Qu'est-ce qu'une certification en cybersécurité ?
Une certification en cybersécurité est une confirmation indépendante qu'une organisation respecte un ensemble défini de contrôles de sécurité de l'information. Au Royaume-Uni, les certifications se répartissent en trois groupes : les programmes soutenus par le gouvernement, comme… Cyber Essentials et Cyber Essentials Plus, des normes internationales de systèmes de gestion comme ISO 27001et des rapports d'assurance tels que SOC 2La norme NIS 2 s'inscrit dans ce cadre en tant qu'obligation réglementaire plutôt qu'en tant que certification volontaire.
Les acheteurs, les organismes de réglementation, les assureurs et les partenaires de la chaîne d'approvisionnement exigent de plus en plus la preuve que leurs fournisseurs respectent une norme reconnue. La certification appropriée dépend de l'organisme demandeur, du marché où vous distribuez vos produits et du niveau de maturité requis pour vos opérations de sécurité. Ce guide présente en détail les cinq référentiels les plus fréquemment rencontrés par les entreprises britanniques, leur contenu, leur coût et les entreprises auxquelles ils conviennent.
ISMS.en ligne est la plateforme utilisée par les organisations britanniques pour gérer toutes les certifications de cybersécurité en un seul endroit, en cartographiant les preuves et les contrôles une seule fois pour Cyber Essentials, ISO 27001, SOC 2 et NIS 2 au lieu de reconstruire le travail pour chaque programme.
Pourquoi les organisations britanniques obtiennent-elles des certifications en cybersécurité ?
Cinq facteurs principaux expliquent la quasi-totalité des projets de certification que nous rencontrons :
- Exigences en matière d'approvisionnement — Les marchés publics du gouvernement central britannique exigent la certification Cyber Essentials pour les fournisseurs traitant des données personnelles ou certains services TIC (Note de politique d'achat 09/14). Le ministère de la Défense exige la certification Cyber Essentials ou Cyber Essentials Plus pour les fournisseurs concernés dans le cadre du niveau d'alerte DEFCON 658. De nombreux acheteurs du secteur privé appliquent la même exigence dans leurs procédures de qualification des fournisseurs.
- La demande de la clientèle — Les clients B2B envoient de plus en plus de questionnaires de sécurité avant de signer. Un certificat ISO 27001 ou SOC 2 à jour remplace souvent un questionnaire de 200 questions par un simple document joint.
- Réglementation sectorielle — La norme NIS 2 (dans l'UE) et le régime équivalent du Royaume-Uni exigent que les entités essentielles et importantes des secteurs critiques démontrent leurs contrôles de cybersécurité et leur capacité à signaler les incidents.
- Cyber assurance Les assureurs demandent systématiquement des preuves de contrôles de base avant de souscrire une police. La certification Cyber Essentials est souvent suffisante pour les PME ; les entreprises plus importantes ou présentant un risque plus élevé ont de plus en plus besoin des certifications ISO 27001 ou SOC 2.
- assurance interne — Les conseils d’administration et les comités d’audit utilisent la certification indépendante comme preuve que les contrôles qu’ils approuvent existent réellement et fonctionnent.
Si vous ne savez pas encore quel conducteur vous concerne, consultez notre guide sur Cyber Essentials vaut-il le coup ? Il détaille le calcul coûts/avantages du programme d'entrée de gamme, et le choix devient plus clair à partir de là.
Quelles sont les principales certifications britanniques en matière de cybersécurité ?
Cinq systèmes dominent le paysage des certifications en cybersécurité au Royaume-Uni. Les quatre premiers sont des certifications volontaires, allant de la famille Cyber Essentials, spécifique au Royaume-Uni, aux normes reconnues internationalement, tandis que le cinquième relève d'une obligation réglementaire plutôt que d'une véritable certification. La plupart des organisations britanniques détiennent plusieurs de ces certifications au fil du temps, en fonction de l'évolution de la demande client, du secteur d'activité et de la situation géographique.
Cyber Essentials : le point d’entrée soutenu par le gouvernement britannique
Cyber Essentials est un programme de certification soutenu par le gouvernement britannique, lancé en 2014 et désormais supervisé par le Centre national de cybersécurité (NCSC), l'IASME étant le seul organisme d'accréditation depuis avril 2020. Il teste cinq zones de contrôle technique (pare-feu et routeurs, configuration sécurisée, contrôle d'accès des utilisateurs, protection contre les logiciels malveillants et gestion des mises à jour de sécurité) sur chaque appareil et service cloud concerné.
Faits marquants:
- Format: Questionnaire d'autoévaluation examiné par un évaluateur accrédité par l'IASME
- Validité: 12 mois, renouvelable annuellement
- Coût : De 330 £ HT pour les micro-entreprises (1 à 9 employés) à 500 £ HT pour les grandes entreprises (250 employés et plus) ; voir coût de Cyber Essentials pour le détail complet des prix
- Chronologie typique : 4 à 12 semaines entre le lancement et l'obtention du certificat
- Bonus: Les organisations britanniques éligibles dont le chiffre d'affaires est inférieur à 20 millions de livres sterling bénéficient d'une assurance responsabilité civile cyber gratuite d'une valeur de 25 000 livres sterling.
- Idéal pour : Les PME britanniques soumissionnent pour des marchés publics ; les fournisseurs des grandes entreprises ; les exigences en matière d’assurance ; la première certification officielle
Cyber Essentials est la certification de cybersécurité la plus économique et la plus rapide au Royaume-Uni. C'est également celle qui présente le plus grand intérêt commercial direct, car le gouvernement britannique et de nombreux acheteurs privés l'exigent expressément. Pour le travail de préparation étape par étape, notre Liste de contrôle des éléments essentiels en cybersécurité passe en revue chaque contrôle avant que vous ne le soumettiez.
Cyber Essentials Plus : assurance auditée de manière indépendante
Cyber Essentials Plus utilise les mêmes cinq domaines de contrôle que Cyber Essentials, mais y ajoute un audit technique indépendant. Un évaluateur accrédité IASME analyse des appareils de test, vérifie l'authentification multifacteurs par une connexion réelle, teste le filtrage des courriels et du Web, et confirme que les contrôles que vous avez attestés fonctionnent effectivement en pratique.
- Format: SAQ plus audit technique pratique d'un échantillon représentatif d'appareils
- Validité: 12 mois
- Coût : Généralement, entre 1 500 et 3 000 £ en plus du coût de base de Cyber Essentials, selon la complexité de l’environnement.
- Chronologie: 1 à 2 semaines supplémentaires après la formation Cyber Essentials, une fois le travail préparatoire terminé.
- Idéal pour : Fournisseurs du ministère de la Défense ou des chaînes d'approvisionnement à haut risque (DEFCON 658), acheteurs exigeant spécifiquement la certification Plus, organisations utilisant Plus comme tremplin vers la norme ISO 27001
Les cinq domaines de contrôle technique sont documentés en détail dans Exigences de Cyber Essentials PlusSi vous hésitez entre CE et CE Plus, le facteur décisif est généralement de savoir si un contrat ou un assureur spécifique exige le niveau Plus.
ISO 27001 : certification internationale de gestion de la sécurité de l’information
La norme ISO/IEC 27001 est la norme internationale relative aux systèmes de gestion de la sécurité de l'information (SGSI). Alors que Cyber Essentials teste cinq contrôles techniques, la norme ISO 27001 certifie un système de gestion complet : un cadre axé sur les risques qui couvre la gouvernance, les politiques, la gestion des actifs, la sécurité des fournisseurs, la réponse aux incidents, la continuité des activités et 93 contrôles spécifiques de l'annexe A (révision de 2022 ; contre 114 dans la version de 2013).
