Cyber ​​Essentials est mis à jour pour 2025 : ce que les entreprises britanniques doivent savoir

Cyber ​​Essentials mis à jour pour 2025 : ce que les entreprises britanniques doivent savoir

Face à la multiplication des cybermenaces, des attaques par rançongiciel au piratage informatique soutenu par l'État, les organisations du Royaume-Uni subissent une pression croissante pour renforcer la sécurité de leurs informations. Alors que de nombreuses grandes entreprises s'alignent sur des normes mondiales comme ISO 27001, la norme soutenue par le gouvernement britannique Programme Cyber ​​Essentials offre une référence fondamentale pour démontrer l'hygiène informatique de base pour les petites et moyennes entreprises. 

Mais des changements arrivent. 

À compter du 28 avril 2025, les certifications Cyber ​​Essentials et Cyber ​​Essentials Plus feront l'objet de mises à jour stratégiques. Ces changements reflètent l'évolution des cybermenaces et la complexité croissante des environnements dans lesquels évoluent les entreprises. Dans ce blog, nous analysons ces mises à jour, explorons leur importance et décrivons les prochaines étapes à suivre par les organisations. 

Pourquoi Cyber ​​Essentials est toujours important 

Lancé en 2014, Cyber ​​Essentials a été conçu pour aider les organisations à se prémunir contre les cybermenaces les plus courantes et à démontrer leur engagement en matière de cybersécurité. Pour beaucoup, il a constitué le point de départ de leur démarche de sécurité, une exigence de base pour collaborer avec les organismes gouvernementaux et un nombre croissant d'organisations du secteur privé. 

En mettant clairement l'accent sur les protections fondamentales, Cyber ​​Essentials établit une base de référence en matière de sécurité et encourage les organisations à adopter une approche proactive. Fondamentalement, il s'agit de mettre en place les fondamentaux : pare-feu, paramètres de sécurité, contrôle des accès, protection contre les logiciels malveillants et mise à jour des systèmes. 

Mais même les bases évoluent avec le temps. Et le système doit évoluer lui aussi. 

Qu'est-ce qui change en avril 2025 ? 

Les mises à jour de 2025 visent à refléter la réalité des menaces actuelles pour les entreprises et à garantir que Cyber ​​Essentials reste une norme pertinente. Voici les nouveautés :

1. L'authentification sans mot de passe devient la norme

L'adoption de l'authentification sans mot de passe constitue un changement majeur. Cela implique notamment : 

  • Biométrie (par exemple, empreintes digitales ou reconnaissance faciale) 
  • Clés de sécurité matérielles 
  • Codes d'accès à usage unique ou notifications push 

Sont désormais reconnus comme des méthodes de connexion valides et sécurisées. 

Pourquoi c'est important : Les mots de passe traditionnels restent l'un des maillons faibles de la cybersécurité. La réutilisation des mots de passe, les attaques par hameçonnage et les tentatives de force brute restent des vecteurs d'attaque courants. En privilégiant les solutions sans mot de passe, les nouvelles directives aident les organisations à adopter des méthodes plus solides et plus fiables pour gérer les accès et sécuriser les systèmes. 

2. Une vision plus large du travail à distance

Le terme « travail à domicile » est remplacé par « travail à domicile et à distance », un changement subtil mais significatif. 

Pourquoi c'est important : Les employés ne sont plus confinés chez eux. Ils travaillent désormais dans des cafés, des aéroports, des trains et des espaces de coworking, autant d'environnements considérés comme non fiables. Le dispositif reflète désormais cette réalité, et les entreprises devront démontrer que les données consultées à distance sont correctement protégées, quel que soit le lieu. 

3. Nouvelle terminologie pour les correctifs de vulnérabilité

L'accent mis jusqu'à présent sur les « correctifs et mises à jour » s'étend désormais à tous les types de « correctifs de vulnérabilités ». Cela signifie : 

  • Modifications du Registre 
  • Mises à jour de configuration 
  • Scripts ou mesures d'atténuation approuvées par le fournisseur 

Pourquoi c'est important : Tous les problèmes de sécurité ne bénéficient pas d'un correctif efficace. Parfois, la correction est différente, et cette mise à jour reflète cette réalité. Elle offre aux organisations plus de flexibilité dans leur réponse aux risques tout en indiquant clairement qu'une action est attendue. 

4. Un meilleur alignement avec les normes internationales

Bien que cela ne soit pas explicitement indiqué, le schéma mis à jour s'aligne plus étroitement sur les cadres mondiaux de cybersécurité tels que le Institut national de normalisation (NIST) et du ISO 27001. 

Pourquoi c'est important : Pour les organisations britanniques actives à l'international, l'alignement sur ces normes contribue à renforcer leur crédibilité et à ouvrir de nouveaux marchés. Pour celles qui sont déjà en route vers la certification ISO 27001, Cyber Essentials peut servir de tremplin, et ce chemin est désormais plus clairement défini. 

