🇬🇧 English version
Cyber Essentials7 min de lecture

Cyber Essentials vs Cyber Essentials Plus : lequel vous faut-il ?

Cyber Essentials propose deux niveaux de certification : le niveau Basic par auto-évaluation et le niveau Plus vérifié indépendamment. Comprendre les différences peut vous aider à choisir la bonne certification pour les besoins de votre organisation.

Points clés

Point Résumé
Basic Questionnaire d'auto-évaluation, à partir de 300 £, répond à la plupart des exigences de contrats gouvernementaux
Plus Audit technique par un évaluateur, à partir de 1 500 £+, requis pour les contrats à plus haut risque
Exigences Plus Scan de vulnérabilité externe, échantillonnage d'appareils, vérification de configuration
Commencer par Basic La certification Basic est requise avant de pouvoir poursuivre Plus
Choisir Plus quand Les contrats le spécifient, manipulation de données sensibles, ou vous voulez une vérification indépendante

Réponse rapide : Cyber Essentials Basic (à partir de 300 £) est une auto-évaluation qui répond à la plupart des exigences de contrats gouvernementaux. Plus (à partir de 1 500 £) ajoute une vérification technique indépendante et est requis pour les contrats à plus haut risque. Commencez par Basic ; ajoutez Plus si vos contrats l'exigent ou si vous voulez une assurance plus forte.

Comparaison d'ensemble

Aspect Cyber Essentials (Basic) Cyber Essentials Plus
Méthode d'évaluation Questionnaire d'auto-évaluation Audit technique par évaluateur
Preuves requises Basé sur déclaration Vérifiées sur site ou à distance
Tests techniques Aucun Scans de vulnérabilité + tests d'appareils
Visite évaluateur Non Oui (à distance ou sur site)
Coût 300-500 £ 1 500-5 000 £+
Délai Variable selon la préparation Variable selon la préparation
Valide pour 12 mois 12 mois
Prérequis Aucun Certificat CE Basic valide (dans les 90 jours)

Cyber Essentials (Basic) en détail

Ce qui est impliqué

La certification Basic est un processus d'auto-évaluation :

Le questionnaire :

  • Environ 90 questions couvrant les cinq contrôles
  • Vous déclarez votre conformité avec chaque exigence
  • Un organisme de certification révise vos réponses
  • Ils peuvent demander des clarifications sur vos réponses
  • Si satisfaisant, le certificat est émis

Ce que vous déclarez :

  • Vos pare-feu répondent aux exigences
  • Vos appareils sont configurés de manière sécurisée
  • Vos logiciels sont à jour et supportés
  • Vos utilisateurs ont des niveaux d'accès appropriés
  • Vos appareils ont une protection malware

Considérations de coût

Composant de coût Fourchette typique
Frais de certification 300-500 £
Préparation interne Variable selon la préparation
Remédiation nécessaire Dépend de l'état actuel

Quand Basic est approprié

La certification Basic est typiquement suffisante quand :

  • Les contrats gouvernementaux exigent "Cyber Essentials" sans spécifier Plus
  • Vous voulez démontrer un engagement baseline en sécurité
  • Vous débutez votre parcours conformité
  • Le budget est contraint
  • Vous êtes à l'aise avec l'auto-déclaration

Cyber Essentials Plus en détail

Ce qui est impliqué

Plus s'appuie sur Basic avec une vérification indépendante :

Les tests techniques incluent :

  • Évaluation de vulnérabilité externe de toutes les adresses IP publiques
  • Scan interne (si applicable)
  • Échantillonnage d'appareils pour vérifier les configurations
  • Revue des preuves et vérification de documentation

Ce qui est testé :

  • Les pare-feu sont-ils correctement configurés ?
  • Les patches sont-ils réellement appliqués ?
  • L'anti-malware est-il en cours d'exécution et à jour ?
  • Les configurations sont-elles conformes à la déclaration ?
  • Y a-t-il des vulnérabilités exploitables ?

Considérations de coût

Composant de coût Fourchette typique
Certification Basic 300-500 £
Frais d'audit Plus 1 200-4 500 £+
Remédiation si problèmes trouvés Dépend des findings

Les coûts varient significativement selon :

  • Le nombre d'appareils dans le périmètre
  • La complexité de votre environnement
  • L'audit à distance ou sur site
  • Votre organisme de certification

Quand Plus est approprié

Considérez Plus quand :

  • Les contrats spécifient explicitement la certification Plus
  • Vous manipulez des données particulièrement sensibles
  • Vous voulez une vérification indépendante de vos contrôles
  • Vos clients ou partenaires l'attendent
  • Vous êtes dans une industrie réglementée
  • Vous voulez le plus haut niveau d'assurance dans le cadre du programme

La fenêtre de 90 jours

Une considération importante : la certification Plus doit être obtenue dans les 90 jours suivant votre certification Basic.

