Qu’est-ce que le renouvellement de Cyber Essentials et pourquoi est-ce important ?
Le renouvellement de la certification Cyber Essentials est le cycle de recertification annuel que chaque organisation britannique certifiée doit effectuer pour conserver sa certification. Cyber Essentials Label de confiance valide. Un certificat est délivré pour une durée exacte de 12 mois à compter de la date de vérification de votre évaluation. Dès l'expiration de ce délai de 12 mois, le certificat expire ; aucun délai de grâce ne vous permet de continuer à afficher le label ou à revendiquer le statut de certifié auprès de vos clients, des acheteurs gouvernementaux ou des assureurs.
Cette expiration abrupte est délibérée. Le paysage des menaces évolue constamment, les éditeurs de logiciels publient de nouvelles vulnérabilités chaque mois et le consortium IASME (qui gère le programme pour le compte du NCSC) actualise les exigences techniques environ une fois par an. Un certificat de 12 mois garantit que toute personne affichant la marque a été évaluée selon une version récente de la norme, et non selon une version datant de trois ans. Pour les acheteurs de services impliquant des données personnelles ou des chaînes d'approvisionnement gouvernementales, cette actualité est l'essence même du programme.
Pour la plupart des entreprises britanniques, le renouvellement est une obligation contractuelle et commerciale. Si vous êtes fournisseur du gouvernement central, titulaire de contrats avec le ministère de la Défense, travaillez avec le NHS ou faites partie d'une chaîne d'approvisionnement réglementée, vos clients consulteront le registre des certificats de l'IASME pour vérifier la validité de votre certification. Un certificat expiré entraîne souvent la suspension immédiate de toute nouvelle commande, un signalement dans votre dossier fournisseur et, dans certains cas, une rupture de contrat. Traiter le renouvellement comme une simple formalité administrative est risqué : il doit être planifié, géré et financé comme le projet de certification initial.
Cette page présente toutes les informations concernant le renouvellement pour 2026 : la règle de validité de 12 mois, les changements d’une année sur l’autre, la comparaison avec une nouvelle demande, les coûts pour les cinq catégories de taille, les mises à jour des contrôles IASME de 2026 auxquelles vous devez vous préparer, la durée du délai de grâce pour les certificats expirés et comment décider de passer au renouvellement. Cyber Essentials Plus au moment du renouvellement.
Comment fonctionne concrètement le cycle de renouvellement de 12 mois ?
Les certificats Cyber Essentials sont valables exactement 12 mois à compter de la date de validation par l'évaluateur. La date d'expiration est imprimée sur votre certificat, enregistrée auprès de l'IASME et communiquée par courriel à votre contact enregistré avant l'échéance. Dès le premier jour de la deuxième année, votre certificat précédent n'est plus valable.
La procédure de renouvellement est, d'un point de vue réglementaire, identique à celle d'une nouvelle demande. Vous remplissez le même questionnaire d'auto-évaluation Cyber Essentials (SASQ), le soumettez au même organisme de certification, payez les mêmes frais en fonction de la taille de votre organisation et vos réponses sont examinées par la même équipe d'évaluateurs. L'appellation « renouvellement » facilite la facturation et la planification, et ne signifie pas que la procédure est simplifiée. Il n'existe pas de questionnaire abrégé, pas d'option « mêmes réponses que l'année précédente » et aucun tarif réduit pour les organisations qui renouvellent leur certification.
Ce qui a changé entre la première et la deuxième année, c'est ce sur quoi vous devez répondre. Votre périmètre d'activité a peut-être évolué, vous avez intégré de nouveaux appareils et logiciels, vos services cloud ont peut-être changé et le questionnaire lui-même a été mis à jour. L'IASME publie une nouvelle version des exigences environ chaque année en avril. Si votre renouvellement intervient après cette mise à jour, vous devez répondre en fonction de la nouvelle version, même si vous avez été certifié selon l'ancienne version 11 mois auparavant. C'est pourquoi une copie propre de vos réponses de l'année précédente est utile comme point de départ, mais ne constitue jamais une version finale suffisante.
La plupart des organismes de certification vous permettent de soumettre votre demande de renouvellement jusqu'à 90 jours avant l'expiration. La période de validité de votre nouveau certificat de 12 mois commence à la date de réussite, donc une soumission anticipée ne réduit pas la durée de votre deuxième année de validité ; elle avance simplement la date d'expiration du nombre de jours indiqués à l'avance.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Quels changements apporteront les exigences de Cyber Essentials en 2026 ?