5. Modifications apportées aux spécifications du test Cyber ​​Essentials Plus

Certains ajustements nécessaires sont apportés à la manière dont les évaluations Cyber ​​Essentials Plus sont réalisées : 

  • Les évaluateurs doivent vérifier que la portée correspond à l’auto-évaluation initiale. 
  • Les limites doivent être clairement définies et techniquement séparées lorsque le périmètre n’inclut pas l’ensemble de l’organisation. 
  • L’échantillonnage des appareils doit être représentatif et prouvé. 

Pourquoi c'est important : Ces mises à jour renforcent la rigueur et la cohérence de l'évaluation Plus. Elles garantissent que les organisations ne peuvent pas sélectionner les systèmes de conformité de manière sélective et doivent plutôt démontrer qu'elles ont mis en œuvre de bonnes pratiques à tous les niveaux. 

Qu'est-ce que cela signifie pour votre entreprise ? 

Ces changements ne visent pas à piéger les organisations. Ils visent à garantir que le dispositif s'adapte aux risques réels auxquels sont confrontées les entreprises d'aujourd'hui. Cependant, ils nécessiteront des mesures, notamment pour celles dont la date de renouvellement approche, fin 2025. 

Si vous êtes déjà certifié Cyber ​​Essentials, il est maintenant temps de revoir votre posture actuelle : 

  • Vous explorez les technologies sans mot de passe ? 
  • Vos politiques d’accès à distance reflètent-elles la réalité du travail hybride d’aujourd’hui ? 
  • Votre approche de gestion des vulnérabilités est-elle flexible et réactive ? 

Si vous préparez votre première certification, il est judicieux d'anticiper les changements dès maintenant. N'attendez pas avril 2025 ; mettez en œuvre ces pratiques dès aujourd'hui. 

Cyber ​​Essentials et au-delà 

Il est important de rappeler que Cyber ​​Essentials n'est pas une fin en soi, mais un point de départ. Face à la sophistication croissante des cybermenaces et à l'intensification des pressions réglementaires, de nombreuses organisations choisissent de s'appuyer sur les bases de Cyber ​​Essentials pour adopter des normes plus avancées. 

La norme ISO/IEC 27001 constitue une étape logique. Cette norme de gestion de la sécurité de l'information, reconnue mondialement, fournit un cadre complet pour la gestion des risques liés à l'information. Alors que Cyber ​​Essentials décrit les éléments à mettre en place, la norme ISO 27001 vous montre comment intégrer ces pratiques aux opérations quotidiennes de votre entreprise. 

Ensemble, ces normes peuvent contribuer à créer une organisation plus résiliente, plus conforme et véritablement sécurisée. 

Besoin d’aide pour naviguer dans les changements ? 

Que vous abordiez le programme pour la première fois ou que vous vous adaptiez aux mises à jour de 2025, se familiariser avec les nouvelles exigences peut être un défi. 

C'est là que nous intervenons. Chez ISMS.online, nous avons accompagné des milliers d'organisations pour les aider à maîtriser Cyber ​​Essentials, Cyber ​​Essentials Plus et ISO 27001. Notre plateforme est conçue pour simplifier la mise en conformité, vous offrant une vision claire des exigences et vous permettant de rester sur la bonne voie du début à la fin. Vous pouvez ainsi aborder votre démarche de conformité en toute sérénité. 

Nous pratiquons également ce que nous prêchons, ayant utilisé notre propre plateforme pour obtenir avec succès la recertification Cyber ​​Essential, en novembre 2024.  

Et nous intégrons déjà un support pour les changements d'avril 2025, vous serez donc prêt, pas pressé. 

Réflexions finales 

Cyber ​​Essentials demeure un élément essentiel de la stratégie de cybersécurité du Royaume-Uni. Il envoie un message clair à nos clients, fournisseurs et partenaires : la sécurité est notre priorité. 

Les changements à venir visent à rendre le dispositif plus pertinent et plus résilient, reflétant ainsi les réalités du travail moderne. Mais il ne s'agit pas seulement de cocher des cases. C'est l'occasion d'instaurer de meilleures habitudes de sécurité au sein de votre organisation. 

Si vous n'avez pas encore commencé à vous préparer, c'est le moment idéal pour le faire. Revoyez votre posture de sécurité, mobilisez vos dirigeants et préparez-vous à l'avenir de Cyber ​​Essentials. Une bonne sécurité de l'information n'est pas une simple case à cocher ; c'est un avantage commercial. 

Auteur

Rébecca Harper

Rebecca est la responsable du marketing de contenu d'ISMS.online. Avec plus de 12 ans d'expérience dans le secteur de l'information et de la cybersécurité, Rebecca se consacre à l'éducation, à la sensibilisation et à l'autonomisation des entreprises pour qu'elles atteignent leurs objectifs de conformité, de gestion de l'information et de cybersécurité.

Voir tous les articles de Rebecca Harper

Articles Similaires

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !