Qu’est-ce que Cyber Essentials Plus et en quoi diffère-t-il de la version de base de Cyber Essentials ?
Cyber Essentials Plus est le niveau supérieur du programme du gouvernement britannique. Programme Cyber EssentialsAdministrée par le Centre national de cybersécurité (NCSC) et délivrée par l'IASME et son réseau d'organismes de certification, cette certification couvre les cinq mêmes domaines de contrôle technique que la certification de base, à une différence cruciale près : un évaluateur indépendant vérifie que les contrôles sont effectivement en place et opérationnels sur vos systèmes en production, au lieu de se fier à un questionnaire d'auto-évaluation.
La certification Basic Cyber Essentials est une auto-évaluation. Vous répondez à environ quatre-vingts questions sur la gestion des pare-feu, la configuration sécurisée, les accès utilisateurs, la protection contre les logiciels malveillants et la gestion des mises à jour de sécurité au sein de votre organisation. Un évaluateur qualifié examine ensuite vos réponses. Rapide et abordable, cette certification est parfaitement adaptée aux petites structures souhaitant obtenir une certification de base reconnue.
Cyber Essentials Plus reprend les mêmes exigences de base et y ajoute un audit technique indépendant. Un évaluateur qualifié se connecte à un échantillon de vos appareils, effectue des analyses de vulnérabilité, tente de déployer des logiciels malveillants simulés pour tester la sécurité des terminaux et examine directement les éléments de configuration. Ce niveau d'assurance est de plus en plus exigé par les ministères britanniques, le ministère de la Défense et les fournisseurs du NHS, et il devient une norme dans les processus d'achat des entreprises pour tout fournisseur traitant des données sensibles.
Pour une comparaison détaillée des deux niveaux, consultez notre Guide d'autoévaluation Cyber EssentialsSi vous comparez Cyber Essentials Plus à un cadre de sécurité de l'information plus large, notre Comparaison entre Cyber Essentials et la norme ISO 27001 explique comment les deux se complètent. Avant de réserver l'audit, consultez notre Liste de contrôle des éléments essentiels en cybersécurité pour confirmer que chaque zone de contrôle est bien en place — De plus, les défaillances sont généralement dues à une seule lacune qu'un contrôle de préparation aurait détectée.
Quels sont les cinq domaines de contrôle examinés dans le cadre de Cyber Essentials Plus ?
L'audit Cyber Essentials Plus examine les cinq mêmes domaines de contrôle technique que le référentiel de base, mais avec une vérification pratique de vos systèmes réels plutôt qu'une attestation sur papier. L'auditeur ne se contentera pas de votre parole : il vérifiera.
1. Pare-feu et passerelles Internet
L'évaluateur confirme que chaque appareil concerné (y compris les ordinateurs portables des employés à domicile et en télétravail) est protégé par un pare-feu correctement configuré. Les mots de passe d'administration par défaut des pare-feu de périmètre doivent être modifiés, les connexions entrantes non authentifiées doivent être bloquées par défaut et toute règle autorisant le trafic entrant doit être documentée et justifiée. Les pare-feu logiciels installés sur les appareils des utilisateurs sont vérifiés afin de confirmer leur activation et leur configuration.
2. Configuration sécurisée
Les systèmes doivent être renforcés dès leur installation. L'auditeur vérifie que les logiciels et services inutilisés ont été supprimés ou désactivés, que les comptes par défaut et invités sont désactivés et que les fonctions à exécution automatique sont désactivées sur les appareils des utilisateurs. Les appareils se connectant aux données de l'entreprise doivent imposer un verrouillage d'écran et des exigences d'authentification. L'auditeur inspectera des appareils représentatifs et vérifiera la conformité de la configuration avec les normes établies.
3. Contrôle d'accès utilisateur
L'accès doit être accordé selon le principe du moindre privilège. L'auditeur vérifiera que les comptes utilisateurs sont créés selon une procédure d'approbation formelle, que les privilèges d'administration sont séparés des comptes courants et que l'authentification multifacteurs (AMF) est appliquée à tous les services cloud et à l'accès administratif. Les comptes des personnes quittant l'entreprise doivent être désactivés sans délai, et l'auditeur pourra examiner un échantillon des enregistrements des arrivées, des mutations et des départs afin de tester la procédure.
