Cyber Essentials ou ISO 27001 : lequel choisir ?
Si vous pesez Cyber Essentials à opposer à ISO 27001Vous n'êtes pas seul. Au Royaume-Uni, on dit régulièrement aux entreprises qu'elles ont besoin de l'un, de l'autre, ou des deux, et ces intitulés ne permettent pas à eux seuls de faire le bon choix. Ce sont des dispositifs très différents, conçus pour des publics différents, mais ils sont souvent présentés dans le cadre des mêmes discussions sur la cybersécurité et la certification des fournisseurs.
Voici la version courte. Cyber Essentials Il s'agit d'un programme de base soutenu par le gouvernement britannique qui atteste de la mise en place de cinq contrôles techniques essentiels. Ce programme est rapide, peu coûteux et largement reconnu dans le secteur public britannique et les chaînes d'approvisionnement des PME. ISO 27001 Il s'agit d'une norme internationale pour un système de gestion de la sécurité de l'information (SGSI). Plus complète et plus approfondie, sa mise en œuvre est plus longue et elle est un atout majeur auprès des entreprises et des acheteurs étrangers. La plupart des entreprises britanniques finissent par adopter les deux normes, dans cet ordre, car chacune ouvre des perspectives différentes.
Cette page détaille les différences, vous aide à choisir la solution la plus adaptée à votre situation actuelle et explique comment. ISMS.en ligne Prend en charge les deux voies à partir d'une plateforme unique.
Que sont concrètement les certifications Cyber Essentials et ISO 27001 ?
Cyber Essentials est un programme de certification soutenu par le gouvernement britannique et géré par l'IASME pour le compte du Centre national de cybersécurité (NCSC). Il porte sur cinq contrôles techniques : pare-feu, configuration sécurisée, contrôle d'accès des utilisateurs, protection contre les logiciels malveillants et gestion des mises à jour de sécurité. Vous effectuez une auto-évaluation à l'aide d'un questionnaire (et, pour Cyber Essentials Plus, un audit technique vérifie vos réponses). L'objectif est de se prémunir contre les attaques opportunistes les plus courantes sur Internet.
L'ISO 27001 est la norme internationale relative au management de la sécurité de l'information. Il ne s'agit pas d'une simple liste de contrôles techniques, mais d'un cadre de référence pour intégrer la sécurité de l'information à la gestion de l'entreprise. Vous définissez le périmètre de votre SMSI, identifiez et traitez les risques liés à la sécurité de l'information, fixez des objectifs, formez le personnel, réalisez des audits internes et mettez en œuvre une démarche d'amélioration continue. La norme ISO 27001:2022 fait référence à 93 contrôles de l'Annexe A, couvrant les aspects organisationnels, humains, physiques et technologiques, mais vous n'appliquez que ceux qui sont pertinents pour vos risques. La certification est délivrée par un organisme de certification indépendant accrédité par UKAS, à l'issue d'un audit en deux étapes.
Cette différence, entre une base technique ciblée et un système de gestion complet, est à l'origine de toutes les autres différences entre les deux systèmes.
Commencer votre essai gratuit
Envie d'explorer ?
Inscrivez-vous pour votre essai gratuit dès aujourd'hui et découvrez toutes les fonctionnalités de conformité qu'ISMS.online a à offrir.
Comment les normes Cyber Essentials et ISO 27001 se comparent-elles côte à côte ?
