Passer au contenu
Hameçonnage pour attirer les ennuis –
Le podcast IO est de retour pour une deuxième saison. Écouter maintenant
ISMS.en ligne

Auto-évaluation des compétences essentielles en cybersécurité : guide étape par étape

Un guide pratique étape par étape du questionnaire d'auto-évaluation Cyber ​​Essentials pour les entreprises britanniques, couvrant le périmètre, les cinq domaines de contrôle, la préparation et la soumission des preuves.

Découvrez comment ISMS.online accélère votre auto-évaluation Cyber ​​Essentials

Voir en action
Auteur
Max Edwards
Mise à jour en mai 21, 2026
4 / 5 Etoiles

Qu’est-ce que l’auto-évaluation Cyber ​​Essentials ?

L'auto-évaluation Cyber ​​Essentials est le questionnaire au cœur du programme Cyber ​​Essentials du gouvernement britannique. Administré par l'IASME pour le compte du Centre national de cybersécurité (NCSC), il demande à votre organisation de déclarer par écrit avoir mis en œuvre cinq ensembles de contrôles techniques permettant de se prémunir contre les cyberattaques les plus courantes. Un membre de la direction valide vos réponses, vous soumettez le questionnaire via le portail de l'IASME, et un évaluateur examine vos réponses et attribue (ou refuse) la certification.

Parcours d'auto-évaluation étape par étape pour la certification Cyber ​​Essentials : de la définition du périmètre à la certification
Source: Programme IASME Cyber ​​Essentials

Bien qu'il s'agisse d'une « auto-évaluation », le processus n'est pas informel. Votre déclaration constitue un engagement contractuel envers un organisme de certification, et l'évaluateur rejettera les réponses insuffisamment détaillées ou contradictoires avec le périmètre défini. La plupart des échecs lors des premières tentatives sont dus à des réponses hâtives et non testées, plutôt qu'à l'absence de contrôles. Ce guide a donc pour objectif de vous aider à préparer les preuves, à définir correctement le périmètre de votre environnement et à répondre avec la précision attendue par l'évaluateur IASME. Pour connaître le référentiel technique sous-jacent par rapport auquel vous effectuez votre déclaration, veuillez consulter notre explication. Exigences en matière de cybersécuritéAvant d'ouvrir le SAQ lui-même, veuillez consulter notre guide. Liste de contrôle des éléments essentiels en cybersécurité pour confirmer que le périmètre, les preuves et les contrôles sont prêts — il est conçu pour repérer les mêmes lacunes qu'un évaluateur signalerait.

Le questionnaire comporte environ 80 questions réparties dans les cinq domaines de contrôle. Chaque question est binaire : soit vous répondez au critère, soit vous ne le répondez pas. La plupart des questions requièrent également une brève explication écrite décrivant comment vous y répondez. ISMS.en ligne Il centralise vos réponses, vos preuves et vos justifications afin que vous puissiez les réutiliser lors du renouvellement et lors d'un audit Cyber ​​Essentials Plus.

Comment l'auto-évaluation est-elle structurée ?

Le questionnaire est divisé en trois parties logiques. Bien comprendre sa structure avant de commencer vous permettra de répondre beaucoup plus rapidement.

  1. Informations sur l'entreprise et étendue — Entité juridique, secteur d'activité, taille, localisation et description écrite du périmètre d'application. Ces éléments déterminent toutes les réponses qui suivent.
  2. déclaration d'assurance — Quelques questions concernant l'assurance cyber incluse pour les organisations domiciliées au Royaume-Uni dont le chiffre d'affaires est inférieur à 20 millions de livres sterling.
  3. Contrôles techniques — La majeure partie du questionnaire. Environ 80 questions regroupées en cinq thèmes principaux. Chaque thème explore un aspect différent de votre environnement.

