ISMS.online obtient pour la première fois la certification Cyber Essentials

Par Mike Jennings • 7 septembre 2023

Nous sommes ravis d'annoncer qu'ISMS.online a obtenu la certification Cyber Essentials, ajoutant des niveaux de confiance supplémentaires à nos services et confirmant des contrôles de cybersécurité robustes et efficaces au sein de notre organisation. Tu peux consultez notre certification et les nombreuses autres normes cybernétiques que nous maintenons dans notre Centre de confiance.

Après avoir suivi le processus d'obtention de Cyber Essentials (CE), nous souhaitons partager une partie de ce que nous avons appris tout au long du processus, définissant la certification, pourquoi vous pourriez avoir besoin de l'acquérir et quelles approches les organisations peuvent adopter pour y parvenir.

Qu’est-ce que Cyber Essentials ?

Cyber Essentials, bien que moins large que les normes telles que ISO 27001, a une approche plus technique concernant vos appareils et la configuration réseau. Il couvre cinq domaines :

Implémentation du pare-feu
Configuration sécurisée du réseau et des appareils utilisateur
Gestion des mises à jour de sécurité,
Contrôle d'accès utilisateur
Protection contre les logiciels malveillants

Cyber Essentials représente la norme de base du gouvernement britannique en matière de cybersécurité au Royaume-Uni et est géré par le consortium IASME.

Il existe deux niveaux d'évaluation :

Cyber Essentials
– est une auto-évaluation vérifiée de manière indépendante, dans laquelle les organisations s'évaluent par rapport à cinq contrôles de sécurité de base, et un évaluateur qualifié vérifie les informations fournies.
Cyber Essentiels+

– est un audit technique au cours duquel un évaluateur visite les bureaux de l'organisation pour effectuer des tests. L'audit CE+ doit être réalisé dans les trois mois suivant la certification CE.

Le coût de la certification Cyber Essentials dépend de la taille de votre organisation et, pour Cyber Essentials+, de la taille et de la complexité de votre réseau.

Pourquoi les organisations devraient-elles rechercher la certification Cyber Essentials ?

Pourquoi, vous demanderez-vous peut-être, devriez-vous envisager Cyber Essentials si vous êtes déjà certifié ISO 27001 et ISO 27701 ? Il peut y avoir plusieurs raisons :

Il s'agit d'une exigence contractuelle d'un client (et souvent d'une nécessité pour les contrats gouvernementaux)
Établit la confiance et rassure les clients sur le fait que vous disposez de mises en œuvre techniques spécifiques
pour sécuriser votre informatique contre les cyberattaques
Attire de nouvelles affaires en sachant que vous avez mis en place des mesures de cybersécurité
Un avantage supplémentaire est que votre organisation peut être éligible à une assurance cybersécurité gratuite après certification CE. Tous les détails peuvent être trouvés sur : IASME.co.uk.

Approches pratiques de la certification Cyber Essentials

Un nouvel ensemble d'exigences pour l'infrastructure informatique (v3.1), également connu sous le nom de profil de Montpellier, a été publié plus tôt cette année en avril 2023 par le NCSC. Il s'agit d'une lecture essentielle pour toutes les organisations qui s'approchent de l'évaluation afin de comprendre les exigences de conformité CE. Une question spécifique demande si ce document a été lu dans le cadre du processus de certification.

Il est également conseillé de télécharger l'ensemble de questions complet en vue de préparer l'évaluation et avant de soumettre vos réponses via le portail en ligne. L'ensemble de questions peut être téléchargé gratuitement sur le site Web de l'IASME. Une invitation au portail en ligne est envoyée à votre représentant désigné une fois les frais d'évaluation payés.

Un outil de préparation Cyber Essentials est également disponible auprès de l'IASME pour vous aider à vous préparer au CE si nécessaire.

Comment ISMS.online a abordé la certification Cyber Essentials

Nous avons constitué une petite équipe et examiné le document d'exigences et l'ensemble de questions pour déterminer les domaines nécessitant des modifications potentielles de politique ou de configuration.

Il convient de souligner qu'il est nécessaire de spécifier tous les utilisateurs et périphériques réseau, y compris la numérotation des versions du système d'exploitation et tous les services cloud utilisés. Le responsable informatique de l'organisation doit être un membre essentiel de l'équipe impliqué dans l'évaluation.

