est concerné, y compris les ordinateurs portables personnels et les téléphones personnels utilisés pour la messagerie professionnelle. Les appareils utilisés uniquement pour les appels vocaux, les SMS ou l'authentification à deux facteurs sont exclus. Les ordinateurs portables professionnels utilisés à domicile doivent avoir leur propre pare-feu activé et configurés pour considérer le réseau domestique comme hostile.
Comment la liste de contrôle évolue-t-elle d'une année à l'autre ?
L'IASME actualise son questionnaire environ une fois par an. Les mises à jour récentes ont renforcé les exigences en matière d'authentification multifacteurs pour les services cloud, clarifié les responsabilités des fournisseurs SaaS, PaaS et IaaS, reconnu l'authentification sans mot de passe et biométrique, et étendu explicitement le délai de 14 jours pour l'application des correctifs aux micrologiciels. La structure des cinq domaines de contrôle demeure stable ; le niveau de détail est toutefois précisé à chaque mise à jour.
