Cyber Essentials7 min de lecture
Maintenir la certification Cyber Essentials : conformité continue
La certification Cyber Essentials est valide pendant 12 mois. Maintenir la certification nécessite une attention continue aux cinq contrôles et une recertification en temps voulu. Ce guide couvre comment rester conforme toute l'année, pour que la recertification soit simple plutôt que stressante.
Points clés
| Point | Résumé |
|---|---|
| Validité 12 mois | Doit recertifier annuellement pour maintenir la certification |
| Conformité continue | Maintenir les 5 contrôles tout au long de l'année, pas seulement au moment de la certification |
| Tâches continues clés | Appliquer les patches sous 14 jours, gérer l'accès utilisateur, maintenir l'inventaire d'appareils à jour |
| Planifier la recertification | Commencer la planification aux mois 10-11 ; réserver l'organisme de certification tôt |
| Suivre les changements | Nouveaux appareils, logiciels ou emplacements peuvent affecter le périmètre |
Réponse rapide : La certification Cyber Essentials dure 12 mois. Maintenir les 5 contrôles toute l'année : patcher sous 14 jours, gérer l'accès utilisateur, mettre à jour l'inventaire d'appareils. Commencer la planification de recertification aux mois 10-11 pour éviter les gaps.
Le cycle de 12 mois
Cycle de vie annuel de certification
Mois 0 : Certification obtenue
- Certificat émis
- Listé dans l'annuaire NCSC
- Validité de 12 mois commence
- Période de maintenance commence
Mois 1-9 : Maintenance continue
- Maintenir les cinq contrôles
- Surveiller les changements
- Adresser les nouveaux appareils et logiciels
- Conduire des revues de sécurité régulières
- Maintenir la documentation à jour
Mois 10-11 : Planification de recertification
- Revoir la conformité actuelle
- Adresser toute lacune
- Réserver la recertification
- Préparer les informations mises à jour
Mois 12 : Recertification
- Compléter la nouvelle évaluation
- Nouveau certificat émis
- Nouvelle période de 12 mois commence
- Le cycle se répète
Si votre certificat expire
| Conséquence | Impact |
|---|---|
| Ne peut plus revendiquer la certification | Les supports marketing doivent être mis à jour |
| Supprimé de l'annuaire | La vérification tierce échoue |
| Peut affecter les contrats | Pourrait violer les exigences contractuelles |
| Doit recommencer la certification | Ne peut pas simplement "renouveler" ; doit réévaluer |
Activités de maintenance continue
Activités quotidiennes
| Activité | Responsabilité |
|---|---|
| Surveiller les alertes de sécurité | Équipe IT/Sécurité |
| Traiter les nouveaux arrivants | RH + IT |
| Traiter les partants | RH + IT |
| Revoir les événements suspects | Équipe IT/Sécurité |
Activités hebdomadaires
| Activité | Responsabilité |
|---|---|
| Revoir le statut des patches | IT |
| Vérifier les mises à jour anti-malware | IT |
| Revoir les demandes de nouveaux logiciels | IT |
| Traiter les changements d'accès | IT |
Activités mensuelles
| Activité | Responsabilité |
|---|---|
| Revoir les comptes utilisateurs | IT + RH |
| Auditer l'accès admin | IT/Sécurité |
| Mettre à jour l'inventaire d'appareils | IT |
| Revoir les métriques de sécurité | Sécurité/Management |
Activités trimestrielles
| Activité | Responsabilité |
|---|---|
| Revue de conformité complète | Sécurité/IT |
| Revue des politiques | Management |
| Rafraîchissement formation | Tout le personnel |
| Mise à jour documentation | IT/Sécurité |
Maintenance spécifique par contrôle
Contrôle 1 : Pare-feu
Exigences continues :
- Revoir les règles pare-feu périodiquement
- Mettre à jour le firmware au fur et à mesure des patches
- Documenter toute nouvelle règle
- Supprimer les règles obsolètes
- Vérifier que les pare-feu hôtes restent activés
Surveiller :
- Nouvelles connexions réseau
- Changements à l'infrastructure cloud
- Nouvelles exigences d'accès distant
- Notifications de mise à jour firmware
Contrôle 2 : Configuration sécurisée
Exigences continues :
- Maintenir les standards de configuration sur les nouveaux appareils
- Revoir et supprimer les logiciels inutiles
- Appliquer la politique de mot de passe
- S'assurer que le verrouillage écran reste configuré
Surveiller :
- Nouveaux déploiements d'appareils
- Demandes d'installation de logiciels
- Dérive de configuration
- Nouvelles exigences utilisateurs
Contrôle 3 : Mises à jour de sécurité
Exigences continues :
- Appliquer les patches critiques/hauts sous 14 jours
- Surveiller les nouvelles vulnérabilités
- Suivre les dates de fin de vie des logiciels
- Maintenir l'automatisation des mises à jour
Surveiller :
- Sorties du Patch Tuesday
- Bulletins de sécurité d'urgence
- Notifications de mises à jour échouées
- Dates EOL approchantes
Contrôle 4 : Contrôle d'accès utilisateur
Exigences continues :
- Créer les comptes pour les nouveaux arrivants
- Supprimer les comptes des partants rapidement
- Ajuster l'accès pour les changements de rôle
- Maintenir l'inventaire des comptes admin
Surveiller :
- Notifications RH
- Changements de rôle
- Demandes d'accès temporaire
- On/offboarding des prestataires
Contrôle 5 : Protection malware
Exigences continues :
- Vérifier que la protection reste active
- Confirmer que les mises à jour de signatures sont à jour
- Revoir les résultats des scans
- Répondre aux détections
Surveiller :
- Protection désactivée
- Échecs de mise à jour
- Détections de malware
- Nouveaux appareils sans protection
Suivre les changements
Quels changements affectent votre certification ?
