Que requiert concrètement la certification Cyber Essentials ?
Cyber Essentials est un programme soutenu par le gouvernement britannique, administré par l'IASME pour le compte du Centre national de cybersécurité (NCSC). Il définit cinq domaines de contrôle techniques qui, lorsqu'ils sont correctement mis en œuvre, sont conçus pour stopper environ 80 % des cyberattaques les plus courantes sur Internet. Centre de ressources en cybersécurité Cette page explique le dispositif de manière générale ; cette page détaille les exigences concrètes du dispositif concernant votre environnement.
Les exigences sont volontairement pratiques. Plutôt que de vous demander de rédiger des politiques, le système vérifie si vos pare-feu, appareils, comptes, protections contre les logiciels malveillants et mises à jour logicielles sont configurés selon un niveau de base sécurisé. À chaque cycle de certification, votre ISMS.en ligne Les clients et autres candidats remplissent un questionnaire d'auto-évaluation (QAE) confirmant la mise en place des contrôles sur l'ensemble du périmètre. Pour la certification Cyber Essentials Plus, un évaluateur indépendant vérifie ces mêmes contrôles par le biais de tests techniques pratiques – consultez notre documentation. Exigences de Cyber Essentials Plus Guide détaillé des tests. Pour un guide pratique étape par étape sur la conformité à ces exigences, consultez notre Liste de contrôle des éléments essentiels en cybersécurité.
Les cinq domaines de contrôle sont les pare-feu et routeurs, la configuration sécurisée, le contrôle d'accès des utilisateurs, la protection contre les logiciels malveillants et la gestion des mises à jour de sécurité. Le questionnaire actuel, mis à jour annuellement (la version 2026 intégrant des exigences renforcées en matière de cloud et d'authentification multifacteurs), applique ces mêmes cinq contrôles aux ordinateurs portables, ordinateurs de bureau, serveurs, appareils mobiles, équipements réseau et services cloud concernés.
Quelles sont les exigences relatives aux pare-feu et aux routeurs ?
Les pare-feu se situent à la frontière entre votre réseau interne sécurisé et Internet, qui n'est pas sécurisé. La zone de contrôle exige que chaque appareil connecté à Internet, ainsi que le périmètre du réseau lui-même, soient protégés par un pare-feu (ou un dispositif réseau équivalent) correctement configuré.
Plus précisément, ce programme attend de vous que :
- Modifiez le mot de passe d'administration par défaut de chaque pare-feu ou routeur exposé à Internet et remplacez-le par un mot de passe alternatif fort et unique.
- Bloquer par défaut les connexions entrantes non authentifiées
- Documentez et approuvez toutes les règles de pare-feu entrantes autorisant le passage de services, en vous appuyant sur une justification commerciale documentée.
- Supprimez ou désactivez les règles entrantes qui ne sont plus nécessaires.
- Utilisez un pare-feu logiciel sur les appareils utilisés en dehors du réseau de l'entreprise (ordinateurs portables à la maison, sur le Wi-Fi de l'hôtel ou dans un café).
- Désactivez l'accès administratif à distance au pare-feu depuis Internet, sauf s'il est protégé par l'authentification multifacteur (MFA) ou une liste blanche d'adresses IP et qu'un besoin métier documenté est justifié.
Les lacunes les plus fréquemment relevées par les évaluateurs concernent les travailleurs à domicile dont le routeur fourni par leur FAI comporte toujours le mot de passe administrateur par défaut imprimé au dos, et les organisations fortement axées sur les logiciels SaaS qui supposent qu'aucun pare-feu n'est concerné alors qu'en réalité, chaque ordinateur portable d'un employé doit avoir le pare-feu hôte activé.
Les preuves que l'évaluateur demandera généralement comprennent une capture d'écran ou une attestation montrant la version du pare-feu et le changement du mot de passe administrateur, une liste des règles entrantes avec leur justification commerciale et la confirmation que les pare-feu basés sur l'hôte sont activés sur l'ensemble du parc informatique.
Que signifie concrètement une configuration sécurisée ?