Le tableau ci-dessous récapitule les différences les plus fréquemment mentionnées par les acheteurs britanniques. Utilisez-le pour identifier la solution la mieux adaptée à votre stade de développement, votre marché et votre clientèle.
| Dimension | Cyber Essentials | ISO 27001 |
|---|---|---|
| Domaine | Cinq contrôles techniques couvrant les systèmes exposés à Internet et les dispositifs des utilisateurs finaux | Système complet de gestion de la sécurité de l'information, assorti de 93 contrôles de l'annexe A appliqués selon les risques. |
| Prix | De 330 £ HT (auto-évaluation) à environ 3 000 £ HT pour Cyber Essentials Plus, selon la taille de l’organisation. | En général, les frais d'organisme de certification s'élèvent à 3 000 £ à plus de 15 000 £ sur un cycle de trois ans, auxquels s'ajoutent les efforts de mise en œuvre interne et les frais de conseil éventuels. |
| Il est temps de certifier | 2 à 4 semaines une fois les contrôles mis en place | De 6 à 18 mois, selon la maturité initiale, la portée et les ressources. |
| Reconnaissance | Usage exclusif au Royaume-Uni ; largement reconnu dans les chaînes d’approvisionnement du secteur public et des PME britanniques. | Internationale ; reconnue mondialement par les services d'achat des entreprises, les organismes de réglementation et les partenaires. |
| Profondeur | Mesures de base d'hygiène informatique contre les menaces courantes véhiculées par Internet | Système de gestion des risques couvrant les personnes, les processus et les technologies tout au long du cycle de vie de l'information |
| Renouvellement | Recertification annuelle (même tarif chaque année) | Cycle de certification de trois ans avec audits de surveillance annuels et audit de recertification complet la troisième année |
| À qui cela convient-il ? | PME britanniques, startups, fournisseurs du ministère de la Défense/du gouvernement central, organisations soumissionnant pour des marchés publics britanniques | Entreprises, entreprises en forte croissance, SaaS B2B, secteurs réglementés et toute entreprise desservant des clients internationaux ou des entreprises. |
Combien coûtent les certifications Cyber Essentials et ISO 27001 et combien de temps durent-elles ?
Le coût et le temps sont généralement les deux facteurs qui déterminent l'ordre de mise en œuvre. L'auto-évaluation Cyber Essentials débute à 330 £ HT pour une micro-entreprise et son prix augmente par paliers en fonction de la taille de l'entreprise, jusqu'à 500 £ HT pour les grandes organisations. Cyber Essentials Plus inclut un audit technique externe et coûte généralement entre 1 500 £ et 3 000 £ HT, selon la taille et la complexité de votre environnement. Plus de détails sont disponibles sur… Analyse des coûts de Cyber Essentials et sur ce qui est réellement évalué dans le Exigences en matière de cybersécuritéLa plupart des organisations obtiennent leur certification en deux à quatre semaines à partir de zéro, en supposant que les contrôles sous-jacents soient déjà configurés.
La norme ISO 27001 représente un investissement d'une toute autre ampleur. Les frais de certification s'élèvent généralement entre 3 000 et plus de 15 000 £ sur le cycle de trois ans, en fonction des effectifs, du nombre de sites et du périmètre du SMSI. Le coût le plus important est d'ordre interne : mise en œuvre du système de management, rédaction des politiques, réalisation d'une évaluation des risques, formation du personnel, réalisation d'audits internes et préparation des justificatifs. On peut raisonnablement estimer les délais à six à neuf mois pour les organisations disposant de contrôles éprouvés et d'un périmètre ciblé, et à douze à dix-huit mois pour celles qui partent de zéro.
Le compromis réside dans les avantages que chaque certification offre. Cyber Essentials permet de lever rapidement un obstacle à l'acquisition. L'ISO 27001 est plus longue à obtenir, mais elle répond à une question bien plus importante pour l'acheteur : gérez-vous la sécurité de l'information comme une discipline encadrée et en constante amélioration ?
Quelle certification vos clients demandent-ils réellement ?
La réponse honnête à la question « lequel est le meilleur ? » est : « celui que vos clients et les organismes de réglementation reconnaissent ». En pratique, cela se traduit clairement en trois catégories.
acheteurs du secteur public britannique La certification Cyber Essentials est exigée de façon très majoritaire. Elle est obligatoire pour les marchés publics impliquant le traitement de données personnelles ou la fourniture de certains produits et services TIC, et figure systématiquement parmi les questions posées dans la plupart des formulaires d'achat du secteur public. La certification Cyber Essentials Plus est requise lorsque le fournisseur a accès à des systèmes ou des données plus sensibles, notamment pour la plupart des projets du ministère de la Défense.