4. Protection contre les logiciels malveillants
Chaque appareil concerné doit exécuter un logiciel anti-malware, être autorisé à utiliser certaines applications ou fonctionner dans un environnement isolé (sandbox), tel qu'un profil d'appareil mobile géré. L'auditeur tentera de fournir des échantillons de logiciels malveillants de test (généralement le fichier de test EICAR et ses variantes inertes) par e-mail et téléchargement web afin de confirmer que la protection des terminaux détecte et bloque effectivement les menaces en pratique, et non seulement en théorie.
5. Gestion des mises à jour de sécurité
Tous les systèmes d'exploitation et logiciels à haut risque (navigateurs, clients de messagerie, suites bureautiques, lecteurs PDF) doivent être pris en charge par leur fournisseur et corrigés dans les quatorze jours suivant la publication d'une mise à jour de sécurité, lorsque celle-ci corrige une vulnérabilité jugée critique ou élevée. L'auditeur effectuera une analyse de vulnérabilité authentifiée sur un échantillon de dispositifs afin de vérifier qu'aucun système concerné ne dispose d'un correctif requis et qu'aucun logiciel en fin de vie n'est utilisé.
Les spécifications techniques complètes sont gérées par le NCSC et l'IASME et sont mises à jour régulièrement. Pour une description détaillée de chaque commande, consultez notre documentation. Guide des exigences de Cyber Essentials.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
En quoi consiste concrètement l'audit Cyber Essentials Plus ?
L'audit Cyber Essentials Plus est une évaluation structurée et fondée sur des preuves, réalisée par un évaluateur qualifié d'un organisme de certification accrédité par l'IASME. Cet audit suit un cahier des charges précis et se déroule généralement à distance, bien que des visites sur site soient parfois nécessaires pour les infrastructures plus vastes ou plus complexes. Il comprend cinq tests techniques distincts.
analyse de vulnérabilité externe
L'évaluateur effectue une analyse authentifiée et non authentifiée de chaque adresse IP exposée sur Internet. Cette analyse recherche les correctifs manquants, les services non sécurisés, les dispositifs de sécurité périmétriques mal configurés et les interfaces d'administration exposées. Toute vulnérabilité présentant un score CVSS v3 de 7.0 ou plus est considérée comme un échec, sauf s'il est démontré qu'il s'agit d'un faux positif.
Analyse de vulnérabilité authentifiée interne
Un échantillon de postes utilisateurs est analysé avec un accès authentifié, permettant à l'outil de recenser les logiciels installés, les correctifs manquants et les failles de configuration. Comme pour l'analyse externe, les vulnérabilités critiques ou de haut niveau entraînent un échec. Ce test est celui qui prend le plus souvent les organisations au dépourvu, car il révèle des extensions de navigateur non mises à jour, des lecteurs PDF obsolètes et d'anciennes versions de logiciels bureautiques qui échappent souvent aux processus de mise à jour informels.
Simulation de diffusion de logiciels malveillants par courriel
L'évaluateur envoie une série de fichiers de test (un mélange d'échantillons EICAR inoffensifs et d'archives protégées par mot de passe contenant des charges utiles inertes) à la boîte de réception d'un utilisateur. Le comportement attendu est que la passerelle de sécurité de messagerie, le client de messagerie et le moteur anti-malware du terminal bloquent ou mettent en quarantaine chaque échantillon. Tout fichier qui atteint la boîte de réception et peut être exécuté est considéré comme un échec.
Simulation de diffusion de logiciels malveillants via la navigation web
Les fichiers de test sont hébergés sur un serveur web sécurisé et l'évaluateur tente de les télécharger via le navigateur d'un appareil de test. La protection du terminal doit empêcher leur exécution. Le test vérifie également que les navigateurs sont configurés pour bloquer les sites malveillants connus et que les comportements de téléchargement par défaut sont appropriés.
Examen de la configuration et du compte
Au-delà des analyses automatisées, l'évaluateur inspectera de manière interactive les appareils échantillonnés afin de confirmer les politiques de verrouillage d'écran, l'application de l'authentification multifacteur, la séparation des comptes d'administrateur, la suppression des logiciels non pris en charge et l'absence d'identifiants par défaut sur les équipements réseau.