La configuration sécurisée consiste à éliminer les failles de sécurité intégrées aux appareils et logiciels dès leur installation : comptes par défaut, exemples de mots de passe, services inutiles, contenu de démonstration et paramètres de partage trop permissifs. Chaque appareil, serveur et service cloud concerné doit être configuré de manière à minimiser son exposition aux risques avant sa mise en service.
Pour respecter cette zone de contrôle, vous devez :
- Supprimez ou désactivez les comptes d'utilisateurs et les logiciels dont vous n'avez pas besoin (y compris les logiciels préinstallés inutiles, les comptes d'utilisateurs inutilisés et les comptes d'administrateur par défaut lorsque cela est possible).
- Modifiez tous les mots de passe par défaut ou faciles à deviner sur les appareils, les comptes et les services.
- Désactivez les fonctions d'exécution automatique qui lancent automatiquement du code à partir de supports amovibles.
- Exiger que les utilisateurs s'authentifient avant de leur accorder l'accès aux données ou aux services de l'organisation.
- Appliquez l'authentification multifacteurs (MFA) à tous les comptes d'administrateur sur les services cloud, ainsi qu'à tous les utilisateurs standard lorsque le service cloud la prend en charge.
- Utilisez un mot de passe d'une longueur minimale de 12 caractères (ou 8 caractères avec authentification multifacteur, ou 8 caractères avec limitation/verrouillage).
Le questionnaire de 2026 a renforcé les exigences en matière d'authentification multifacteur (AMF), notamment pour les services cloud. Si votre organisation utilise Microsoft 365, Google Workspace, AWS, Azure ou toute autre plateforme cloud, l'AMF est désormais obligatoire pour chaque compte administrateur et les évaluateurs exigeront une preuve.
Les failles courantes incluent les comptes d'administrateur de domaine hérités sans authentification multifacteur (MFA), les comptes de services partagés avec des mots de passe statiques stockés dans des feuilles de calcul et les réseaux Wi-Fi invités connectés au réseau local de l'entreprise. Passez en revue votre Auto-évaluation des compétences essentielles en cybersécurité En privilégiant une configuration sécurisée dès le début de votre projet, vous savez que c'est dans ce domaine que la plupart des organisations rencontrent des difficultés imprévues.
Comment fonctionne le contrôle d'accès des utilisateurs dans le cadre de Cyber Essentials ?
Cette zone de contrôle limite les actions autorisées sur vos systèmes. Cyber Essentials vise à garantir que les comptes utilisateurs ne soient créés qu'avec approbation, que les privilèges d'administrateur soient limités et que les comptes soient supprimés lors du départ des utilisateurs.
Les exigences spécifiques sont les suivantes :
- Disposer d'un processus documenté de création et d'approbation des comptes utilisateurs
- Authentifiez les utilisateurs avec des identifiants forts et uniques avant de leur accorder l'accès.
- Supprimer ou désactiver les comptes utilisateurs lorsqu'ils ne sont plus nécessaires (processus d'arrivée, de mutation et de départ).
- Mettez en œuvre l'authentification multifacteurs sur les services cloud pour tous les utilisateurs lorsque la plateforme la prend en charge, et systématiquement pour tous les comptes d'administrateur.
- Séparer les comptes d'administration des comptes utilisateurs quotidiens : les administrateurs ne doivent pas naviguer sur le Web ni lire leurs courriels à l'aide de leur compte privilégié.
- Examinez au moins une fois par an les utilisateurs disposant de privilèges d'administrateur et supprimez ceux qui ne sont plus justifiés.
Les évaluateurs de preuves demandent généralement : votre procédure d’arrivée/de mutation/de départ, une liste des utilisateurs administratifs avec la justification commerciale pour chacun, des captures d’écran de la configuration MFA de vos principales plateformes cloud et un échantillon de comptes de départ récemment désactivés.