L’une des premières considérations de l’équipe a été la portée de l’évaluation. Nous recommandons que l’ensemble de l’organisation soit pris en compte dans le cadre de l’évaluation, comme pour d’autres types de certifications. Il convient également de noter que votre organisation n’est éligible à une cyber-assurance gratuite que si l’ensemble de l’organisation est concernée.

Il s’agissait ensuite de répondre à des questions couvrant les cinq domaines techniques relatifs à notre réseau et aux appareils des utilisateurs. Il ne s'agit pas d'une liste exhaustive et il convient toujours de faire référence au document d'exigences et à l'ensemble de questions ; cependant, certaines considérations importantes sont les suivantes :

Les pare-feu doivent être déployés aux limites du réseau : si les travailleurs à domicile utilisent des appareils et non un VPN, des pare-feu logiciels doivent être inclus dans le système d'exploitation des appareils.
Il est nécessaire de détailler tous les appareils utilisateur et réseau, y compris les systèmes d'exploitation, les versions et les appareils mobiles. Remarque : Bien qu'il ne s'agisse pas d'un contrôle CE spécifique, la gestion d'actifs doit être considérée comme une fonction de sécurité essentielle et peut aider à respecter les contrôles techniques.
Tous les services cloud utilisés par l'organisation sont également concernés.
Les mises à jour de sécurité critiques et à haut risque de toutes les applications doivent être installées dans les 14 jours suivant leur publication. Cela inclut également les micrologiciels des pare-feu et des routeurs.
Il est nécessaire de disposer de contrôles techniques et de politiques relatives aux comptes utilisateur et administrateur et à l'authentification. MFA doit être utilisé pour tous les services Cloud.
Tous les appareils doivent être protégés contre les logiciels malveillants soit en installant un logiciel anti-malware et/ou en limitant l'installation d'applications, par exemple en utilisant une boutique d'applications.

Si vous avez déjà envisagé contrôles de sécurité de l’information ou sont conformes à la norme ISO 27001, vos politiques existantes aideront à répondre à certaines questions.

Nos meilleurs conseils pour aborder les cyber-essentiels

Le document Exigences relatives à l'infrastructure informatique (v3.1) guide ce qui est considéré comme faisant partie ou non du champ d'application concernant le BYOD, le travail à distance, les appareils sans fil, les appareils des utilisateurs et les services cloud.
La responsabilité des contrôles de mise en œuvre, que ce soit l'organisation ou le fournisseur de cloud, dépendra du type de service cloud : IaaS, PaaS ou SaaS.
Il existe également des orientations dans l'ensemble de questions de Montpellier téléchargeable gratuitement, indiquant où l'exigence est obligatoire pour la conformité. L'équipe d'évaluation doit examiner les questions posées avant de les soumettre via le portail.
La réponse à l'auto-évaluation doit être attestée par un membre de l'équipe de direction de l'organisation avant que la soumission à l'évaluateur indépendant puisse être complétée.
Vous pouvez recevoir des commentaires pour des éclaircissements supplémentaires ou des modifications requises. Il est nécessaire d'effectuer toute modification dans les deux jours ouvrables avant de la soumettre à nouveau.

Une fois le processus terminé avec succès, vous serez informé que vous avez réussi la certification Cyber Essentials et votre organisation pourra également démontrer à vos clients et prospects que vous avez sécurisé votre informatique contre les cyberattaques. Votre certificat sera valable 12 mois.

Votre histoire de réussite Cyber Essentials commence ici

Si vous souhaitez commencer votre voyage vers la conformité Cyber Essentials, ISMS.online peut vous aider.

Notre plateforme de conformité permet une approche simple, sécurisée et durable de la confidentialité des données et de la gestion des informations avec Cyber Essentials et plus de 100 autres cadres, dont ISO 27001, NIST, GDPR, HIPPA et plus encore. Réalisez votre avantage concurrentiel dès aujourd’hui.

Parlez à un expert

Mike Jennings

Mike est le responsable du système de gestion intégré (IMS) ici sur ISMS.online. En plus de ses responsabilités quotidiennes consistant à garantir que la gestion des incidents de sécurité du SGI, les renseignements sur les menaces, les actions correctives, les évaluations des risques et les audits sont gérés efficacement et tenus à jour, Mike est un auditeur principal certifié ISO 27001 et continue de améliorer ses autres compétences dans les normes et cadres de sécurité de l'information et de gestion de la confidentialité, notamment Cyber Essentials, ISO 27001 et bien d'autres.