L'IASME a actualisé les contrôles techniques qui sous-tendent Cyber Essentials en avril 2026. Les cinq thèmes de contrôle — pare-feu, configuration sécurisée, gestion des mises à jour de sécurité, contrôle d'accès utilisateur et protection contre les logiciels malveillants — demeurent la structure fondamentale du référentiel. Les changements concernent les spécificités de chaque thème : les modalités de mise en œuvre de l'authentification multifacteur (MFA), les types d'appareils concernés, le traitement des services cloud et du télétravail, ainsi que les définitions de la prise en charge logicielle qui déclenchent une alerte de logiciel non pris en charge.
Le tableau ci-dessous récapitule les nouveautés de 2026 par rapport aux questions inchangées de 2025. Utilisez-le pour vérifier rapidement les points à éclaircir avant de soumettre votre demande de renouvellement.
| Zone de contrôle | Quoi de neuf dans 2026 | Reporté de 2025 |
|---|---|---|
| Pare-feu et périmètre | Formulation plus stricte des règles relatives aux pare-feu logiciels pour les appareils utilisés en dehors du réseau de l'entreprise ; obligation explicite de documenter toutes les règles entrantes avec une justification commerciale. | Refus par défaut des connexions entrantes, modification des mots de passe par défaut du fournisseur, protection dédiée de l'interface d'administration. |
| Configuration sécurisée | Des attentes plus claires concernant la désactivation de l'exécution/lecture automatique sur tous les appareils concernés, ainsi que des directives plus précises sur la séparation des réseaux invités et Wi-Fi pour les télétravailleurs. | Suppression des logiciels et comptes inutiles, verrouillage des appareils après 10 minutes d'inactivité, protection contre les attaques par force brute sur les comptes utilisateurs. |
| Gestion des mises à jour de sécurité | Définition mise à jour du logiciel « pris en charge » qui prend explicitement en compte les dates limites de fin de support étendu des fournisseurs et considère les anciennes versions verrouillées par licence comme non prises en charge. | Fenêtre de correction de 14 jours pour les CVE critiques/élevées, mises à jour automatiques lorsqu'elles sont disponibles, suppression des logiciels non pris en charge du périmètre ou du réseau. |
| Contrôle d'accès utilisateur | Extension de l'authentification multifacteur : tous les services cloud (et non plus seulement les services d'administration) utilisés par l'organisation requièrent désormais l'authentification multifacteur pour chaque utilisateur, avec des méthodes anti-phishing recommandées pour les administrateurs. Règles renforcées pour les comptes partagés et les comptes de service. | Comptes utilisateurs uniques, processus formel d'approbation des comptes utilisateurs, séparation des comptes standard et administratifs, authentification multifacteur pour l'accès administrateur au cloud. |
| Protection contre les logiciels malveillants | Formulation plus précise des trois approches acceptées (logiciel anti-malware, liste blanche d'applications, sandbox) et exigence explicite de prise en compte des plateformes mobiles. | Analyse en temps réel, mises à jour des signatures/heuristiques, filtrage Web ou équivalent pour les appareils concernés. |
| étendue du service cloud | Définition affinée des services cloud concernés : tout SaaS, PaaS ou IaaS dont votre organisation dépend pour ses opérations commerciales doit être couvert, avec une responsabilité partagée plus claire. | Les suites bureautiques de type Office 365/Google Workspace, les plateformes de stockage de fichiers et de collaboration sont concernées. |
| Apportez votre propre appareil et télétravail | Exigences renforcées pour l'accès aux données d'entreprise depuis des appareils personnels : les cinq mêmes contrôles doivent être appliqués de manière démontrable, avec des conseils pratiques sur la gestion des appareils mobiles (MDM) et l'accès conditionnel. | Le télétravail est inclus par défaut, les routeurs domestiques sont exclus du périmètre, les appareils appartenant aux employés sont inclus dans le périmètre lorsqu'ils sont utilisés pour le travail. |
| Structure du questionnaire | Questions reformulées pour plus de clarté, suppression des doublons et amélioration de la logique de branchement afin que les répondants ne voient que les questions pertinentes pour leur environnement. | Cinq thèmes de contrôle, sections organisationnelles et techniques, approbation par un signataire de niveau conseil d'administration. |
Si vous avez obtenu votre certification en 2025, les contrôles eux-mêmes n'ont pas fondamentalement changé, mais leur formulation a été renforcée et les exigences en matière d'authentification multifacteur (MFA) ont augmenté. Le principal obstacle au renouvellement en 2026 réside dans l'extension de l'exigence MFA aux comptes utilisateurs standard (et non plus seulement aux administrateurs) pour les services cloud. Si votre déploiement actuel ne concerne que les administrateurs, prévoyez cette extension dans votre délai de préparation de 60 jours avant la soumission de votre demande. En effet, le déploiement de la MFA à l'ensemble de l'organisation prend généralement plus de temps que ne le laisse supposer la configuration technique.
Quel est le coût du renouvellement de la certification Cyber Essentials en 2026 ?
Les coûts de renouvellement sont identiques à ceux d'une nouvelle demande. L'IASME fixe les prix de manière centralisée ; vous payez donc le même tarif quel que soit l'organisme de certification choisi. Les prix sont échelonnés selon la taille de l'organisation, calculée en fonction du nombre total d'employés (et non uniquement du périmètre certifié), et tous les tarifs sont indiqués hors TVA.
| Bande de taille | Collaborateurs | frais de renouvellement de Cyber Essentials |
|---|---|---|
| Micro | 0-9 | £ 330 + TVA |
| petit | 10-49 | £ 400 + TVA |
| Moyenne | 50-249 | £ 450 + TVA |
| Grande | 250 | £ 500 + TVA |
Si vous optez pour Cyber Essentials Plus lors du renouvellement, vous devrez payer les frais standard de Cyber Essentials mentionnés ci-dessus, ainsi que des frais d'évaluation Cyber Essentials Plus distincts. Ces frais, indiqués directement par votre organisme de certification, dépendent du nombre d'appareils et de services cloud concernés. Pour un détail complet des coûts pour les deux certifications, incluant les économies réalisées auprès des fournisseurs, consultez notre [lien/lien]. Guide des coûts de Cyber Essentials.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quand faut-il commencer à préparer le renouvellement ?
La réponse honnête est : « plus tôt que vous ne le pensez ». La principale cause d'échec ou de précipitation dans les renouvellements est de s'y prendre à la dernière minute. Une approche pratique et sereine consiste à démarrer le projet de renouvellement 60 jours avant la date d'expiration. Cela vous laisse suffisamment de temps pour gérer les modifications de périmètre, le déploiement de l'authentification multifacteur et les correctifs logiciels sans risquer d'être concerné par la période de validité.
60 jours avant l'expiration
Munissez-vous d'une copie du questionnaire SASQ soumis l'année dernière, du questionnaire IASME actuel et de vos inventaires d'actifs et de logiciels. Procédez à une analyse rapide des écarts par rapport aux contrôles mis à jour. Identifiez les nouveaux sites, services cloud ou catégories d'appareils entrés dans le périmètre depuis votre dernière certification.
30 à 45 jours avant la date de péremption
Comblez les lacunes techniques : déployez l’authentification multifacteur (MFA) auprès des utilisateurs standard, supprimez ou mettez à niveau les logiciels non pris en charge, renforcez la configuration du pare-feu, revoyez et mettez à jour vos procédures d’utilisation acceptable et de gestion des arrivées, des mutations et des départs. Effectuez un test interne. questionnaire d'auto-évaluation avec les personnes qui l'approuveront.
14 à 21 jours avant la date de péremption
Soumettez le SASQ à votre organisme de certification. La plupart des évaluations sont retournées sous cinq jours ouvrables, ce qui vous laisse un délai pour poser des questions de clarification ou demander une correction et une nouvelle soumission (ce qui compte comme une seule évaluation, et non comme une nouvelle, à condition que vous répondiez dans le même délai de soumission).
À partir du jour de la soumission
Une fois l'examen réussi, votre nouveau certificat est délivré le jour même et le registre de l'IASME est mis à jour. Mettez à jour votre site web, vos portails fournisseurs, vos documents d'appel d'offres et tous les documents contractuels faisant référence au numéro de certificat ou à sa date d'expiration.
Que se passe-t-il si votre certificat expire ?
Si votre certificat expire avant que vous ne soumettiez une demande de renouvellement, l'IASME considère cette demande comme une nouvelle demande et non comme un renouvellement, à une exception importante près. Selon la réglementation actuelle de l'IASME, si vous soumettez votre demande et la réussissez dans les 14 jours suivant la date d'expiration de votre précédent certificat, vous pouvez encore le présenter comme une recertification continue à des fins de marketing et de relation fournisseur. Passé ce délai de 14 jours, votre statut de certification antérieur est interrompu, vous devez le déclarer comme une nouvelle demande et vos clients pourraient constater une interruption dans le registre des certificats.
Le coût est identique dans les deux cas – un retard de certification n'entraîne pas de pénalité – mais les conséquences contractuelles et sur la réputation peuvent être importantes. Les accords-cadres et les produits d'assurance destinés aux fournisseurs publics, qui exigent une certification continue, considèrent toute interruption, même d'une seule journée, comme un manquement. Si vous fournissez l'administration centrale par l'intermédiaire du Crown Commercial Service, attendez-vous à des contestations pour toute interruption dépassant le délai administratif de 14 jours.
Si votre certification risque d'être suspendue pour des raisons indépendantes de votre volonté (absence de personnel clé, modification du périmètre du projet en cours, échec de la première tentative), informez-en votre organisme de certification au plus tôt. Celui-ci ne peut pas prolonger votre certificat actuel – seul l'IASME le peut, et le règlement du programme ne le permet pas – mais il peut généralement traiter votre demande en priorité et vous aider à minimiser la période de suspension.
Devriez-vous passer à la formule Cyber Essentials Plus lors du renouvellement ?
Le renouvellement est le moment idéal pour envisager de passer à la certification Cyber Essentials Plus. La certification Cyber Essentials standard repose sur une auto-évaluation et une vérification documentaire. Cyber Essentials Plus y ajoute un audit technique indépendant et approfondi réalisé par votre organisme de certification. Cet audit comprend des analyses de vulnérabilité, un échantillonnage des appareils et la vérification que les contrôles déclarés sont bien configurés conformément à la description.
Trois signaux indiquent que le moment est venu de passer à l'étape supérieure :
- Pression des clients — un appel d'offres ou une évaluation de fournisseurs a spécifiquement demandé Cyber Essentials Plus, et non pas seulement Cyber Essentials.
- Effet de levier de l'assurance — Votre courtier en cyberassurance indique une réduction de prime ou une amélioration de la couverture significative pour les organisations certifiées Plus.
- Signal de maturité — vous disposez d'une année de données opérationnelles démontrant l'efficacité des contrôles en pratique et vous souhaitez le prouver de manière externe.
L'évaluation Plus utilise le même questionnaire d'auto-évaluation que le niveau de base ; la préparation est donc globalement identique. L'effort supplémentaire consiste à organiser l'audit technique (généralement une demi-journée à une journée pour une petite organisation) et à s'assurer que les appareils échantillonnés sont disponibles et correctement configurés le jour J. Consultez notre page relative aux exigences de Cyber Essentials Plus pour une analyse détaillée des contrôles de l'audit, et notre guide des exigences Pour plus de détails sur les contrôles sous-jacents qui s'appliquent aux deux certificats, consultez notre documentation. Pour connaître l'intégralité du travail de préparation ligne par ligne que les deux routes partagent, veuillez consulter notre Liste de contrôle des éléments essentiels en cybersécurité.
Pourquoi choisir ISMS.online pour le renouvellement de votre certification Cyber Essentials ?
- Préconfiguré pour l'ensemble de questions de 2026 - ISMS.en ligne Ce questionnaire suit la liste actuelle des questions de l'IASME, ce qui vous permet d'évaluer vos compétences par rapport aux exigences les plus récentes sans avoir à reconstruire votre propre liste de contrôle chaque année.
- Une plateforme pour les preuves de renouvellement — collecter, stocker et relier les preuves (configurations de pare-feu, captures d'écran MFA, historiques de correctifs, registres d'actifs) directement à la question à laquelle elles répondent, afin qu'aucune donnée ne soit perdue entre la première et la deuxième année.
- Analyse des écarts intégrée — comparez votre situation actuelle aux contrôles IASME en vigueur et mettez en évidence les écarts les plus prioritaires à combler avant la soumission.
- Suivi des actions menées par le propriétaire — transformer chaque intervalle en une tâche avec un responsable désigné, une date d'échéance et un statut, afin que la période de préparation de 60 jours reste sur la bonne voie.
- Reprise de la première année — Réutiliser les données et les réponses de l'année précédente comme point de départ, puis mettre à jour uniquement ce qui a changé, réduisant ainsi considérablement le temps de préparation.
- Un seul endroit pour plusieurs frameworks — si vous détenez également ISO 27001 ou travaillent à SOC 2 or NIS 2, ISMS.en ligne cartographie les contrôles qui se chevauchent afin que les mêmes preuves puissent étayer plusieurs certifications.
- Des milliers d'organisations britanniques leur font confiance. - ISMS.en ligne Il aide les équipes de conformité à travers le Royaume-Uni à gérer les certifications récurrentes sans avoir à jongler avec des feuilles de calcul.