Le cas classique est celui de l'employé de longue date dont le poste a évolué à trois reprises et qui conserve des droits d'administrateur hérités d'un emploi précédent. Autre problème majeur : les identifiants partagés pour les outils financiers, marketing ou de réseaux sociaux. Le système n'interdit pas tous les comptes partagés, mais exige qu'ils soient rigoureusement justifiés, protégés par une authentification multifacteur et suivis.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Comment fonctionnent les exigences de protection contre les logiciels malveillants ?
La protection contre les logiciels malveillants exige que chaque appareil concerné soit protégé contre les codes malveillants au moyen d'au moins une des trois approches approuvées : logiciel anti-malware, liste blanche d'applications ou sandbox. La plupart des organisations répondent à cette exigence en utilisant l'anti-malware intégré à leur système d'exploitation (Microsoft Defender sous Windows, XProtect sous macOS), complété par une solution EDR sur les appareils à haut risque.
Pour réussir, vous devez :
- Utilisez l'un des trois mécanismes approuvés sur chaque appareil concerné (antimalware, liste d'autorisation des applications ou sandbox).
- Maintenez votre logiciel anti-malware à jour, idéalement automatiquement, afin que les signatures et les moteurs soient toujours à jour.
- Configurez l'anti-malware pour qu'il analyse les fichiers à l'accès et les pages web.
- Bloquez les connexions aux sites web malveillants connus lorsque le logiciel anti-malware propose cette fonctionnalité.
- Si vous utilisez une liste d'applications autorisées, maintenez une liste d'applications approuvées et empêchez toute autre application de s'exécuter.
- Si vous utilisez le sandboxing, assurez-vous que chaque application s'exécute dans un environnement isolé et ne peut accéder aux données d'autres applications exécutées dans le même environnement sans autorisation explicite.
Les appareils mobiles (téléphones, tablettes) sont explicitement concernés. iOS et Android utilisent tous deux le sandboxing comme approche sous-jacente, ce qui est acceptable, mais vous devez installer uniquement des applications provenant des boutiques officielles (Apple App Store, Google Play ou une boutique d'entreprise gérée).
Le problème le plus fréquent concerne les appareils personnels non gérés : un Mac personnel utilisé pour la messagerie professionnelle, sans inscription, sans politique anti-malware centralisée et sans visibilité pour le service informatique. Il faut soit intégrer l’appareil au périmètre MDM, soit transférer cette activité sur un appareil géré.
Que requiert la gestion des mises à jour de sécurité ?
Ce domaine de contrôle exige que tous les logiciels concernés soient pris en charge, sous licence et mis à jour. Le dispositif est strict quant à la définition de « pris en charge » : il doit s’agir d’une version pour laquelle l’éditeur publie encore des mises à jour de sécurité. Les systèmes d’exploitation, navigateurs, plugins, micrologiciels et applications en fin de vie sont inacceptables et leur présence entraînera un échec immédiat de l’évaluation.
Les exigences spécifiques sont les suivantes :
- Tous les systèmes d'exploitation et applications installés sur les appareils concernés doivent être sous licence et pris en charge par le fournisseur.
- Supprimez ou remplacez tout logiciel dont le fournisseur ne prend plus en charge les mises à jour de sécurité.
- Activez les mises à jour automatiques lorsque le fournisseur les propose.
- Installez les mises à jour de sécurité « élevées » ou « critiques » dans les 14 jours suivant leur publication (règle des 14 jours).
- Cela s'applique aux systèmes d'exploitation, aux applications, aux micrologiciels des routeurs et des pare-feu, ainsi qu'aux modules d'extension.
Le délai de 14 jours pour l'application des correctifs est la principale cause d'échec à la certification Cyber Essentials Plus. Les évaluateurs analyseront vos équipements et signaleront tout élément non corrigé pour une vulnérabilité critique après ce délai. Les serveurs mis à jour uniquement lors des opérations de maintenance mensuelles sont souvent exposés à des failles non couvertes par les correctifs.
Par « logiciels », on entend tout élément permettant d’accéder aux données ou aux services de l’organisation. Cela inclut le système d’exploitation, les suites bureautiques, les navigateurs, les extensions de navigateur, les lecteurs PDF, les outils de visioconférence, les gestionnaires de mots de passe et toutes les applications métiers. Le micrologiciel des routeurs, pare-feu et points d’accès est également concerné.
