Cyber Essentials7 min de lectureMis à jour mars 2026

Checklist de conformité Cyber Essentials : guide de préparation complet

Cette checklist complète couvre tout ce que vous devez implémenter pour la certification Cyber Essentials. Utilisez-la pour évaluer votre état actuel, planifier les changements nécessaires, et vérifier votre préparation avant de commencer votre évaluation.

Alban Veauté

•

Security Engineer

Alban is a security engineer at Bastion with deep expertise in information security, SOC 2, and ISO 27001. He also specializes in data protection and privacy compliance, including GDPR requirements, and helps companies build robust security programs.

SOC 2ISO 27001GDPRCyber Essentials

Points clés

Point	Résumé
Définir le périmètre d'abord	Lister tous les emplacements, réseaux, appareils, services cloud et télétravailleurs dans le périmètre
Checklist pare-feu	Refus par défaut entrant, changer les mots de passe par défaut, documenter les règles
Checklist config sécurisée	Supprimer les défauts, désactiver les fonctionnalités inutiles, imposer des mots de passe forts, politique de verrouillage
Checklist mises à jour	Patcher sous 14 jours, supprimer les logiciels non supportés, activer les mises à jour auto
Checklist contrôle d'accès	Comptes uniques, moindre privilège, MFA sur les services cloud, supprimer les partants rapidement

Réponse rapide : Avant de commencer : définir le périmètre, inventorier tous les appareils, vérifier les 5 contrôles. Éléments clés : pare-feu avec refus par défaut, pas de mots de passe par défaut, patches appliqués sous 14 jours, MFA sur les services cloud, comptes utilisateurs uniques avec moindre privilège.

Préparation pré-évaluation

Définir votre périmètre

Identifier tous les emplacements à inclure
Lister tous les réseaux connectés à Internet
Inventorier tous les appareils dans le périmètre
Documenter les services cloud utilisés
Déterminer si les télétravailleurs sont dans le périmètre
Considérer toute exclusion (avec justification)

Rassembler les informations

Créer l'inventaire d'appareils (type, OS, nombre)
Documenter la topologie réseau
Lister tous les logiciels utilisés
Identifier tous les comptes utilisateurs
Documenter les outils de sécurité actuels
Cartographier les responsabilités des services cloud

Contrôle 1 : Pare-feu

Pare-feu de frontière

Pare-feu présent sur toutes les connexions Internet
Règle par défaut entrante est REFUSER
Seuls les services nécessaires autorisés en entrant
Chaque service autorisé documenté et justifié
Credentials admin changés du défaut
Firmware pare-feu à jour
Accès de gestion restreint
Journalisation activée

Pare-feu hôtes (chaque appareil)

Pare-feu activé sur tous les appareils Windows
Pare-feu activé sur tous les appareils macOS
Pare-feu activé sur tous les appareils Linux
Configuré pour bloquer l'entrant par défaut
Seules les exceptions nécessaires créées

Pare-feu cloud

Security groups/NSGs configurés
Refus par défaut pour l'entrant
Règles documentées
Revue régulière planifiée

Contrôle 2 : Configuration sécurisée

Gestion des logiciels

Logiciels inutiles supprimés de tous les appareils
Logiciels d'essai désinstallés
Extensions navigateur inutilisées supprimées
Seules les applications requises pour le business installées

Configuration des comptes

Comptes invités désactivés
Comptes par défaut désactivés ou renommés
Tous les mots de passe par défaut changés
Comptes inutilisés supprimés
Chaque utilisateur a un compte unique
Pas de comptes partagés utilisés

Exigences de mot de passe

Minimum 8 caractères (12+ recommandé)
OU phrases de passe de 12+ caractères
OU MFA activé (réduit l'exigence de longueur)
Verrouillage de compte après tentatives échouées configuré
Politique de mot de passe documentée

Configuration des fonctionnalités

Auto-exécution désactivée (Windows)
AutoPlay désactivé ou défini à "Ne rien faire"
Verrouillage écran activé (dans les 15 minutes)
Mot de passe requis après veille/verrouillage
Services inutiles désactivés

Checklist de configuration par appareil

Appareils Windows :

Windows Firewall activé (tous les profils)
Windows Defender ou AV actif
Mises à jour automatiques activées
Compte invité désactivé
Verrouillage écran configuré
AutoRun/AutoPlay désactivé
Fonctionnalités inutiles désactivées

Appareils macOS :

Coupe-feu activé
XProtect/Gatekeeper actif
Mises à jour automatiques activées
Compte invité désactivé
Verrouillage écran configuré
FileVault activé (recommandé)

Appareils mobiles :

Verrouillage écran activé
Chiffrement activé
Uniquement apps App Store/Play Store
Gestion des appareils (si applicable)
Mises à jour automatiques activées

Contrôle 3 : Gestion des mises à jour de sécurité

Systèmes d'exploitation

Tous les systèmes Windows sur versions supportées
Tous les systèmes macOS sur versions supportées
Tous les systèmes Linux sur distributions supportées
Tous les appareils mobiles sur versions OS supportées
Mises à jour automatiques activées où possible
Patches critiques/hauts appliqués sous 14 jours

Applications

Tous les navigateurs supportés et à jour
Applications Office à jour
Lecteurs PDF à jour
Java à jour (ou supprimé si non nécessaire)
Toutes les applications business à jour
Mises à jour automatiques activées où disponibles

Firmware

Firmware routeur à jour
Firmware pare-feu à jour
Firmware équipements réseau à jour
BIOS/UEFI à jour (où pratique)

Logiciels en fin de vie

Pas de Windows 7 ou antérieur
Pas de Windows Server 2012 ou antérieur
Pas de versions macOS non supportées
Pas d'applications non supportées
Logiciels EOL supprimés ou isolés (avec justification)

Contrôle 4 : Contrôle d'accès utilisateur

Gestion des comptes

Chaque utilisateur a un compte unique
Pas de comptes partagés
Processus documenté pour les nouveaux comptes
Processus documenté pour les partants
Comptes désactivés quand le personnel part
Revue régulière des comptes

Gestion des privilèges

Comptes utilisateur standards pour le travail quotidien
Comptes admin uniquement pour ceux qui en ont besoin
Comptes admin et standards séparés pour le personnel IT
Comptes admin non utilisés pour email/navigation
Comptes admin documentés et justifiés
Revue régulière de l'accès admin

Authentification

Politique de mot de passe implémentée
MFA activé pour les comptes admin (recommandé)
Verrouillage de compte configuré
Biométrie acceptable (templates stockés sur l'appareil)

Contrôle 5 : Protection malware

Couverture

Anti-malware sur tous les appareils Windows
Anti-malware sur tous les appareils macOS (intégré ou tiers)
Protection sur les serveurs
Appareils mobiles protégés (MDM ou intégré)

Configuration

Protection temps réel activée
Mises à jour automatiques des signatures activées
Scans programmés configurés (au moins hebdomadaires)
Scan email activé
Protection web activée
Scan médias amovibles activé

Méthodes alternatives (si utilisées à la place)

Liste blanche d'applications configurée
OU sandboxing implémenté
Approche documentée et efficace

Vérifications finales pré-certification

Documentation

Périmètre clairement défini
Schéma réseau disponible
Inventaire d'appareils complet
Inventaire de logiciels complet
Politiques documentées
Processus documentés

Vérification technique

Exécuter ces vérifications avant de soumettre :

Vérifier le statut du pare-feu sur des appareils échantillons
Vérifier le statut Windows Update
Vérifier que l'anti-malware fonctionne et est à jour
Tester le verrouillage écran sur des appareils échantillons
Revoir la liste des comptes admin
Vérifier tout logiciel EOL
Vérifier que la politique de mot de passe est appliquée
Tester que l'auto-exécution est désactivée

Documenter les résultats :

Preuves par screenshot (optionnel mais utile)
Noter toute exception
Documenter les contrôles compensatoires
Préparer les réponses aux clarifications

Pour la certification Plus

Préparation additionnelle

Exécuter un scan de vulnérabilité externe
Remédier tout finding haut/critique
Exécuter un scan interne (si applicable)
Vérifier que tous les appareils passeraient l'inspection
Préparer l'échantillon d'appareils représentatif
S'assurer que la fenêtre de 90 jours est atteignable

Préparation à l'audit

Tous les appareils entièrement patchés
Pas de vulnérabilités critiques en suspens
Toutes les configurations comme déclaré dans Basic
Accès prêt pour l'évaluateur
Support IT disponible pour le jour de l'audit
Documentation accessible

Auto-évaluation rapide

Évaluez votre préparation (0-5) pour chaque contrôle :

Contrôle	Score	Notes
Pare-feu	_/5
Configuration sécurisée	_/5
Mises à jour de sécurité	_/5
Contrôle d'accès utilisateur	_/5
Protection malware	_/5

Guide de notation :

5 : Entièrement conforme, documenté
4 : Principalement conforme, lacunes mineures
3 : Partiellement conforme, du travail nécessaire
2 : Lacunes significatives
1 : Travail majeur requis
0 : Non adressé

Préparation : 20+ points suggère une bonne préparation ; moins de 15 suggère que plus de préparation est nécessaire.

Comment Bastion peut aider

Une checklist est utile, mais des conseils d'experts peuvent s'assurer que rien n'est manqué.

Défi	Comment nous aidons
Évaluation des écarts	Nous évaluons votre état actuel par rapport aux exigences
Remédiation	Nous aidons à implémenter les changements nécessaires correctement du premier coup
Documentation	Nous assistons avec la préparation des politiques et preuves
Vérification	Nous conduisons des vérifications pré-évaluation
Certification	Nous vous guidons à travers le processus

Travailler avec un partenaire de services managés signifie que vous n'essayez pas d'interpréter les exigences tout seul. Nous avons aidé de nombreuses organisations à travers cette checklist, et nous savons où sont les lacunes courantes et comment les adresser efficacement.

Besoin d'aide pour compléter votre checklist Cyber Essentials ? Parlez à notre équipe

← PrécédentCoûts et délais Cyber Essentials : planifier votre certification Suivant →Maintenir la certification Cyber Essentials : conformité continue

Retour aux guides Cyber Essentials

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company