Combien d'appareils l'auditeur échantillonne-t-il ?
La taille de l'échantillon est définie par la spécification de test IASME et s'adapte à la taille du parc informatique. Les grandes organisations ne font pas l'objet d'un audit complet sur chaque appareil, mais un échantillon statistiquement significatif est sélectionné pour chaque type d'appareil et système d'exploitation.
| Nombre d'appareils concernés | Taille de l'échantillon par type d'appareil | Remarques |
|---|---|---|
| 1 - 10 | Tous les dispositifs | Chaque appareil concerné est testé |
| 11 - 50 | 10 appareils ou 20 %, selon la valeur la plus élevée. | Échantillon stratifié selon les systèmes d'exploitation et les rôles des appareils |
| 51 - 200 | 15 appareils par type | Inclut un mélange d'appareils d'entreprise et d'appareils personnels personnels (BYOD), le cas échéant. |
| 201 | Défini par l'évaluateur, minimum 20 par type | Échantillon convenu au préalable et consigné dans le plan d'audit |
L'échantillon doit couvrir tous les systèmes d'exploitation, tous les types de configuration (entreprise, prestataire, BYOD) et tous les profils d'utilisateur (utilisateur standard, administrateur, développeur). Une seule défaillance sur un appareil échantillonné est considérée comme une défaillance de l'ensemble du parc ; il est donc essentiel d'appliquer des normes de configuration uniformes sur l'ensemble du parc.
Quelles preuves l'auditeur demandera-t-il avant de commencer les tests ?
Avant toute analyse, l'évaluateur fournira un dossier de cadrage et une demande de pièces justificatives préalables. La préparation de ce dossier en amont est essentielle au bon déroulement de l'audit. Les pièces justificatives généralement demandées comprennent :
- Inventaire des actifs — Une liste complète des appareils concernés (serveurs, appareils utilisateurs, appareils mobiles), avec leurs noms d'hôte, versions de systèmes d'exploitation et emplacement physique ou propriétaire.
- Schéma de réseau — Affichage des passerelles Internet, de la segmentation interne et de tous les services cloud inclus dans le périmètre
- normes de construction — Configurations de référence documentées pour chaque système d'exploitation utilisé
- Politique et preuves de gestion des correctifs — Y compris le rapport de correctifs du mois dernier
- Archives des menuisiers-déménageurs-quitteurs — Pour un échantillon de personnes ayant récemment commencé ou quitté l'entreprise, des preuves que des comptes ont été créés et désactivés conformément à la politique en vigueur
- Preuves de configuration MFA — Captures d'écran ou exportations de la console d'administration confirmant l'application de l'authentification multifacteur sur les services cloud et les comptes à privilèges
- Rapport de couverture anti-malware — Vérifier que chaque appareil concerné communique bien avec la console de gestion.
- base de règles du pare-feu — Exportation de la configuration ou des règles du pare-feu de périmètre, avec justifications métier pour les règles entrantes
- Politique BYOD — Si des appareils personnels accèdent à des données d'entreprise, la politique et les contrôles techniques (généralement MDM ou conteneurisation au niveau de l'application) qui la mettent en œuvre
Les organisations qui conservent ces éléments de preuve comme un artefact vivant — plutôt que de se démener pour les rassembler dans les semaines précédant l'audit — réussissent systématiquement la certification Cyber Essentials Plus dans la partie inférieure du délai habituel.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Quel sera le prix de Cyber Essentials Plus en 2026 ?
La certification Cyber Essentials Plus est sensiblement plus onéreuse que la certification Cyber Essentials de base en raison du temps d'évaluation nécessaire à la réalisation de l'audit technique. Les tarifs varient selon l'organisme de certification, la taille et la complexité du système, mais les fourchettes de prix indicatives ci-dessous correspondent à des devis types pour 2026 provenant d'organismes accrédités IASME au Royaume-Uni.