Tableau récapitulatif : les 5 commandes en un coup d’œil
Le tableau ci-dessous récapitule les cinq domaines de contrôle de Cyber Essentials, leurs exigences respectives et les lacunes que les évaluateurs constatent le plus souvent.
| Zone de contrôle | Les principales exigences | Lacunes courantes |
|---|---|---|
| 1. Pare-feu et routeurs | Modifier les mots de passe d'administrateur par défaut ; bloquer le trafic entrant non authentifié ; documenter les règles entrantes ; activer les pare-feu hôtes sur les appareils itinérants ; protéger l'accès administrateur à distance avec l'authentification multifacteur ou une liste blanche d'adresses IP. | Mots de passe par défaut sur les routeurs fournis par le FAI et utilisés par les télétravailleurs ; pare-feu hôtes désactivés sur les ordinateurs portables ; règles de trafic entrant non documentées ou obsolètes. |
| 2. Configuration sécurisée | Supprimer les comptes et logiciels inutilisés ; modifier les mots de passe par défaut ; désactiver l’exécution automatique ; appliquer l’authentification multifacteur aux services cloud et à tous les comptes d’administrateur ; longueur minimale du mot de passe : 12 caractères. | Comptes d'administrateur hérités sans authentification multifacteur ; identifiants par défaut sur les périphériques réseau ; logiciels superflus et services inutilisés sur les versions standard. |
| 3. Contrôle d'accès utilisateur | Processus de création de compte approuvé ; suppression rapide des comptes inactifs ; comptes administrateurs et comptes standard séparés ; authentification multifacteur pour tous les utilisateurs du cloud lorsque cela est possible ; révision annuelle des privilèges d’administrateur. | Droits d'administrateur accumulés au fil du temps ; administrateurs naviguant sur le Web avec des comptes privilégiés ; identifiants partagés sans justification. |
| 4. Protection contre les logiciels malveillants | Utilisez un logiciel anti-malware, autorisez le listage ou le sandboxing des applications sur chaque appareil ; maintenez les définitions à jour ; limitez les applications mobiles aux boutiques officielles ; analysez les fichiers à chaque accès. | Appareils BYOD non gérés ; logiciel anti-malware obsolète ou désactivé sur les serveurs ; autorisation de publication mise en œuvre sans liste d’applications approuvées. |
| 5. Gestion des mises à jour de sécurité | Utilisez uniquement des logiciels pris en charge et sous licence ; supprimez les systèmes d’exploitation, les applications et les micrologiciels en fin de vie ; appliquez les correctifs critiques dans un délai de 14 jours ; activez les mises à jour automatiques lorsque cela est possible. | Les serveurs n'ont pas bénéficié de la fenêtre de mise à jour de 14 jours ; des versions anciennes de Windows ou des navigateurs non pris en charge sont encore utilisés ; le micrologiciel du routeur est obsolète. |
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Comment les services cloud répondent-ils à ces exigences ?
Le cloud est désormais considéré comme une extension de votre environnement et non plus comme une exception. Si votre organisation utilise un service cloud pour traiter ou stocker des données, ce service est concerné et il vous incombe de le configurer conformément aux exigences de contrôle. Le dispositif distingue trois modèles de services cloud, chacun impliquant des responsabilités partagées légèrement différentes :
- Software as a Service (SaaS) Par exemple, Microsoft 365, Google Workspace, Salesforce, Xero. Vous êtes responsable du contrôle d'accès des utilisateurs, de la configuration sécurisée des comptes et des paramètres du locataire, ainsi que de l'authentification multifacteur (MFA). Le fournisseur gère la protection contre les logiciels malveillants sur la plateforme sous-jacente, mais vous restez responsable de toute configuration côté client.