- Format: Audit documentaire de phase 1, puis audit de mise en œuvre de phase 2, puis audits de surveillance annuels et audit de recertification complet tous les trois ans
- Validité: Trois ans entre les recertifications, avec une surveillance annuelle
- Coût : Le coût se situe généralement entre 3 000 et plus de 15 000 £ pour les PME britanniques, en fonction de l'étendue des travaux et de l'organisme de certification choisi.
- Chronologie: 4 à 9 mois pour une première certification ; plus longtemps pour les organisations complexes
- Idéal pour : Les organisations vendant à l'international, les entreprises SaaS B2B, les secteurs réglementés, toute personne dont les clients demandent un certificat ISMS nommément.
La norme ISO 27001 est la référence mondiale en matière de certifications de cybersécurité. La plupart des entreprises clientes exigent que leurs fournisseurs la détiennent ; au Royaume-Uni, de nombreuses organisations utilisent Cyber Essentials comme base avant d’obtenir la norme ISO 27001 à mesure que la demande des clients augmente. Pour connaître les différences en termes de niveau de détail, de portée et de reconnaissance, consultez [lien manquant]. Cyber Essentials vs ISO 27001; pour le processus d'audit en détail, voir Certification ISO 27001.
SOC 2 : assurance pour les clients et les fournisseurs SaaS américains
La norme SOC 2 (Service Organisation Control 2) est un rapport d'assurance d'origine américaine, établi selon les normes de l'American Institute of CPAs (AICPA). Elle évalue une organisation de services au regard des cinq critères de services de confiance (sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée), la sécurité étant obligatoire et les autres optionnels selon le périmètre d'intervention.
- Format: Type 1 (évaluation ponctuelle de la conception) ou Type 2 (efficacité opérationnelle sur une période d'observation de 3 à 12 mois)
- Validité: La certification SOC 2 donne lieu à un rapport plutôt qu'à un certificat ; ces rapports sont généralement renouvelés annuellement.
- Coût : De 15 000 £ à plus de 100 000 £ selon la portée, les critères inclus et la période d’observation.
- Chronologie: Période d'observation de 3 à 12 mois pour le type 2 ; le travail préparatoire ajoute généralement 2 à 4 mois.
- Idéal pour : Les fournisseurs SaaS vendant leurs produits aux États-Unis, les entreprises de services détenant des données clients, toute organisation britannique dont les clients américains demandent une certification SOC 2.
Les normes SOC 2 et ISO 27001 présentent de fortes similitudes quant aux contrôles qu'elles exigent. Les entreprises britanniques commercialisant leurs produits des deux côtés de l'Atlantique utilisent souvent les deux normes. ISMS.en ligne comme couche de preuves commune. Notre SOC 2 Ce hub aborde les critères, le processus de préparation et en quoi il diffère de la norme ISO 27001.
NIS 2 : cybersécurité réglementaire pour les entités essentielles et importantes
La directive NIS 2 est la deuxième génération de la directive européenne sur la sécurité des réseaux et de l'information, et le Royaume-Uni a adopté un régime national équivalent. Il ne s'agit pas d'une certification, mais d'une obligation réglementaire pour les entités essentielles et importantes des secteurs critiques (énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, infrastructure numérique, administration publique, spatial, services postaux, gestion des déchets, fabrication et distribution de produits chimiques, alimentation, fabrication de dispositifs médicaux et certains fournisseurs de services numériques).
- Format: Obligation réglementaire de mettre en œuvre des mesures de gestion des risques de cybersécurité et des délais de signalement des incidents spécifiés
- Validité: En continu, sous la surveillance des autorités réglementaires
- Coût : Aucuns frais de certification ; le coût réside dans les contrôles eux-mêmes, qui sont souvent conformes à la norme ISO 27001.
- Chronologie: Adoption progressive ; les organisations concernées devraient commencer la mise en œuvre dès maintenant.
