Définition et objectif

Le programme Cyber Essentials a été introduit pour établir une base de référence en matière de cybersécurité pour toutes les organisations. L'objectif principal du programme est de promouvoir l'adoption des meilleures pratiques en matière de sécurité de l'information et de garantir que les organisations disposent des protections fondamentales contre un éventail des menaces cybernétiques les plus courantes.

Organisme de tutelle

Le programme a été lancé par le gouvernement britannique et est supervisé par le National Cyber Security Centre (NCSC), une partie de GCHQ (Government Communications Headquarters).

Dernière mise à jour

La dernière mise à jour a été publiée en avril 2023 avec la version 3.1 des exigences Cyber Essentials.

S'applique à

Cyber Essentials est adapté à toutes les organisations, de toutes tailles et de tous secteurs, qu'elles soient privées, publiques ou à but non lucratif. Il est particulièrement recommandé pour les organisations qui traitent des données personnelles ou qui sont des fournisseurs d'organismes gouvernementaux.

Contrôles et exigences

Le programme Cyber Essentials se concentre sur cinq contrôles clés qui, lorsqu'ils sont correctement mis en œuvre, peuvent prévenir jusqu'à 80 % des cyberattaques :

• Pare-feux de périmètre et passerelles Internet : S'assurer que les dispositifs qui connectent les réseaux à Internet ont les réglages appropriés pour empêcher l'accès non autorisé.
• Configuration sécurisée : S'assurer que les systèmes sont configurés de la manière la plus sécurisée pour les besoins de l'organisation.
• Contrôle d'accès des utilisateurs : Gérer les comptes utilisateurs en accordant uniquement aux personnes qui en ont besoin le niveau d'accès approprié et en s'assurant des méthodes d'authentification appropriées.
• Protection contre les logiciels malveillants : S'assurer que les protections contre les virus et les logiciels malveillants sont installées et mises à jour.
• Gestion des correctifs : S'assurer que les dernières versions prises en charge des applications et des systèmes d'exploitation sont utilisées et que tous les correctifs nécessaires ont été appliqués.

Veuillez vous référer à la documentation officielle Cyber Essentials pour une liste détaillée des contrôles et des exigences.

Type, fréquence et durée de l'audit

Les organisations peuvent obtenir deux niveaux de certification :

• Cyber Essentials : Cela nécessite que les organisations remplissent un questionnaire d'auto-évaluation, avec les réponses examinées de manière indépendante par un organisme de certification externe.
• Cyber Essentials Plus : Cela implique à la fois le questionnaire d'auto-évaluation et un test externe indépendant de l'approche de cybersécurité de l'organisation.

Alors que la certification de base Cyber Essentials implique une auto-évaluation, la certification Cyber Essentials Plus nécessite une vérification technique pratique.

Le certificat est valable pendant 12 mois à compter de la date de délivrance. Ainsi, les organisations devraient envisager une réévaluation annuelle pour maintenir leur certification. La durée de l'audit, en particulier pour Cyber Essentials Plus, dépendra de la taille et de la complexité du réseau et des systèmes de l'organisation.