Chaînes d'approvisionnement des PME britanniques De plus en plus d'entreprises exigent la certification Cyber Essentials, notamment parce que leurs propres clients, plus importants, imposent cette exigence à leurs sous-traitants. Si vos acheteurs sont basés au Royaume-Uni et appartiennent au segment des PME, la certification Cyber Essentials est souvent suffisante à elle seule, surtout au début.
Acheteurs d'entreprises et internationaux Exigez la norme ISO 27001. Elle est la référence en matière de questionnaires de sécurité B2B en Europe, en Amérique du Nord et en Asie. Si vous vendez à des entreprises du FTSE 100, à des plateformes SaaS internationales, à des sociétés de services financiers ou à des secteurs réglementés, la norme ISO 27001 vous sera demandée très prochainement, et un système de management de la sécurité de l'information (SMSI) conforme vous évitera des semaines d'audit de sécurité.
Si vous n'êtes toujours pas certain que cet investissement soit rentable, Cyber Essentials vaut-il le coup ? Le guide présente le fonctionnement typique d'un pipeline et les avantages liés à l'assurance.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Faut-il obtenir à la fois la certification Cyber Essentials et la norme ISO 27001 ?
Pour la plupart des entreprises britanniques ayant une clientèle diversifiée, la réponse est oui, et l'ordre est important. Il est plus courant de passer d'abord la certification Cyber Essentials, puis la norme ISO 27001, pour trois raisons.
Cyber Essentials est une fonction contraignante à faible risque. L'obtention de la certification en quelques semaines vous oblige à inventorier vos équipements, à sécuriser vos pare-feu, à documenter le calendrier des correctifs et à renforcer le contrôle d'accès des utilisateurs. Chacune de ces actions constitue également une preuve nécessaire pour les contrôles de l'annexe A de la norme ISO 27001. Vous obtenez ainsi une certification reconnue, un avantage concurrentiel rapide et une longueur d'avance sur la norme ISO 27001.
Cela réduit les risques liés à la mise en œuvre de la norme ISO 27001. La plupart des constats d'audit ISO 27001 concernent les domaines de contrôle technique : configuration, accès, correctifs et protection contre les logiciels malveillants. Combler ces lacunes par la norme Cyber Essentials avant d'entamer la démarche ISO 27001 permet à votre audit SMSI de se concentrer sur la maturité du système de management, un sujet généralement plus facile à aborder.
Elle vous permet d'évoluer vers la norme ISO 27001. Une petite équipe peut gérer la certification Cyber Essentials avec un effort modéré tout en développant le SMSI en parallèle. Lorsque la demande des clients ou la pression du conseil d'administration vous incitent à adopter la norme ISO 27001, vous partez d'une base technique éprouvée plutôt que de zéro.
Il existe également un chevauchement important à exploiter. Cyber Essentials correspond directement à un sous-ensemble des contrôles de l'annexe A de la norme ISO 27001:2022, notamment en ce qui concerne le thème technologique. Les éléments de preuve que vous générez pour Cyber Essentials (règles de pare-feu, rapports de correctifs, configuration de l'authentification multifacteur, rapports antivirus) alimentent directement votre déclaration d'applicabilité ISO 27001 et vos enregistrements de traitement des risques.
Quand la certification Cyber Essentials est-elle suffisante à elle seule ?
Pour une vue d'ensemble plus complète de tous les programmes britanniques que les lecteurs prennent généralement en compte — y compris SOC 2 et NIS 2 —, consultez notre Guide de certification en cybersécurité au Royaume-Uni.
La certification Cyber Essentials suffit à elle seule lorsque trois conditions sont réunies : vos clients sont basés au Royaume-Uni, vos acheteurs n’exigent pas la certification ISO 27001 ou SOC 2et vos actifs informationnels et votre exposition aux risques sont modestes. À titre d'exemples typiques, citons les cabinets de conseil opérant exclusivement au Royaume-Uni, les petits fournisseurs de services gérés au service des PME britanniques, les entreprises de services professionnels (juridiques, comptables, de design) soumissionnant principalement pour des marchés publics ou des entreprises de taille moyenne au Royaume-Uni, et les jeunes entreprises en phase de démarrage avant leur premier contrat avec une grande entreprise.
Vous devriez envisager des solutions allant au-delà de Cyber Essentials dès que l'une des situations suivantes se présente : vous prenez en charge des clients d'entreprise, vous vous développez à l'international, vous traitez des volumes de données personnelles ou financières, vous entrez dans un secteur réglementé ou vos questionnaires de sécurité commencent à exiger un SMSI, une norme ISO 27001 ou SOC 2.
Pourquoi choisir ISMS.online pour les certifications Cyber Essentials et ISO 27001 ?
ISMS.en ligne est conçu pour prendre en charge les deux référentiels à partir d'une plateforme unique, de sorte que le travail que vous effectuez pour Cyber Essentials alimente directement la norme ISO 27001 au lieu de rester dans une feuille de calcul séparée.
- Les deux cadres en un seul endroit — Contenu, contrôles et modèles de preuves préconfigurés pour Cyber Essentials et ISO 27001:2022, mis en correspondance afin que vous n'effectuiez qu'une seule évaluation et utilisiez les preuves deux fois.
- Méthodologie Adopter, Adapter, Ajouter — Commencez avec notre système de gestion de la sécurité de l'information (SGSI) préconfiguré, adaptez-le à votre entreprise et ajoutez uniquement ce qui vous est propre, au lieu de partir d'une page blanche.
- Soumission Cyber Essentials prête — Capturez les cinq zones de contrôle, stockez les inventaires des appareils, les preuves MFA et les enregistrements de correctifs, et exportez tout ce dont vous avez besoin pour l'évaluation IASME.
- Prêt pour l'audit ISO 27001 — Évaluation des risques, déclaration d'applicabilité, bibliothèque de politiques, modules d'audit interne et de revue de direction construits autour de la norme, avec une cartographie des contrôles qui met en évidence les chevauchements avec Cyber Essentials.
- Approuvé par les entreprises britanniques - ISMS.en ligne est utilisé par des organisations au Royaume-Uni et à l'international pour gérer simultanément Cyber Essentials, ISO 27001 et d'autres référentiels.
- Conseils toujours disponibles — Un coach virtuel intégré, une équipe de soutien et des tutoriels vous guident à chaque étape, vous évitant ainsi de faire appel à un consultant externe pour obtenir votre certification.
- Balance avec vous — Ajouter d'autres référentiels (SOC 2, ISO 27701, ISO 42001, NIS 2) à mesure que les exigences de vos clients évoluent, sans avoir à migrer vers un nouvel outil.
Guides associés à Cyber Essentials
Poursuivez votre apprentissage des fondamentaux de la cybersécurité avec les autres guides de cette série :
- Exigences en matière de cybersécurité — Les cinq domaines de contrôle, les décisions relatives à la portée et les éléments de preuve recherchés par les évaluateurs.
- Coût de Cyber Essentials — Niveaux de prix de l'IASME, coûts supplémentaires, coûts cachés et totaux sur 3 ans pour les entreprises britanniques.
- La formation Cyber Essentials vaut-elle le coup ? — Une évaluation honnête des avantages, des inconvénients et des personnes qui ont réellement besoin de cette certification.
- Exigences de Cyber Essentials Plus — L’audit technique, les analyses de vulnérabilité et les avantages que Plus offre en plus de la certification de base.
- Auto-évaluation des compétences essentielles en cybersécurité — Le flux de travail, la portée, les preuves et les pièges courants du SASQ.