Implications de timing :

  • Basic expire avant Plus → Vous avez besoin d'un nouveau Basic d'abord
  • Date du certificat Basic → Le compte à rebours de 90 jours commence
  • Plus doit être complété → Dans cette fenêtre

Planification pour les deux :

  • Si vous savez que vous aurez besoin de Plus, planifiez en conséquence
  • Assurez-vous que votre environnement est prêt pour les tests techniques
  • Ne tardez pas pour Plus une fois que vous avez Basic

Choisir le bon niveau

Cadre de décision

Vos contrats spécifient-ils Plus ?

  • Oui → Vous avez besoin de Plus
  • Non → Basic peut être suffisant

Manipulez-vous des données hautement sensibles ?

  • Oui → Plus fournit une assurance plus forte
  • Non → Basic peut être suffisant

Vos clients attendent-ils Plus ?

  • Oui → Considérez Plus
  • Non → Basic peut être suffisant

Voulez-vous une vérification indépendante ?

  • Oui → Plus vérifie vos contrôles
  • Non → L'auto-déclaration Basic peut suffire

Quel est votre budget ?

  • Limité → Commencez par Basic, ajoutez Plus plus tard si nécessaire
  • Disponible → Considérez d'aller directement à Plus (via Basic)

Scénarios courants

Scénario Recommandation
Contrat gouvernemental exigeant "Cyber Essentials" Basic est généralement suffisant
Contrat MoD manipulant des données sensibles Plus typiquement requis
Contrat NHS avec données patients Vérifier les exigences spécifiques
Client enterprise demandant la certification Vérifier quel niveau ils exigent
Début du parcours conformité Commencer par Basic
Assurance maximale nécessaire Plus

Se préparer pour chaque niveau

Pour la certification Basic

Avant de commencer :

  • Revoir les cinq contrôles
  • Évaluer votre conformité actuelle
  • Adresser les lacunes évidentes
  • Préparer votre inventaire d'appareils
  • Rassembler votre liste de logiciels

Pendant le questionnaire :

  • Répondre avec précision et honnêteté
  • Fournir des explications claires si nécessaire
  • Être prêt pour des questions de clarification

Pour la certification Plus

Avant Basic :

  • Tout ce qui précède pour Basic
  • Planifier le timing de l'audit technique

Entre Basic et Plus :

  • Exécuter votre propre scan de vulnérabilité
  • Adresser tout finding
  • Vérifier que tous les appareils répondent aux exigences
  • Préparer l'accès pour l'évaluateur

Pour l'audit :

  • Avoir le support IT disponible
  • S'assurer que les appareils sont accessibles
  • Être prêt à démontrer les configurations

Questions courantes

Puis-je aller directement à Plus ?
Non. Plus requiert un certificat Basic valide d'abord. L'évaluation Plus s'appuie sur votre auto-déclaration Basic.

Combien de temps prend chaque niveau ?
Le délai varie significativement selon votre état de préparation actuel. Les organisations avec des contrôles existants forts peuvent progresser rapidement dans le processus ; celles nécessitant une remédiation significative auront besoin de plus de temps.

Plus est-il beaucoup plus difficile que Basic ?
Plus vérifie que ce que vous avez déclaré dans Basic est réellement vrai. Si votre déclaration Basic était précise et que vous avez maintenu vos contrôles, Plus devrait le confirmer. Les problèmes surviennent typiquement quand il y a un écart entre l'état déclaré et l'état réel.

Puis-je certifier seulement une partie de mon organisation ?
Oui. Le périmètre peut être défini pour inclure des réseaux, emplacements ou business units spécifiques. Basic et Plus permettent tous deux une certification avec périmètre défini.

Que se passe-t-il si j'échoue à Plus ?
Les problèmes mineurs peuvent souvent être résolus pendant l'audit. Les problèmes plus significatifs peuvent nécessiter une remédiation et un re-test. Votre organisme de certification peut conseiller sur les prochaines étapes.

Comment Bastion peut aider

Que vous poursuiviez Basic, Plus, ou les deux, nous pouvons aider à rationaliser le processus.

Défi Comment nous aidons
Sélection du niveau Nous évaluons vos exigences et recommandons le niveau approprié
Préparation Notre équipe aide à implémenter les contrôles correctement du premier coup
Évaluation des écarts Nous identifions les problèmes avant qu'ils ne deviennent des bloqueurs de certification
Préparation Plus Nous aidons à préparer votre environnement pour les tests techniques
Maintenance continue Nous supportons la recertification et la conformité continue

Travailler avec un partenaire de services managés signifie que vous bénéficiez de l'expérience de nombreuses certifications. Nous savons ce que les organismes de certification recherchent et pouvons vous aider à éviter les pièges courants qui causent des retards ou des échecs.

Besoin d'aide pour décider entre Basic et Plus ? Parlez à notre équipe

← PrécédentProtection malware : votre dernière ligne de défenseSuivant →Le questionnaire d'auto-évaluation : compléter Cyber Essentials Basic
Retour aux guides Cyber Essentials