Il est essentiel que vos réponses dans la section relative aux contrôles techniques s'appliquent à beaucoup à Dans le périmètre que vous avez défini, si vous excluez une partie de l'activité, vous devez l'indiquer clairement et la délimiter précisément. Les réponses partielles constituent la principale cause de nouvelle soumission, avec les logiciels non pris en charge inclus dans le périmètre.



escalade

Libérez-vous d'une montagne de feuilles de calcul

Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.

Réservez votre démo


Quels sont les cinq domaines de contrôle et quelles sont les questions posées par chacun ?

Les cinq thèmes de contrôle technique sont les mêmes, que vous optiez pour Cyber ​​Essentials ou Cyber Essentials PlusLa différence réside dans le fait que Plus ajoute un audit technique indépendant, sur site ou à distance ; l’auto-évaluation en constitue la base. Le tableau ci-dessous récapitule le contenu de chaque domaine de contrôle et le type de questions auxquelles vous pouvez vous attendre.

Zone de contrôle Ce qu'il couvre Exemples de questions
1. Pare-feu et passerelles Internet Des pare-feu de périmètre protègent votre réseau de bureau, ainsi que des pare-feu hôtes sur les appareils utilisés en dehors du bureau (par exemple, le télétravail ou les bureaux partagés). Modifiez-vous les mots de passe par défaut de votre pare-feu ? Les règles de trafic entrant sont-elles documentées, approuvées et vérifiées ? Les interfaces d’administration sont-elles bloquées depuis Internet ou protégées par une authentification multifacteurs ?
2. Configuration sécurisée Suppression des comptes par défaut, des logiciels inutilisés et des services inutiles des serveurs, des appareils des utilisateurs finaux, des appareils mobiles et des services cloud. Avez-vous supprimé ou désactivé les comptes utilisateurs inutilisés ? Les mots de passe par défaut de tous les appareils concernés ont-ils été modifiés ? L’exécution automatique est-elle désactivée ? Les identifiants de déverrouillage des appareils comportent-ils au moins 6 caractères et sont-ils protégés contre les attaques par force brute ?
3. Contrôle d'accès des utilisateurs Création de comptes, gestion des privilèges, séparation des comptes d'administrateur et des comptes standard, et authentification multifacteurs sur les services cloud. Existe-t-il une procédure documentée d'approbation des comptes utilisateurs ? Les comptes administrateurs sont-ils réservés aux tâches d'administration ? L'authentification multifacteur est-elle activée sur tous les services cloud pour les utilisateurs et les administrateurs ? Les comptes des employés qui quittent l'entreprise sont-ils supprimés rapidement ?
4. Protection contre les logiciels malveillants Protection contre les logiciels malveillants, liste blanche d'applications ou sandbox sur tous les appareils concernés, y compris les appareils personnels et mobiles. Quel mécanisme de protection contre les logiciels malveillants est utilisé sur chaque type d'appareil ? Les signatures sont-elles mises à jour quotidiennement ? Les utilisateurs sont-ils empêchés d'exécuter des logiciels provenant de sources non fiables ?
5. Gestion des mises à jour de sécurité Mise à jour des systèmes d'exploitation, des applications et des micrologiciels dans les délais impartis ; suppression des logiciels non pris en charge. Les mises à jour automatiques sont-elles activées lorsque cela est possible ? Les mises à jour critiques et à haut risque sont-elles appliquées dans les 14 jours suivant leur publication ? Utilisez-vous des logiciels qui ne sont plus pris en charge par l’éditeur ?

Comment définir correctement votre périmètre ?

Le périmètre est la principale cause d'échec ou de reprise des analyses par les organisations ; il est donc essentiel de le définir avec soin. Votre périmètre doit couvrir les parties de votre organisation par lesquelles un attaquant pourrait raisonnablement accéder à vos données sensibles. L'option par défaut, et fortement recommandée, est « l'ensemble de l'organisation », mais vous pouvez le définir par unité opérationnelle si vous pouvez démontrer une séparation technique et physique claire entre les parties incluses et exclues du périmètre.

Quelle que soit l'option choisie, vous devez être en mesure de décrire et de prouver :

  • Utilisateurs concernés — Tous les employés, sous-traitants et tiers ayant accès aux systèmes concernés, y compris les télétravailleurs. Les comptes clients de vos propres services sont exclus du champ d'application.
  • Dispositifs dans le champ d'application — Tous les ordinateurs portables, ordinateurs de bureau, tablettes, téléphones mobiles et serveurs utilisés pour accéder aux données ou services de l'organisation, y compris les appareils personnels (BYOD) utilisés pour la messagerie ou les fichiers professionnels.
  • Lieux concernés — Bureaux, installations de travail à domicile et tous les centres de données ou installations de colocation que vous exploitez.
  • Services cloud dans le périmètre — Tous les logiciels en tant que service (SaaS), les plateformes en tant que service (PaaS) et les infrastructures en tant que service (IaaS) hébergeant des données organisationnelles. Depuis la mise à jour de 2022, le cloud est explicitement inclus et ne peut plus être exclu.

Avant de répondre à toute question technique, décrivez clairement et simplement le périmètre du projet. Si vous ne pouvez pas décrire précisément les limites, l'évaluateur ne pourra pas confirmer si vos mesures de contrôle sont suffisantes.

Comment devez-vous vous préparer avant d'ouvrir le questionnaire ?

L'essentiel du travail se fait avant même de se connecter au portail IASME. Présenter le dossier avec les justificatifs adéquats permet de réduire le délai de traitement de plusieurs semaines à quelques jours.

Constituer un inventaire des actifs

Veuillez lister chaque appareil, serveur, service cloud et compte utilisateur concerné, en précisant le système d'exploitation ou la version du logiciel, la date de la dernière mise à jour et l'utilisateur associé. Ce document est essentiel pour l'auto-évaluation et sera réutilisé lors du renouvellement. ISMS.en ligne Il comprend un registre des actifs qui correspond directement aux domaines de contrôle de Cyber ​​Essentials, vous permettant ainsi d'obtenir à tout moment une liste précise du périmètre.

Rassemblez les documents de politique.

Vous n'avez pas besoin d'un catalogue de politiques de mille pages, mais l'évaluateur s'attend à trouver des procédures écrites et concises couvrant : l'approbation et la gestion des comptes utilisateurs, les correctifs de sécurité, les normes relatives aux mots de passe et à l'authentification multifacteur, la protection contre les logiciels malveillants et le télétravail. Des procédures courtes, à jour et validées sont préférables à des procédures longues et théoriques.

Rassemblez des preuves à l'appui

Pour chaque domaine de contrôle, indiquez la capture d'écran, l'export de configuration ou le rapport système que vous utiliseriez en cas de contrôle. Vous ne devez pas fournir de justificatifs lors de la soumission pour Cyber ​​Essentials (la procédure est différente pour Cyber ​​Essentials Plus), mais l'évaluateur peut en faire la demande. Vous en aurez également besoin lors du renouvellement et pour tout audit Cyber ​​Essentials Plus. Les justificatifs courants incluent : les écrans de configuration MDM, les politiques d'accès conditionnel, les tableaux de bord de correctifs, les revues de comptes et les exports de règles de pare-feu.

Préparer les questions

Le questionnaire complet est disponible auprès de l'IASME avant la soumission. Lisez-le attentivement, signalez toutes les questions auxquelles vous ne pouvez pas répondre « oui » avec certitude et considérez cette liste comme votre plan de rattrapage. Se présenter sans préparation est la raison la plus fréquente pour laquelle les organisations finissent par payer pour deux tentatives.



Le puissant tableau de bord d'ISMS.online

Commencer votre essai gratuit

Envie d'explorer ?

Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.

Commencer


Comment les questions sont-elles notées et qu'est-ce qui entraîne un échec ?

Chaque question relative aux contrôles techniques est binaire : oui ou non. Aucun point partiel n’est accordé. Pour obtenir la certification, vous devez pouvoir répondre « oui » (ou une réponse conforme équivalente) à chaque question applicable dans les cinq domaines de contrôle.

Pour la plupart des questions, l'IASME exige également une brève explication en texte libre décrivant comment vous répondez aux exigences de contrôle. Les évaluateurs examinent ces explications selon trois critères : la réponse est-elle techniquement correcte ? Est-elle cohérente avec le reste du questionnaire ? Couvre-t-elle tous les types d'appareils ou de services concernés ? Un « oui » sans précision, ou une précision contredisant une réponse précédente, entraînera une demande de clarification ou un échec.

Si l'évaluateur signale des non-conformités, vous disposez d'une seule possibilité de les corriger et de soumettre à nouveau votre dossier sans frais supplémentaires, à condition de le faire dans les deux jours ouvrables suivant la réception du retour d'information. Passé ce délai, vous devrez recommencer la certification (et payer à nouveau) depuis le début. C'est pourquoi la vérification préalable des questions et des preuves est si précieuse : vous aurez très peu de temps pour rectifier le tir une fois le processus lancé.

Quels sont les pièges les plus courants de l'auto-évaluation ?

Les mêmes problèmes sont à l'origine de la majorité des questionnaires refusés et renvoyés. Les connaître à l'avance vous permet de les intégrer à vos vérifications avant vol.

  • Logiciels non pris en charge dans le périmètre Un serveur Windows Server 2012 R2, une ancienne version de macOS sur l'ordinateur portable d'un directeur ou une version obsolète de Java ne passeront pas le test de gestion des mises à jour de sécurité. Il est impératif de procéder à une mise à niveau, de l'isoler derrière un pare-feu sécurisé ou de la supprimer avant la soumission.
  • Apportez votre propre appareil sans contrôles adéquats. Si les employés utilisent leurs téléphones ou ordinateurs portables personnels pour accéder à leurs courriels ou fichiers professionnels, ces appareils sont concernés et doivent respecter les cinq thèmes de contrôle. L’utilisation d’appareils personnels non gérés par la plateforme ou soumis à un contrôle d’accès conditionnel constitue l’une des principales sources de défaillance.
  • Les services cloud sont considérés comme hors du champ d'application Depuis 2022, tous les services cloud hébergeant des données organisationnelles sont concernés, notamment Microsoft 365, Google Workspace et tout logiciel SaaS utilisé par votre équipe. L’authentification multifacteur (MFA) est obligatoire sur ces services.
  • Les comptes d'administrateur sont utilisés pour le travail quotidien. — Les comptes d'administrateur de domaine ne doivent pas être utilisés pour lire les courriels ni pour naviguer sur le Web. Des comptes distincts sont nécessaires.
  • lacunes en matière de MFA Tout service cloud prenant en charge l'authentification multifacteur (MFA) doit l'activer pour tous les utilisateurs et administrateurs. Les comptes de service ne prenant pas en charge la MFA doivent être documentés et protégés par d'autres moyens.
  • Descriptions vagues de la portée — « Opérations au Royaume-Uni » ne constitue pas un périmètre. « Acme Ltd, bureau au Royaume-Uni, 42 ordinateurs portables pour les employés, Microsoft 365, VPC de production AWS » en est un.

Vous pouvez éviter la quasi-totalité de ces problèmes en effectuant une pré-évaluation interne à partir du questionnaire publié avant d'ouvrir le questionnaire officiel. Pour un calendrier indicatif incluant les mesures correctives, consultez notre analyse détaillée. Combien de temps dure la certification Cyber ​​Essentials de bout en bout ?.

Comment soumettre une candidature et que se passe-t-il ensuite ?

La soumission se fait intégralement via le portail IASME Cyber ​​Essentials. Vous achetez votre évaluation (les tarifs varient selon la taille de l'organisation ; consultez notre guide). coût de Cyber ​​Essentials), recevoir un compte sur le portail, remplir le questionnaire en ligne et le soumettre pour examen par un évaluateur.