- Idéal pour : Toute organisation considérée comme essentielle ou importante au sens de la directive ; les fournisseurs de ces entités sont également indirectement concernés.
La norme NIS 2 sert parfois de déclencheur pour inciter une organisation à passer de Cyber Essentials à la norme ISO 27001, car cette dernière offre une méthode structurée pour prouver les mesures de gestion des risques exigées par la directive. NIS 2 Le hub passe en revue les secteurs concernés et les obligations spécifiques.
Comparatif : Aperçu des certifications de cybersécurité au Royaume-Uni
| Certifications | Domaine | Coût typique (PME britanniques) | Chronologie typique | Validité | Meilleur rapport qualité/prix |
|---|---|---|---|---|---|
| Cyber Essentials | 5 contrôles techniques, auto-évalués | À partir de 330 £ HT | 4-12 semaines | 12 mois | PME britanniques, marchés publics, assurances, première certification |
| Cyber Essentials Plus | Les mêmes 5 contrôles + audit indépendant | Ajoutez 1 500 £ à 3 000 £ et plus | +1–2 semaines | 12 mois | Fournisseurs du ministère de la Défense, contrats exigeant la certification ISO 27001 : étape intermédiaire |
| ISO 27001 | Système de gestion de l'information complet (SGSI), contrôles de l'annexe A (93), gouvernance | 3,000 15,000 à XNUMX XNUMX £ et plus | 4 – 9 mois | 3 ans (surveillance annuelle) | Ventes internationales, SaaS B2B, secteurs réglementés |
| SOC 2 (Type 2) | 5 critères des services de confiance, efficacité opérationnelle | 15,000 100,000 à XNUMX XNUMX £ et plus | Observation de 3 à 12 mois | Rapport annuel | Vente de solutions SaaS aux États-Unis, organisations de services |
| NIS 2 | Gestion réglementaire des cyber-risques pour les entités essentielles/importantes | Intégré aux opérations | Continu | Continu | Les secteurs d'infrastructures critiques et leurs fournisseurs |
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Comment choisir entre les certifications en cybersécurité ?
Commencez par la question qui a déclenché le projet. La certification appropriée dépend de ce (ou de qui) la demande.
- fournisseur de contrat du gouvernement britannique ou du ministère de la Défense Commencez par la certification Cyber Essentials, puis Cyber Plus si nécessaire. Cette certification est explicitement requise dans la note de service PPN 09/14 et le niveau de confort DEFCON 658.
- police d'assurance cybernétique — La certification Cyber Essentials est généralement suffisante pour les PME. Les entreprises plus importantes ou présentant un risque plus élevé peuvent avoir besoin de la norme ISO 27001.
- Client entreprise demandant un certificat ISMS — ISO 27001. Les clients le mentionnent presque toujours explicitement.
- Client SaaS basé aux États-Unis demandant un rapport d'assurance — SOC 2 (généralement de type 2 une fois la relation établie).
- Obligation NIS 2 ou obligation réglementaire équivalente — Mettre en œuvre les contrôles requis par la réglementation ; de nombreuses organisations utilisent la norme ISO 27001 comme cadre de structuration pour le démontrer.
- Première certification, non motivée par un acheteur spécifique — Cyber Essentials. C’est la solution la plus économique, la plus rapide et celle qui présente la meilleure valeur ajoutée pour les achats publics au Royaume-Uni. De plus, les compétences acquises permettent d’accéder directement à la norme ISO 27001 si vous progressez dans ce sens.
La plupart des organisations britanniques finissent par obtenir plusieurs certifications au fil du temps. Un parcours typique se déroule ainsi : Cyber Essentials → Cyber Essentials Plus → ISO 27001 → SOC 2 dès l’arrivée des clients américains. Les contrôles se recoupent suffisamment pour que le maintien de la certification suivante se fasse progressivement, sans avoir à tout recommencer, à condition de disposer d’un référentiel unique permettant de faire correspondre les contrôles entre les différents référentiels.
Que faire si vous avez besoin de plusieurs certifications ?
L'exécution séparée des certifications Cyber Essentials, ISO 27001 et SOC 2 est coûteuse. Les trois organismes exigent les mêmes éléments de preuve (règles de pare-feu, configuration de l'authentification multifacteur, historique des entrées/sorties, inventaire des actifs, rapports de correctifs), mais dans des formats différents. Le plus souvent, ces éléments se retrouvent dispersés à trois endroits, avec trois cycles de mise à jour distincts.
L'alternative consiste à saisir chaque contrôle et chaque élément de preuve une seule fois, en les associant à chaque schéma auquel ils se conforment. C'est ce que ISMS.en ligne Il s'agit d'un système de gestion de la sécurité de l'information (SGSI) unique qui expose simultanément les ensembles de contrôles Cyber Essentials, ISO 27001, SOC 2 et NIS 2, avec des preuves liées une seule fois et réutilisables partout. Les clients qui commencent par Cyber Essentials ISMS.en ligne sont souvent à mi-chemin de la certification ISO 27001 lorsque la demande du client se fait sentir.
Quelles sont les idées fausses les plus courantes concernant la certification en cybersécurité ?
- « Une certification signifie que nous sommes en sécurité. » Une certification atteste du respect d'un ensemble de contrôles définis à un moment donné. Elle ne garantit pas l'inviolabilité de votre système. Considérez le certificat comme la preuve d'un programme mis en œuvre, et non comme un résultat.
- « Cyber Essentials et ISO 27001, c'est la même chose. » Non. Cyber Essentials couvre cinq domaines de contrôle techniques ; la norme ISO 27001 certifie un système de gestion de la sécurité de l’information complet, couvrant la gouvernance, les risques et 93 contrôles spécifiques.
- « Nous avons besoin des certifications ISO 27001 et SOC 2 dès le premier jour. » Généralement non. La plupart des entreprises britanniques commencent par celle dont leur principal client actuel a besoin, puis ajoutent la seconde lorsque les ventes internationales l'exigent.
- « La certification de notre fournisseur de cloud nous couvre. » Le certificat de votre fournisseur de cloud couvre son infrastructure, mais pas la configuration de votre locataire, les contrôles d'accès ni la gestion des données. Vous avez toujours besoin de votre propre certification.
- « La certification est un projet ponctuel. » Chaque certification en cybersécurité a un cycle de renouvellement annuel ou triennal. Considérez-la comme un programme opérationnel, et non comme un projet.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Pourquoi choisir ISMS.online pour votre certification en cybersécurité ?
- Une plateforme, tous les schémas — Les normes Cyber Essentials, Cyber Essentials Plus, ISO 27001, SOC 2 et NIS 2 sont toutes pré-intégrées dans ISMS.en ligne, avec des contrôles harmonisés entre les différents dispositifs afin que les preuves soient réutilisées et non réécrites.
- Source unique de preuves — Joignez une seule capture d'écran ou un document et liez-le à chaque contrôle qu'il satisfait, pour chaque certification. Aucun doublon, aucune incohérence entre les versions.
- périmètre du registre des risques et du SMSI — Capturez vos actifs informationnels, vos risques et vos traitements dans un SMSI structuré qui satisfait aux exigences de la clause ISO 27001 et alimente votre récit SOC 2.
- Politiques et procédures préétablies — Une bibliothèque de politiques pré-rédigées, alignées sur les contrôles de chaque système, vous permet de partir d'une base de travail existante plutôt que d'un document vierge.
- Prêt pour l'audit — Les audits de surveillance, les audits de recertification et les fenêtres d'observation SOC 2 sont plus faciles lorsque la plateforme suit automatiquement la fraîcheur des preuves, les responsables des actions et les dates d'échéance.
- Des milliers d'organisations leur font confiance. - ISMS.en ligne Elle accompagne les entreprises de toutes tailles, des candidats à la certification Cyber Essentials pour la première fois aux groupes internationaux multi-certifiés.
- La réussite client qui a traversé cette épreuve — Un soutien à la mise en œuvre assuré par des personnes qui ont elles-mêmes obtenu la certification selon les mêmes référentiels, et non pas seulement par des vendeurs de la plateforme.
FAQ
Quelle est la meilleure certification en cybersécurité pour une PME britannique ?
Pour la plupart des PME britanniques, le point de départ idéal est la certification Cyber Essentials. C'est la certification la plus économique, la plus rapide à obtenir et celle exigée par les marchés publics britanniques (PPN 09/14). La certification Cyber Essentials Plus intervient ensuite si un contrat ou une chaîne d'approvisionnement l'exige. Il est possible de passer à la norme ISO 27001 dès que la demande des grandes entreprises ou les ventes à l'international se font sentir.
La certification Cyber Essentials est-elle une certification de cybersécurité reconnue internationalement ?
La certification Cyber Essentials est spécifique au Royaume-Uni. Bien qu'elle soit reconnue par le gouvernement britannique, les assureurs britanniques et de nombreux acheteurs privés britanniques, elle n'a pas de valeur juridique directe en dehors du Royaume-Uni. La norme ISO 27001 est la certification équivalente reconnue internationalement, et le rapport d'assurance SOC 2 est le principal rapport d'assurance aux États-Unis. Les entreprises britanniques qui vendent à l'international passent généralement de la certification Cyber Essentials à la norme ISO 27001 ou SOC 2.
Combien coûte une certification en cybersécurité au Royaume-Uni ?
Les coûts varient considérablement. La certification Cyber Essentials est proposée à partir de 330 £ HT pour les très petites organisations. L'audit Cyber Essentials Plus coûte généralement entre 1 500 £ et 3 000 £ supplémentaires. La certification ISO 27001 coûte entre 3 000 £ pour les très petites organisations et plus de 15 000 £ pour les projets complexes. La certification SOC 2 Type 2 coûte entre 15 000 £ et plus de 100 000 £ selon les critères, le périmètre et la période d'observation. La certification NIS 2 est gratuite, mais nécessite un investissement dans les contrôles sous-jacents.
Combien de temps dure la certification en cybersécurité ?
La certification Cyber Essentials prend généralement entre 4 et 12 semaines à compter du lancement. Cyber Essentials Plus ajoute 1 à 2 semaines, ainsi que les travaux préparatoires. La certification ISO 27001 nécessite entre 4 et 9 mois pour une première certification PME. La certification SOC 2 Type 2 requiert une période d'observation de 3 à 12 mois, en plus des travaux préparatoires. La certification NIS 2 est un processus continu : il ne s'agit pas d'un projet ponctuel.
Une certification en cybersécurité couvre-t-elle le RGPD ?
Aucune certification ne constitue à elle seule une conformité au RGPD. Les normes ISO 27001 et SOC 2 couvrent toutes deux une grande partie des contrôles de sécurité exigés par le RGPD. ISO 27701 Ces normes étendent la norme ISO 27001 spécifiquement aux systèmes de gestion de la protection des données. Elles ne remplacent pas les obligations légales et documentaires du RGPD britannique, mais facilitent grandement la démonstration des mesures de sécurité.
Dois-je renouveler ma certification chaque année ?
Les certifications Cyber Essentials et Cyber Essentials Plus sont valables 12 mois et renouvelables annuellement. La norme ISO 27001 s'applique sur un cycle de 3 ans, avec des audits de surveillance annuels. Les rapports SOC 2 sont généralement mis à jour chaque année. La certification NIS 2 est une obligation continue et non une certification périodique. Quel que soit le référentiel que vous utilisez, considérez-le comme un programme opérationnel et non comme un projet ponctuel.