- Combien de temps dure la formation Cyber Essentials ? — Délais habituels au Royaume-Uni, options accélérées et facteurs de ralentissement.
- Renouvellement de la certification Cyber Essentials — Le cycle de 12 mois, les changements de contrôle de 2026 et comment se préparer 60 jours à l'avance.
- Cybersécurité essentielle pour les petites entreprises — Tarification, périmètre et analyse coûts-avantages spécifiques aux PME.
FAQ
La norme ISO 27001 est-elle meilleure que Cyber Essentials ?
Elle est plus large et plus approfondie, mais pas forcément « meilleure » pour votre entreprise. La norme ISO 27001 est le choix idéal si vous avez besoin d'une reconnaissance internationale ou d'un système complet de gestion de la sécurité de l'information. La certification Cyber Essentials est le choix idéal si vous recherchez une certification de base reconnue au Royaume-Uni, rapide à mettre en place et abordable. De nombreuses entreprises britanniques possèdent les deux certifications car elles répondent à des problématiques d'achat différentes.
La norme ISO 27001 couvre-t-elle tout ce qui est requis en matière de cybersécurité ?
Globalement, oui. Les contrôles techniques de Cyber Essentials (pare-feu, configuration sécurisée, contrôle d'accès, protection contre les logiciels malveillants, mises à jour de sécurité) correspondent aux contrôles de l'annexe A de la norme ISO 27001:2022, dans la section « Technologie ». Cependant, la norme ISO 27001 couvre de nombreux autres domaines (gouvernance, gestion des risques, sécurité des fournisseurs, continuité d'activité, sécurité des ressources humaines) non abordés par Cyber Essentials. La certification ISO 27001 ne satisfait pas à elle seule aux exigences de Cyber Essentials ; par conséquent, les acheteurs britanniques qui demandent spécifiquement la certification Cyber Essentials exigeront toujours de la consulter.
Dois-je suivre la formation Cyber Essentials ou Cyber Essentials Plus avant la norme ISO 27001 ?
Si possible, optez pour Cyber Essentials Plus. L'audit technique vous oblige à vérifier vos contrôles au lieu de simplement les affirmer, ce qui correspond davantage aux exigences d'un auditeur ISO 27001. Si votre budget est limité, commencez par une auto-évaluation Cyber Essentials, puis planifiez la certification Cyber Essentials Plus en même temps que votre audit ISO 27001 de niveau 2 ou juste avant.
Les clients de la norme ISO 27001 accepteront-ils Cyber Essentials comme alternative ?
Généralement non. Les entreprises et les acheteurs internationaux qui exigent la certification ISO 27001 recherchent la preuve d'un programme de sécurité de l'information géré et fondé sur les risques, ce que Cyber Essentials ne fournit pas. Cyber Essentials peut vous aider à progresser dans le questionnaire de sécurité initial, mais il répond rarement à lui seul à l'exigence d'une certification ISO 27001.
Combien de temps après la certification Cyber Essentials dois-je commencer la certification ISO 27001 ?
Dès que la norme ISO 27001 apparaît dans votre pipeline de ventes, il est important d'anticiper son déploiement. Sachant que sa mise en œuvre prend généralement entre six et dix-huit mois, il est judicieux de partir de l'échéance fixée par le client. Si vous possédez la certification Cyber Essentials Plus, vous pouvez généralement démarrer la mise en œuvre de l'ISO 27001 en parallèle de vos cycles de renouvellement, en réutilisant les mêmes éléments de preuve pour les deux certifications.
ISMS.online peut-il aider à la fois pour Cyber Essentials et ISO 27001 ?
Oui. ISMS.en ligne Gérez les deux référentiels depuis un seul espace de travail, avec des contrôles préconfigurés : les preuves recueillies pour Cyber Essentials sont ainsi prises en compte pour votre déclaration d’applicabilité ISO 27001. Cela élimine les doublons généralement associés à la gestion simultanée de deux certifications.