  1. Soumettez votre candidature via le portail. — Un signataire du conseil d'administration confirme l'exactitude des réponses avant leur soumission.
  2. Examen par un évaluateur (généralement 1 à 3 jours ouvrables) — Un évaluateur accrédité par l'IASME examine vos réponses par rapport aux exigences publiées de Cyber ​​Essentials pour l'infrastructure informatique.
  3. Résultat — Vous recevez soit une réussite (certificat délivré, inscrit au registre de l'IASME), soit un retour d'information identifiant les non-conformités.
  4. Nouvelle soumission (si nécessaire) Vous disposez de deux jours ouvrables pour corriger les problèmes et soumettre à nouveau votre demande. Une tentative de correction gratuite est incluse ; toute tentative supplémentaire nécessitera un nouvel achat.
  5. Certifications — La réussite à l'examen donne droit à une certification Cyber ​​Essentials valable 12 mois. Vous bénéficiez également d'une assurance cyber facultative si vous y êtes admissible.

Si vous souhaitez poursuivre avec la certification Cyber ​​Essentials Plus, vous devez le faire dans les trois mois suivant la réussite de votre auto-évaluation ; sinon, vous devrez d'abord refaire le questionnaire.

Pourquoi choisir ISMS.online pour l'auto-évaluation Cyber ​​Essentials ?

  • Espace de travail de questionnaire préconfiguré - ISMS.en ligne Elle reprend le questionnaire de l'IASME afin que vous puissiez rédiger, examiner et approuver les réponses en interne avant qu'elles n'atteignent le portail.
  • registre intégré des actifs — Suivez chaque appareil, utilisateur et service cloud concerné en un seul endroit, avec l'état des correctifs et la propriété prêts à être prouvés.
  • Modèles de politiques alignés sur les cinq contrôles — Des politiques modifiables pour les pare-feu, la configuration sécurisée, le contrôle d'accès, la protection contre les logiciels malveillants et la gestion des mises à jour de sécurité, conçues pour les PME britanniques, et non pour les grandes entreprises.
  • Bibliothèque de preuves — Téléchargez une seule fois les captures d'écran, les exportations et les instantanés de configuration et liez-les à chaque contrôle pertinent pour examen par l'évaluateur ou pour un futur audit Plus.
  • Collaboration et validation — Attribuer les questions au responsable approprié, suivre les progrès et obtenir l'approbation du conseil d'administration avant la soumission à l'IASME.
  • Prêt pour le renouvellement — Les réponses, les preuves et la liste des actifs de l'année dernière sont conservées ; le renouvellement consiste donc en une mise à jour plutôt qu'en un redémarrage complet.
  • Effet de levier multi-cadres — Les mêmes preuves soutiennent ISO 27001, SOC 2 et d'autres cadres que vous pourriez adopter par la suite, afin que votre travail sur Cyber ​​Essentials ne soit jamais vain.

Guides associés à Cyber ​​Essentials

Poursuivez votre apprentissage des fondamentaux de la cybersécurité avec les autres guides de cette série :

FAQ

Combien de temps faut-il pour réaliser l'auto-évaluation Cyber ​​Essentials ?

La plupart des PME britanniques bien préparées consacrent deux à trois semaines à l'auto-évaluation complète : environ une semaine pour définir le périmètre et rassembler les preuves, une semaine pour rédiger et relire les réponses en interne, et quelques jours pour soumettre l'évaluation et répondre aux commentaires de l'évaluateur. Les organisations qui n'ont pas encore mis en place de correctifs, renforcé ou déployé l'authentification multifacteur (AMF) doivent prévoir six à huit semaines, car c'est la mise en œuvre de la solution, et non la paperasserie, qui constitue le principal goulot d'étranglement.

Faut-il inclure les appareils personnels (BYOD) dans le périmètre ?

