Les meilleurs conseils d'ISMS.online sur les cyber-essentiels après notre recertification réussie

Nous sommes ravis d'annoncer qu'ISMS.online a obtenu la recertification Cyber ​​Essentials, le programme de cybersécurité soutenu par le gouvernement britannique. Notre recertification confirme que nous avons continué à traiter les vulnérabilités et à mettre en œuvre des contrôles de cybersécurité efficaces dans l'ensemble de l'entreprise, garantissant ainsi une défense solide contre toute une série de cybermenaces. 

Voici à quoi vous Consultez la certification Cyber ​​Essentials d'ISMS.online et les nombreuses autres normes cybernétiques que nous maintenons dans notre Trust Centre.

Avec notre recertification réussie à Cyber ​​Essentials, nous partageons des informations sur le programme Cyber ​​Essentials, les réflexions de notre responsable IMS, Mike Jennings, sur ce que nous avons appris lors de la recertification et les approches que votre organisation peut adopter pour obtenir la certification.

Qu’est-ce que Cyber ​​Essentials ?

Le programme Cyber ​​Essentials, soutenu par le gouvernement britannique, permet aux organisations de démontrer leur engagement en matière de cybersécurité et de prévenir les cyberattaques les plus courantes, qui reposent souvent sur le manque de préparation d'une organisation.

La certification est requise pour les organisations qui soumissionnent pour certains contrats gouvernementaux, tels que ceux qui impliquent le traitement d'informations sensibles et personnelles ou la fourniture de certains produits ou services techniques.

Cyber ​​Essentials couvre cinq domaines principaux :

• Implémentation du pare-feu
• Configuration sécurisée du réseau et des appareils utilisateur
• Gestion des mises à jour de sécurité
• Contrôle d'accès utilisateur
• Protection contre les logiciels malveillants

Niveaux d'évaluation des compétences essentielles en cybersécurité

Cyber ​​Essentials implique une auto-évaluation. Les organisations s'évaluent elles-mêmes en fonction des cinq domaines couverts par Cyber ​​Essentials, et un évaluateur qualifié vérifie de manière indépendante les informations fournies.

Cyber Essentials Plus Il s'agit d'un audit technique au cours duquel un évaluateur se rend dans les bureaux de l'organisation pour effectuer des tests. Il doit être réalisé dans les trois mois suivant la certification Cyber ​​Essentials.

Le coût de la certification Cyber ​​Essentials dépend de la taille de votre organisation et, pour Cyber ​​Essentials Plus, de la taille et de la complexité de votre réseau.

Pourquoi mon organisation devrait-elle obtenir la certification Cyber ​​Essentials ?

Mike Jennings, responsable IMS chez ISMS.online, déclare : « Cyber ​​Essentials garantit non seulement la sécurité de votre organisation en vous fournissant des politiques et des contrôles de sécurité des informations de base conformes aux meilleures pratiques, mais renforce également votre réputation de fournisseur de confiance. En outre, la certification peut fournir un niveau d'assurance cybernétique « gratuite » sous réserve de certains critères. »

Si vous êtes déjà ISO 27001 ou ISO 27701 certifié, il existe plusieurs raisons pour lesquelles vous pouvez envisager la certification Cyber ​​Essentials pour votre entreprise :

• Il se peut que vous ayez un client qui exige contractuellement que votre organisation soit certifiée (et, comme mentionné, la certification est souvent une nécessité pour les contrats gouvernementaux)
• La certification Cyber ​​Essentials renforce la confiance et rassure les clients sur le fait que vous disposez d'implémentations techniques spécifiques
• Vous pouvez mieux sécuriser vos systèmes informatiques contre les cyberattaques
• La certification peut attirer de nouveaux prospects et de nouvelles affaires en sachant que vous avez mis en place des mesures de cybersécurité
• Une fois la certification Cyber ​​Essentials obtenue, votre organisation peut bénéficier d'une assurance de cybersécurité gratuite. Tous les détails sont disponibles sur IASME.co.uk.

Mike partage : « Disposer d'un système de gestion de la sécurité de l'information (SMSI) conforme à la norme ISO 27001 aide énormément à obtenir la certification Cyber ​​Essentials, car de nombreuses politiques et contrôles sont déjà établis et peuvent fournir des preuves pour satisfaire aux exigences CE, rendant le processus plus efficace. 

« Il existe quelques différences subtiles dans les informations requises pour la certification CE par rapport à la norme ISO 27001. Cependant, avec l'aide du cadre CE fourni par ISMS.online, ces informations sont facilement enregistrables et accessibles, le tout en un seul endroit. »

Comment obtenir la certification Cyber ​​Essentials

Un ensemble d'exigences actualisées pour l'infrastructure informatique (v3.1) a été publié en avril 2023 par le National Cyber ​​Security Centre (NCSC). Cet ensemble d'exigences, connu sous le nom de profil Montpelier, est une lecture essentielle pour toutes les organisations envisageant une évaluation afin de comprendre ce qui est requis pour la conformité aux normes Cyber ​​Essentials. En fait, dans le cadre du processus de certification, il vous sera demandé si vous avez lu ce document.

Vous pouvez également télécharger l'ensemble des questions en vue de l'évaluation et avant de soumettre vos réponses via le portail en ligne. L'ensemble des questions peut être téléchargé gratuitement sur le site Web de l'IASME. Une invitation au portail en ligne est envoyée à votre représentant désigné une fois les frais d'évaluation payés.

Un outil de préparation à Cyber ​​Essentials est également disponible auprès de l'IASME pour aider votre entreprise à se préparer Pour la conformité.