| Certifications | Tarif type (hors TVA) | Ce qui est inclus |
|---|---|---|
| Notions de base en cybersécurité | 2 200 £ — 3 500 £ | Questionnaire d'auto-évaluation, examen par un évaluateur, certificat valable 12 mois. Les frais sont modulés en fonction du nombre de personnes. |
| Cyber Essentials Plus (petite organisation, jusqu'à ~50 appareils) | 2 200 £ — 3 500 £ | Formation de base en cybersécurité, audit technique, analyses de vulnérabilité et tests de logiciels malveillants simulés |
| Cyber Essentials Plus (organisation de taille moyenne, 50 à 250 appareils) | 2 200 £ — 3 500 £ | Comme ci-dessus, avec un échantillon plus important et généralement des journées d'évaluation supplémentaires. |
| Cyber Essentials Plus (domaines plus vastes ou complexes) | £ 3,500 + | Devis sur mesure — la gestion de plusieurs sites, de plusieurs systèmes d'exploitation ou une empreinte cloud importante font grimper le prix. |
Ces frais correspondent uniquement aux frais directs de certification. Le coût total réel de la certification inclut également le travail interne nécessaire à la préparation des preuves, à la correction des anomalies constatées lors de l'audit préalable et à l'acquisition ou à la mise à niveau des outils (par exemple, l'authentification multifacteur sur les systèmes existants ou le remplacement des logiciels en fin de vie). Pour une ventilation complète des coûts directs et indirects, veuillez consulter notre [lien/document/document]. Guide des coûts de Cyber Essentials.
Combien de temps dure la formation Cyber Essentials Plus du début à la fin ?
Pour une organisation bien préparée et déjà titulaire de la certification Cyber Essentials de base, le parcours Cyber Essentials Plus prend généralement de six à huit semaines. La certification de base doit être obtenue avant l'audit Plus et ne doit pas dater de plus de trois mois au moment de la réservation de l'évaluation Plus.
| Stage | Durée typique | Ce qui se produit |
|---|---|---|
| Définition du périmètre et engagement | 1 à 2 semaines | L'organisme de certification confirme le périmètre, la taille de l'échantillon et la période d'audit. Un dossier de pré-audit a été établi. |
| Préparation des éléments de preuve et correction préalable à l'audit | 2 à 4 semaines | Vous rassemblez les preuves, effectuez une analyse de vulnérabilité interne et corrigez les anomalies importantes ou critiques avant l'audit formel. |
| travail de terrain d'audit | 2 à 5 jours | L'évaluateur effectue des analyses externes et internes, des tests de simulation de logiciels malveillants et une vérification de la configuration sur les appareils échantillonnés. |
| Constatations et mesures correctives | 0 à 4 semaines | Tout dysfonctionnement doit être corrigé et testé à nouveau dans le délai imparti à l'audit (généralement 30 jours). |
| Certificat délivré | 1 semaine | Une fois tous les tests réussis, l'IASME délivre le certificat, valable 12 mois. |
Les organisations qui échouent à la première tentative d'audit (généralement parce qu'une analyse interne authentifiée révèle un correctif manquant ou un logiciel non pris en charge) peuvent payer des frais supplémentaires pour un nouvel audit correctif au lieu de recommencer le processus, à condition que le problème soit résolu dans les trente jours. Une fois le certificat délivré, prévoyez les étapes suivantes : Renouvellement annuel, ce qui nécessite un nouvel audit chaque année.
Qui a réellement besoin de Cyber Essentials Plus ?
La certification Cyber Essentials Plus est une exigence contractuelle dans un nombre croissant de marchés publics au Royaume-Uni et un atout concurrentiel dans bien d'autres. Les exigences les plus claires proviennent du secteur public.
- contrats du gouvernement central — La certification Cyber Essentials est obligatoire pour tout contrat impliquant le traitement de données personnelles ou la fourniture de produits et services TIC. La certification Plus est requise lorsque le contrat porte sur des données sensibles ou personnelles à grande échelle.
- Ministère de la Défense (MOD) — Dans le cadre du Partenariat pour la cyberprotection de la défense (DCPP) et du modèle de cybersécurité, les fournisseurs traitant des informations identifiables du ministère de la Défense doivent posséder au minimum la certification Cyber Essentials Plus, les projets de niveau supérieur exigeant des contrôles supplémentaires.
- Fournisseurs du NHS et du secteur de la santé — Le guide sur la sécurité et la protection des données reconnaît explicitement la certification Cyber Essentials Plus, et de nombreux établissements du NHS en font un critère d'achat pour les fournisseurs qui traitent des données de patients.