Oui, si ces appareils servent à accéder aux données de l'organisation, à la messagerie professionnelle, aux fichiers ou aux services cloud. La seule façon d'exclure les appareils personnels du périmètre de la réglementation est de bloquer techniquement leur accès, par exemple en appliquant des politiques d'accès conditionnel exigeant un appareil géré. Si les appareils personnels sont autorisés, ils doivent respecter les cinq thèmes de contrôle, au même titre qu'un appareil d'entreprise.

Que se passe-t-il si nous échouons à l'auto-évaluation ?

Vous recevez un retour de l'évaluateur IASME identifiant les non-conformités spécifiques. Vous disposez d'une seule possibilité, sous deux jours ouvrés, de corriger ces non-conformités et de soumettre à nouveau votre dossier. Si vous ne parvenez pas à résoudre les problèmes dans ce délai, votre demande sera clôturée et vous devrez acheter une nouvelle évaluation pour retenter votre chance. C'est pourquoi il est essentiel de réaliser une pré-évaluation interne à l'aide du questionnaire publié avant d'accéder au questionnaire officiel.

L’auto-évaluation est-elle suffisante à elle seule, ou avons-nous besoin de Cyber ​​Essentials Plus ?

L'auto-évaluation seule (parfois appelée « Cyber ​​Essentials de base ») est suffisante pour la plupart des marchés publics britanniques, conformément aux exigences minimales du gouvernement central, et pour garantir la sécurité de la chaîne d'approvisionnement. Cyber ​​Essentials Plus inclut un audit technique indépendant et est de plus en plus exigé pour les contrats du ministère de la Défense, les prestataires de services de traitement des données du NHS et les achats des grandes entreprises. Si votre contrat l'exige, vérifiez sa formulation ; sinon, l'auto-évaluation constitue le point de départ standard.

Qui, au sein de l'organisation, doit valider l'auto-évaluation ?

Un signataire de niveau conseil d'administration — généralement un administrateur, un PDG, un propriétaire ou le RSSI — doit confirmer que les réponses au questionnaire sont exactes au mieux de sa connaissance avant sa soumission à l'IASME. Cette validation étant contractuelle, le signataire doit examiner attentivement les réponses et non se contenter de les approuver sans les vérifier. ISMS.en ligne prend en charge le processus de révision interne afin que le signataire voie une version propre et approuvée plutôt qu'une ébauche à moitié corrigée.

À quelle fréquence devons-nous refaire l'auto-évaluation ?

La certification Cyber ​​Essentials est valable 12 mois. Pour la conserver, vous devez effectuer une nouvelle auto-évaluation chaque année. Le questionnaire de renouvellement est identique au questionnaire initial, mais si vous avez tenu à jour votre registre des actifs, vos politiques et vos justificatifs entre-temps, le renouvellement prend généralement quelques jours au lieu de plusieurs semaines. Consultez notre page dédiée sur Cyber ​​Essentials pour le contexte plus large du programme.

Max Edwards

Max travaille au sein de l'équipe marketing d'ISMS.online et veille à ce que notre site Web soit mis à jour avec du contenu et des informations utiles sur tout ce qui concerne les normes ISO 27001, 27002 et la conformité.

Faites une visite virtuelle

Commencez votre démo interactive gratuite de 2 minutes maintenant et voyez
ISMS.online en action !

Essayez-le maintenant
tableau de bord de la plateforme entièrement neuf

Nous sommes un leader dans notre domaine

4 / 5 Etoiles
Les utilisateurs nous aiment
Responsable - Été 2026
Entreprise à haut potentiel - Été 2026 Petites entreprises Royaume-Uni
Responsable régional - Été 2026 UE
Responsable régional - Été 2026 EMEA
Responsable régional - Été 2026 Royaume-Uni
Performance exceptionnelle - Été 2026 Marché intermédiaire EMEA

« ISMS.Online, outil exceptionnel pour la conformité réglementaire »

— Jim M.

« Facilite les audits externes et relie de manière transparente tous les aspects de votre SMSI »

— Karen C.

« Solution innovante pour la gestion des accréditations ISO et autres »

— Ben H.