Guides associés à Cyber Essentials
Poursuivez votre apprentissage des fondamentaux de la cybersécurité avec les autres guides de cette série :
- Exigences en matière de cybersécurité — Les cinq domaines de contrôle, les décisions relatives à la portée et les éléments de preuve recherchés par les évaluateurs.
- Coût de Cyber Essentials — Niveaux de prix de l'IASME, coûts supplémentaires, coûts cachés et totaux sur 3 ans pour les entreprises britanniques.
- La formation Cyber Essentials vaut-elle le coup ? — Une évaluation honnête des avantages, des inconvénients et des personnes qui ont réellement besoin de cette certification.
- Exigences de Cyber Essentials Plus — L’audit technique, les analyses de vulnérabilité et les avantages que Plus offre en plus de la certification de base.
- Auto-évaluation des compétences essentielles en cybersécurité — Le flux de travail, la portée, les preuves et les pièges courants du SASQ.
- Combien de temps dure la formation Cyber Essentials ? — Délais habituels au Royaume-Uni, options accélérées et facteurs de ralentissement.
- Cybersécurité essentielle pour les petites entreprises — Tarification, périmètre et analyse coûts-avantages spécifiques aux PME.
- Cyber Essentials vs ISO 27001 — Comparaison de la portée, du coût, du temps et de la reconnaissance.
FAQ
Quelle est la durée de validité d'un certificat Cyber Essentials ?
Un certificat Cyber Essentials est valable exactement 12 mois à compter de la date de confirmation de réussite par l'évaluateur. Passé ce délai, le certificat expire et vous ne pouvez plus revendiquer le statut de certifié ni afficher le label de confiance tant que vous n'avez pas procédé à un renouvellement.
Combien coûte le renouvellement de Cyber Essentials ?
Les frais de renouvellement sont identiques à ceux d'une nouvelle demande et sont fixés centralement par l'IASME. La tarification est dégressive en fonction du nombre d'employés : 330 £ HT (micro-entreprises, 0 à 9 personnes), 400 £ HT (petites entreprises, 10 à 49 personnes), 450 £ HT (moyennes entreprises, 50 à 249 personnes) et 500 £ HT (grandes entreprises, plus de 250 personnes). Le passage à la certification Cyber Essentials Plus implique des frais d'évaluation supplémentaires, dont le montant est indiqué par votre organisme de certification.
Quelle est la différence entre le renouvellement de la certification Cyber Essentials et une nouvelle demande ?
Du point de vue de la procédure, il n'y a aucune différence. Le renouvellement utilise le même questionnaire d'auto-évaluation, le même organisme de certification, le même panel d'évaluateurs et les mêmes frais qu'une nouvelle demande. L'appellation « renouvellement » facilite la planification, mais ne simplifie pas le processus. Vous devez répondre intégralement au questionnaire actuel de l'IASME, que vous ayez ou non obtenu votre certification l'année dernière.
Que se passe-t-il si mon certificat Cyber Essentials expire ?
Si vous soumettez votre demande et la réussissez dans les 14 jours suivant la date d'expiration de votre précédente certification, l'IASME vous autorise à la qualifier de recertification continue. Passé ce délai, votre certification antérieure est annulée et votre demande est traitée comme une toute nouvelle candidature. Les frais restent inchangés, mais les clients consultant le registre de l'IASME constateront une interruption.
Quand dois-je commencer à préparer le renouvellement ?
Démarrez votre projet de renouvellement 60 jours avant la date d'expiration. Consacrez les 30 premiers jours à évaluer votre conformité avec le référentiel IASME actuel et à identifier les lacunes. Utilisez les 15 à 30 jours suivants pour combler les lacunes techniques (MFA, correctifs, configuration du pare-feu) et les 14 à 21 derniers jours pour soumettre votre dossier, répondre aux questions de l'évaluateur et obtenir votre certification. Remettre ce travail à la dernière minute est la principale cause d'échec ou de non-renouvellement.
Puis-je passer à Cyber Essentials Plus lors du renouvellement ?
Oui, et le renouvellement est le moment idéal pour passer à la certification supérieure. Cyber Essentials Plus utilise le même SASQ que la certification de base, mais y ajoute un audit technique indépendant réalisé par votre organisme de certification. Cet audit vérifie que les contrôles que vous déclarez sont bien configurés comme décrit et dure généralement entre une demi-journée et une journée, sur site ou à distance. Prévoyez du temps et un budget supplémentaires pour les frais d'évaluation Plus, en plus de vos frais de renouvellement standard.