- autorités locales et organismes publics — De plus en plus souvent intégrée aux exigences des appels d'offres pour tout contrat impliquant des données de citoyens ou des services critiques
- Achats d'entreprise — De nombreuses grandes organisations du secteur privé exigent désormais la certification Cyber Essentials Plus de leurs principaux fournisseurs, notamment dans les domaines des services financiers, juridiques et des services gérés.
- Cyber assurance Plusieurs assureurs britanniques proposent des primes réduites ou des conditions de couverture améliorées aux organisations titulaires de la certification Cyber Essentials Plus, ce qui reflète la fréquence moindre des sinistres parmi les entreprises certifiées.
Si votre organisation possède déjà la certification Cyber Essentials de base et répond à des appels d'offres, la certification Plus devrait devenir une exigence d'ici douze à vingt-quatre mois. Anticiper cette exigence est nettement moins coûteux et moins perturbateur que de se démener pour obtenir une certification dans les délais impartis.
Pourquoi choisir ISMS.online pour Cyber Essentials Plus ?
Se préparer à un audit Cyber Essentials Plus est avant tout un problème de preuves. Les contrôles techniques ne sont pas complexes ; ce qui pose problème aux organisations, c’est la rigueur nécessaire pour maintenir à jour en permanence les enregistrements de configuration, de correctifs et d’accès, prêts pour un audit. ISMS.en ligne vous aide à obtenir et à maintenir la certification Cyber Essentials Plus en transformant les preuves de contrôle sous-jacentes en un système d'enregistrement vivant et partagé.
- Cadre de contrôle préconfiguré Cyber Essentials — Chaque exigence des cinq domaines de contrôle est intégrée à la plateforme ; vous effectuez donc l’évaluation par rapport au référentiel officiel sans avoir à concevoir votre propre liste de contrôle.
- Bibliothèque de preuves centralisée — Stockez les exportations de règles de pare-feu, les rapports de correctifs, les normes de compilation, les captures d'écran de l'authentification multifacteur et les enregistrements des arrivées, départs et mutations en fonction des contrôles qu'ils mettent en évidence, afin que votre dossier d'audit se constitue automatiquement.
- Gestion du registre des actifs et du périmètre — Conserver un inventaire unique des appareils concernés, avec leurs propriétaires, systèmes d'exploitation et état du cycle de vie, afin que l'échantillon de l'évaluateur soit facile à définir.
- Modèles de politiques et de procédures — Modèles de politiques conformes aux exigences de Cyber Essentials concernant l'utilisation acceptable, le contrôle d'accès, les correctifs, le BYOD et la gestion des incidents, rédigés pour les entreprises britanniques et prêts à être adoptés.
- Flux de travail des employés, des déménageurs et des partants — Suivre les nouveaux employés, les changements de rôle et les départs par rapport aux décisions d'accès, en produisant les preuves attendues par l'évaluateur sans manipulation manuelle de feuilles de calcul.
- Réutilisation inter-frameworks — Les mêmes données de contrôle confirment ISO 27001, SOC 2 et d'autres référentiels, de sorte que Cyber Essentials Plus devient un tremplin vers des certifications plus larges plutôt qu'un exercice isolé.
- Des milliers d'organisations britanniques leur font confiance. - ISMS.en ligne soutient les entreprises de la chaîne d'approvisionnement du secteur public, des services professionnels, des technologies et des fournisseurs de services gérés dans leur processus de certification
Guides associés à Cyber Essentials
Poursuivez votre apprentissage des fondamentaux de la cybersécurité avec les autres guides de cette série :
- Exigences en matière de cybersécurité — Les cinq domaines de contrôle, les décisions relatives à la portée et les éléments de preuve recherchés par les évaluateurs.
- Coût de Cyber Essentials — Niveaux de prix de l'IASME, coûts supplémentaires, coûts cachés et totaux sur 3 ans pour les entreprises britanniques.
- La formation Cyber Essentials vaut-elle le coup ? — Une évaluation honnête des avantages, des inconvénients et des personnes qui ont réellement besoin de cette certification.
- Auto-évaluation des compétences essentielles en cybersécurité — Le flux de travail, la portée, les preuves et les pièges courants du SASQ.