- Plate-forme en tant que service (PaaS) — par exemple, AWS App Runner, Azure App Service, Heroku. Vous êtes également responsable de la gestion des mises à jour de sécurité de la couche applicative que vous déployez, ainsi que des mêmes tâches de configuration sécurisée et de contrôle d'accès que pour les solutions SaaS.
- Infrastructure en tant que service (IaaS) Par exemple, AWS EC2, les machines virtuelles Azure et Google Compute Engine. Vous êtes responsable du système d'exploitation, de tous les logiciels qui y sont exécutés, des pare-feu (groupes de sécurité), des correctifs, des logiciels malveillants et du contrôle d'accès. En pratique, un serveur IaaS est géré de manière quasi identique à un serveur sur site.
Le point essentiel à retenir : vous ne pouvez pas prétendre qu’un service cloud est hors de votre champ d’application simplement parce que le fournisseur gère l’infrastructure. Il vous incombe toujours de sécuriser les données qu’il contient, ainsi que les comptes qui y accèdent.
Comment s'appliquent le BYOD et le télétravail ?
Le principe du BYOD (Bring Your Own Device) est souvent source de confusion. La règle est simple : tout appareil utilisé pour accéder aux données ou aux services de votre organisation est concerné, quel que soit son propriétaire. Cela inclut les téléphones personnels utilisés pour la messagerie professionnelle, les ordinateurs portables des prestataires et les ordinateurs personnels utilisés pour accéder aux applications cloud.
Certaines exclusions sont prévues : les appareils permettant uniquement l’accès aux messages vocaux ou textuels (sans messagerie électronique, applications ni documents) et ceux utilisés exclusivement pour l’authentification à deux facteurs sont exclus. Dans tous les autres cas, l’appareil doit satisfaire à toutes les exigences : système d’exploitation compatible, correctifs à jour, logiciel anti-malware (ou équivalent), code d’accès et possibilité de verrouillage ou d’effacement à distance.
Les travailleurs à domicile sont inclus par défaut dans le périmètre. Il est généralement attendu que l'ordinateur portable professionnel dispose de son propre pare-feu (indépendant du routeur domestique) et que toute activité d'administration cloud sensible soit protégée par l'authentification multifacteur (MFA). Les routeurs domestiques ne sont pas concernés, sauf s'ils ont été fournis ou configurés par l'entreprise ; toutefois, l'appareil professionnel est considéré comme étant toujours connecté à un réseau non sécurisé.
Comment détermine-t-on ce qui est inclus dans le périmètre et ce qui n'en est pas ?
Définir le périmètre est la décision initiale la plus importante dans un projet Cyber Essentials. Une mauvaise définition peut conduire soit à certifier une partie trop restreinte de l'entreprise (et à limiter la crédibilité de la certification), soit à en entreprendre une trop grande (et à rendre l'évaluation inutilement complexe).
Le dispositif permet deux approches principales :
- Portée de l'ensemble de l'organisation L’ensemble des utilisateurs, appareils, réseaux et services cloud de l’organisation sont concernés. Cette approche, recommandée, permet d’obtenir la certification la plus robuste. Les clients, les assureurs et les organismes gouvernementaux partent généralement du principe que c’est la configuration requise.
- Portée du sous-ensemble — Un département, une unité commerciale ou un environnement spécifique est inclus dans le périmètre, tout le reste étant exclu. Pour utiliser un périmètre restreint, vous devez définir une limite technique claire — généralement un réseau géré séparément, un annuaire d'utilisateurs distinct et un locataire cloud distinct — afin que l'environnement inclus ne soit pas contaminé par l'environnement exclu.
Où que vous délimitiez le périmètre, les cinq mêmes contrôles s'appliquent à tout ce qui s'y trouve. Planifiez votre périmètre avant de remplir le questionnaire d'auto-évaluation (SAQ) ; toute modification ultérieure engendre des coûts et des délais supplémentaires. Le prix est proportionnel à la taille de l'environnement concerné ; consultez donc notre [lien vers la page d'évaluation]. coût de Cyber Essentials page lors du dimensionnement de votre projet.
Quoi de neuf dans la version 2026 ?
Le dispositif évolue chaque année. Le questionnaire actuel conserve les cinq domaines de contrôle, mais renforce certaines exigences afin de tenir compte de l'évolution des comportements des attaquants et de la prédominance croissante du cloud. Les principales mises à jour concernant les candidats sont les suivantes :
- Authentification multi-facteurs L’authentification multifacteur (MFA) est désormais obligatoire pour tous les comptes d’administrateur des services cloud et recommandée pour les utilisateurs standard lorsque la plateforme la prend en charge. L’utilisation exclusive de SMS est déconseillée ; privilégiez les applications d’authentification ou les jetons matériels.
- clarification du périmètre du cloud Les modèles SaaS, PaaS et IaaS sont explicitement abordés, avec des indications plus claires sur les responsabilités respectives du fournisseur et du client. Les comptes d'administrateur cloud font l'objet du même examen que les administrateurs de domaine sur site.
- Authentification sans mot de passe et biométrique — Le système reconnaît désormais les méthodes d'authentification modernes (clés d'accès, Windows Hello, Touch ID) comme des alternatives acceptables au système traditionnel mot de passe plus authentification multifacteur.
- attentes en matière de gestion d'actifs — Vous êtes tenu de tenir à jour un inventaire des appareils et des logiciels, car vous ne pouvez pas corriger ou protéger de manière fiable ce que vous ignorez.
- Correctifs de vulnérabilités — La période de 14 jours pour l'application des correctifs couvre désormais explicitement le micrologiciel des routeurs, des commutateurs et des points d'accès, et non plus seulement les systèmes d'exploitation et les applications.
Lorsque votre certificat doit être renouvelé, c'est le questionnaire le plus récent qui s'applique. Consultez notre renouvellement de la certification Cyber Essentials guide sur ce à quoi vous pouvez vous attendre lors de votre recertification selon les critères mis à jour.
Pourquoi choisir ISMS.online pour Cyber Essentials ?
- Commandes préconfigurées — Chaque domaine de contrôle de Cyber Essentials est cartographié dans ISMS.en ligneVous évaluez donc la situation par rapport au dispositif complet sans avoir à créer votre propre liste de contrôle à partir de zéro.
- Source unique de preuves — Joignez une seule fois les captures d'écran, les exportations de configuration, les enregistrements des entrées/sorties et les documents de politique au contrôle approprié, puis réutilisez-les pour les renouvellements, les évaluations Plus et d'autres cadres.
- Outillage de portée — Consignez vos utilisateurs, appareils, réseaux et services cloud inclus dans le périmètre dans un registre d'actifs structuré afin que les limites du périmètre soient documentées, auditables et faciles à mettre à jour.
- Suivi des écarts entre l'action et le résultat — Chaque lacune identifiée lors de votre revue de préparation se traduit par une action assignée, avec un responsable et une date d'échéance, afin que rien ne soit négligé.
- Effet de levier multi-cadres — Preuves relatives à Cyber Essentials ISMS.en ligne nourrit également ISO 27001, SOC 2 et NIS 2 Cela fonctionne, c'est pourquoi les clients qui vont au-delà de Cyber Essentials restent fidèles à la plateforme.
- Prêt pour le renouvellement — La plateforme conserve vos justificatifs à jour entre les cycles annuels, vous n'avez donc jamais à tout recommencer lorsque le prochain certificat est dû.
- Des milliers d'organisations leur font confiance. - ISMS.en ligne accompagne les entreprises de toutes tailles dans leur démarche de mise en conformité, depuis les nouveaux candidats à la certification Cyber Essentials jusqu'aux groupes internationaux certifiés ISO.
Guides associés à Cyber Essentials
Poursuivez votre apprentissage des fondamentaux de la cybersécurité avec les autres guides de cette série :
- Coût de Cyber Essentials — Niveaux de prix de l'IASME, coûts supplémentaires, coûts cachés et totaux sur 3 ans pour les entreprises britanniques.
- La formation Cyber Essentials vaut-elle le coup ? — Une évaluation honnête des avantages, des inconvénients et des personnes qui ont réellement besoin de cette certification.
- Exigences de Cyber Essentials Plus — L’audit technique, les analyses de vulnérabilité et les avantages que Plus offre en plus de la certification de base.
- Auto-évaluation des compétences essentielles en cybersécurité — Le flux de travail, la portée, les preuves et les pièges courants du SASQ.
- Combien de temps dure la formation Cyber Essentials ? — Délais habituels au Royaume-Uni, options accélérées et facteurs de ralentissement.
- Renouvellement de la certification Cyber Essentials — Le cycle de 12 mois, les changements de contrôle de 2026 et comment se préparer 60 jours à l'avance.
- Cybersécurité essentielle pour les petites entreprises — Tarification, périmètre et analyse coûts-avantages spécifiques aux PME.
- Cyber Essentials vs ISO 27001 — Comparaison de la portée, du coût, du temps et de la reconnaissance.
FAQ
Que couvre le programme Cyber Essentials en termes simples ?
Cyber Essentials couvre cinq domaines de contrôle technique : pare-feu et routeurs, configuration sécurisée, contrôle d’accès des utilisateurs, protection contre les logiciels malveillants et gestion des mises à jour de sécurité. Chaque domaine définit des exigences pratiques et spécifiques pour les appareils, les comptes utilisateurs et les services cloud utilisés par votre organisation. Ensemble, ils sont conçus pour bloquer la plupart des attaques courantes sur Internet.
Le référentiel Cyber Essentials s'applique-t-il aux services cloud ?
Oui. Tout service cloud utilisé pour traiter ou stocker des données organisationnelles est concerné. Les solutions SaaS, PaaS et IaaS sont toutes prises en charge, avec des responsabilités partagées légèrement différentes. Vous êtes toujours responsable de l'accès des utilisateurs, de l'authentification multifacteur (MFA) sur les comptes administrateurs et de la configuration sécurisée de votre environnement. Pour l'IaaS, vous gérez également les correctifs, les logiciels malveillants et les pare-feu hôtes.
Le télétravail et le BYOD sont-ils concernés ?
Oui. Tout appareil utilisé pour accéder aux données ou aux services de votre organisation est concerné, y compris les ordinateurs portables personnels et les téléphones personnels utilisés pour la messagerie professionnelle. Les appareils utilisés uniquement pour les appels vocaux, les SMS ou l'authentification à deux facteurs sont exclus. Les ordinateurs portables professionnels utilisés à domicile doivent disposer de leur propre pare-feu activé.
Quels logiciels sont concernés par Cyber Essentials ?
Tout logiciel permettant d'accéder aux données ou services de l'organisation, y compris les systèmes d'exploitation, les navigateurs, les extensions de navigateur, les suites bureautiques, les applications métiers et les micrologiciels des routeurs et pare-feu, doit faire l'objet d'une licence, d'un support technique et de mises à jour critiques ou importantes sous 14 jours. Les logiciels en fin de vie ne sont pas acceptés.
Quelles preuves l'évaluateur souhaite-t-il voir ?
Pour l'auto-évaluation, vous fournissez des réponses et des attestations pour chaque question. Pour la certification Cyber Essentials Plus, l'évaluateur effectue des tests pratiques : analyse d'appareils de test pour détecter les correctifs manquants, vérification de la configuration anti-malware, vérification de l'authentification multifacteur (MFA) sur les comptes cloud et confirmation des règles de pare-feu. Les procédures documentées de gestion des arrivées et des départs, les listes de comptes administrateurs et les historiques de correctifs sont généralement demandés.
Quelles sont les nouveautés de la version 2026 de Cyber Essentials ?
Le questionnaire actuel renforce les exigences en matière d'authentification multifacteurs et de cloud, clarifie les responsabilités des fournisseurs SaaS, PaaS et IaaS, reconnaît l'authentification sans mot de passe et biométrique, et étend explicitement le délai de 14 jours pour l'application des correctifs au micrologiciel. Les attentes relatives à l'inventaire des actifs ont également été précisées.