Mike explique : « Il existe certaines informations que vous devez partager pour Cyber ​​Essentials qui ne sont pas obligatoires pour la conformité aux normes ISO. Il s'agit principalement d'identifier les versions logicielles de la base d'actifs de l'utilisateur final pour s'assurer qu'elles sont conformes aux dernières versions qui sont toujours prises en charge par les mises à niveau de sécurité. 

« Cela met en évidence les différences subtiles entre la conformité CE et ISO 27001, où CE est plus rigide et binaire dans ses exigences par rapport à ISO 27001 qui est basée sur le risque et permet une certaine flexibilité en fonction du niveau de risque et de la façon dont il est géré. »

Comment ISMS.online a abordé la recertification Cyber ​​Essentials

L'implication de votre responsable informatique est essentielle à l'évaluation, car vous devez spécifier tous les périphériques utilisateur et réseau, y compris la numérotation des versions du système d'exploitation et tous les services cloud utilisés.

Avec l'implication de notre responsable informatique, nous avons constitué notre équipe d'évaluation dédiée à Cyber ​​Essentials. L'équipe a ensuite examiné le document d'exigences et le questionnaire Cyber ​​Essentials pour identifier les domaines nécessitant des modifications potentielles de politique ou de configuration.

Mike ajoute : « Il s’agissait d’une recertification CE, nous étions donc déjà au courant des exigences de Montpelier, même s’il était nécessaire de vérifier si des changements subtils avaient eu lieu par rapport à l’année dernière. Il semblait qu’il fallait une plus grande granularité dans les niveaux de build du système d’exploitation pour satisfaire aux exigences cette année. Nous avons également dû mettre à niveau l’un des niveaux du système d’exploitation de nos systèmes. »

Nous avons également pris en compte la portée de l’évaluation. Comme pour d’autres types de certifications comme ISO 27001, nous recommandons que l’ensemble de l’organisation soit inclus dans le champ d’application de votre évaluation Cyber ​​Essentials. Votre organisation n’est éligible à une assurance cybernétique gratuite que si l’ensemble de l’organisation est concerné.

Une fois le périmètre défini, l'équipe a répondu à des questions portant sur les cinq domaines techniques relatifs à notre réseau et aux appareils des utilisateurs. La liste ci-dessous n'est pas exhaustive et il convient de toujours se référer au document d'exigences et à l'ensemble de questions. Cela dit, les considérations importantes incluent :

• Les pare-feu doivent être déployés aux limites du réseau. Si les travailleurs à domicile utilisent des appareils sans VPN, des pare-feu logiciels doivent être inclus dans les systèmes d'exploitation des appareils.
• Vous devez détailler tous les périphériques utilisateur et réseau, y compris les systèmes d'exploitation, les versions et les périphériques mobiles. Remarque : bien qu'il ne s'agisse pas d'un contrôle spécifique de Cyber ​​Essentials, la gestion d'actifs doit être considéré comme une fonction de sécurité essentielle et peut aider votre organisation à respecter les contrôles techniques
• Tous les services cloud que votre organisation utilise sont également concernés
• Toutes les mises à jour de sécurité critiques et à haut risque des applications doivent être installées dans les 14 jours suivant leur publication. Cela inclut également le firmware des pare-feu et des routeurs
• Vous devez disposer de contrôles et de politiques techniques pour les comptes d'utilisateur et d'administrateur et pour l'authentification. L'authentification multifacteur doit être utilisée pour tous les services cloud
• Tous les appareils doivent être protégés contre les logiciels malveillants, soit en installant un logiciel anti-malware et/ou en limitant l'installation d'applications, par exemple en utilisant un magasin d'applications.

Si vous avez déjà mis en œuvre contrôles de sécurité de l’information ou sont conformes à la norme ISO 27001, vos politiques existantes aideront à répondre à certaines questions.

Les meilleurs conseils d'ISMS.online pour atteindre les objectifs essentiels en matière de cybersécurité

1. Utilisez le document Exigences relatives à l'infrastructure informatique (v3.1) pour déterminer ce qui est considéré comme inclus et exclu en ce qui concerne l'utilisation de votre propre appareil (BYOD), le travail à distance, les appareils sans fil, les appareils utilisateur et les services cloud.
2. La responsabilité des contrôles de mise en œuvre, que ce soit l'organisation ou le fournisseur de cloud, dépendra du type de service cloud : IaaS, PaaS ou SaaS.
3. L'ensemble de questions Montpelier fournit également des conseils indiquant les cas où l'exigence est obligatoire pour la conformité. Votre équipe d'évaluation Cyber ​​Essentials doit examiner l'ensemble de questions avant de le soumettre.
4. Avant de pouvoir être soumise à l’évaluateur indépendant, la réponse d’auto-évaluation doit être attestée par un membre de l’équipe de direction de l’organisation.
5. Vous recevrez peut-être des commentaires pour des éclaircissements supplémentaires ou des modifications nécessaires. Vous devez effectuer les modifications dans les deux jours ouvrables avant de soumettre à nouveau votre demande.

Une fois le processus terminé avec succès, vous serez informé que vous avez obtenu la certification Cyber ​​Essentials. La certification permet à votre organisation de démontrer à vos clients et prospects que vous avez sécurisé votre informatique contre les cyberattaques. Votre certificat sera valable 12 mois.

Votre histoire de réussite Cyber ​​Essentials commence ici

Si vous souhaitez commencer votre voyage vers la conformité Cyber ​​Essentials, ISMS.online peut vous aider.

Notre plateforme de conformité permet une approche simple, sécurisée et durable de la confidentialité des données et de la gestion des informations avec Cyber ​​Essentials et plus de 100 autres cadres, dont ISO 27001, NIST, GDPR, HIPAA et plus encore. Libérez votre avantage concurrentiel dès aujourd'hui.