- Combien de temps dure la formation Cyber Essentials ? — Délais habituels au Royaume-Uni, options accélérées et facteurs de ralentissement.
- Renouvellement de la certification Cyber Essentials — Le cycle de 12 mois, les changements de contrôle de 2026 et comment se préparer 60 jours à l'avance.
- Cybersécurité essentielle pour les petites entreprises — Tarification, périmètre et analyse coûts-avantages spécifiques aux PME.
- Cyber Essentials vs ISO 27001 — Comparaison de la portée, du coût, du temps et de la reconnaissance.
FAQ
Ai-je besoin de la version de base de Cyber Essentials avant de pouvoir obtenir Cyber Essentials Plus ?
Oui. La certification Cyber Essentials Plus s'appuie sur l'auto-évaluation de base, et le certificat de base doit être obtenu avant l'audit Plus. L'IASME exige que la certification de base date de moins de trois mois lors de la réservation de l'audit Plus ; la plupart des organisations réalisent donc les deux certifications dans le cadre d'un même projet planifié, plutôt que de les traiter séparément.
Que se passe-t-il si nous échouons à une partie de l'audit Cyber Essentials Plus ?
Un échec à un test individuel signifie que le certificat ne peut être délivré en l'état, mais ne nécessite pas de recommencer la procédure depuis le début. L'organisme de certification consignera l'anomalie, vous corrigerez le problème (généralement un correctif manquant, un logiciel non pris en charge ou une faille dans l'authentification multifacteur) et l'évaluateur testera à nouveau le contrôle concerné. Si la correction et le nouveau test sont effectués dans les trente jours suivant l'audit initial, vous évitez un nouvel audit complet et ne payez que des frais de nouveau test réduits.
L'offre Cyber Essentials Plus couvre-t-elle les services cloud ?
Oui. Depuis 2022, le dispositif inclut explicitement les services cloud dont vous contrôlez les données, les comptes utilisateurs ou la configuration. L'infrastructure en tant que service (IaaS) et la plateforme en tant que service (PaaS) sont toujours concernées. Le logiciel en tant que service (SaaS) est concerné lorsque vous administrez les comptes et configurez les paramètres de sécurité, ce qui s'applique à la plupart des plateformes de productivité, d'identité et de collaboration d'entreprise. L'auditeur vérifie l'application de l'authentification multifacteur (MFA), la séparation des tâches d'administration et la configuration au sein de votre environnement, et non au niveau de l'infrastructure sous-jacente du fournisseur.
Les télétravailleurs et les travailleurs à domicile peuvent-ils être inclus dans le champ d'application ?
Oui, et cela doit être le cas. Tout appareil traitant des données d'entreprise ou accédant à des services cloud d'entreprise est concerné, quel que soit le lieu de travail de l'utilisateur. L'auditeur s'attend à ce que les mêmes pare-feu, correctifs, logiciels anti-malware et contrôles d'accès soient appliqués aux appareils domestiques et distants qu'à ceux utilisés au bureau, en tenant compte du fait que le routeur Internet domestique est considéré comme le dispositif de périmètre.
Quelle est la durée de validité de Cyber Essentials Plus ?
Le certificat est valable douze mois à compter de sa date d'émission. Pour maintenir sa certification, un audit annuel est requis, et de nombreuses organisations font coïncider ce renouvellement avec leur exercice financier ou un cycle d'achat important. ISMS.en ligne Elle permet de conserver vos preuves de contrôle en continu entre les audits, de sorte que le renouvellement devient une mise à jour plutôt qu'un redémarrage complet.
Dois-je opter pour la certification Cyber Essentials Plus ou passer directement à la norme ISO 27001 ?
Pour la plupart des organisations britanniques, la solution consiste à obtenir les deux certifications, successivement. Cyber Essentials Plus est une certification technique ciblée qui atteste de l'efficacité de vos contrôles de base et constitue souvent une exigence contractuelle à part entière. La norme ISO 27001 est une certification de système de management plus large qui couvre la gouvernance, la gestion des risques et l'intégralité du cycle de vie de la sécurité de l'information. Plus est plus rapide et moins coûteuse à obtenir et vous fournit la plupart des preuves de contrôle technique exigées ultérieurement par la norme ISO 27001 ; c'est donc une première étape judicieuse vers une certification plus complète.