| Type de changement | Impact |
|---|---|
| Nouveaux emplacements | Peut nécessiter de mettre à jour le périmètre |
| Nouveaux services cloud | Peut nécessiter des contrôles additionnels |
| Nouveaux types d'appareils | Doivent répondre à toutes les exigences |
| Croissance significative | Peut affecter l'échantillonnage d'appareils Plus |
| Changements d'infrastructure | Peut nécessiter une réévaluation |
Gestion des changements pour la conformité
Quand des changements se produisent :
- Évaluer : Ce changement affecte-t-il la conformité ?
- Implémenter : Appliquer les contrôles aux nouveaux systèmes
- Documenter : Mettre à jour les inventaires et documentation
- Vérifier : Confirmer que la conformité est maintenue
- Enregistrer : Noter les changements pour la recertification
Planification de la recertification
Timeline pour la recertification
| Délai | Action |
|---|---|
| Mois 10 | Commencer la revue de conformité |
| Mois 10-11 | Adresser toute lacune |
| Mois 11 | Réserver l'organisme de certification |
| Mois 11-12 | Compléter l'évaluation |
| Mois 12 | Nouveau certificat émis |
Checklist de recertification
Un mois avant :
- Vérifier que tous les contrôles sont toujours conformes
- Mettre à jour l'inventaire d'appareils
- Mettre à jour l'inventaire de logiciels
- Revoir la liste des comptes utilisateurs
- Adresser toute lacune connue
- Réserver l'organisme de certification
Avant la soumission :
- Confirmer que le périmètre n'a pas changé significativement
- Vérifier que tous les patches sont appliqués
- Vérifier que tous les appareils sont protégés
- Revoir les comptes admin
- Tester des appareils échantillons
- Préparer la documentation
Si des problèmes surviennent avant la recertification
| Problème | Action |
|---|---|
| Lacunes de contrôle découvertes | Remédier avant l'évaluation |
| Changements de périmètre significatifs | Discuter avec l'organisme |
| Temps court | Réserver le créneau le plus tôt disponible |
| Contraintes budgétaires | Planifier et prioriser |
Maintenir la certification Plus
La recertification Plus nécessite le même audit technique que la certification initiale :
Maintenance spécifique Plus
- Garder les résultats de scan de vulnérabilité archivés
- Maintenir les configurations d'appareils
- S'assurer qu'aucune nouvelle vulnérabilité n'est introduite
- Suivre tout élément d'échec d'audit de la certification initiale
- Maintenir la relation avec l'évaluateur active
Préparation pré-audit
- Exécuter des scans internes périodiquement
- Adresser tout finding
- Vérifier les configurations d'appareils
- Mettre à jour la documentation
- Planifier l'audit avec du temps tampon
Défis courants de maintenance
Maintenir les patches à jour
| Défi | Solution |
|---|---|
| Les patches causent des problèmes | Tester d'abord dans un groupe pilote |
| Appareils distants | MDM ou visites bureau planifiées |
| Systèmes legacy | Isolation + contrôles compensatoires |
| Contraintes de bande passante | Déploiement planifié et par étapes |
Gérer l'accès utilisateur
| Défi | Solution |
|---|---|
| Partants non signalés | Intégration processus RH/IT |
| Accumulation d'accès | Revues d'accès trimestrielles |
| Gestion des prestataires | On/offboarding défini |
| Changements de rôle | Processus mover documenté |
Changements de périmètre
| Défi | Solution |
|---|---|
| Croissance | Appliquer les contrôles aux nouveaux systèmes |
| Acquisitions | Évaluer et intégrer |
| Nouvelle technologie | Assurer la conformité avant déploiement |
| Migration cloud | Appliquer les contrôles de sécurité cloud |
Comment Bastion peut aider
Maintenir la certification toute l'année demande un effort cohérent. Nous pouvons aider à réduire cette charge.
| Défi | Comment nous aidons |
|---|---|
| Surveillance continue | Nous suivons le statut de conformité en continu |
| Gestion des changements | Nous évaluons l'impact des changements |
| Remédiation | Nous adressons les problèmes au fur et à mesure qu'ils surviennent |
| Recertification | Nous gérons le processus de recertification |
| Reporting | Nous fournissons une visibilité sur la conformité |
Travailler avec un partenaire de services managés signifie que la maintenance de certification devient un processus géré plutôt qu'une course de dernière minute. Nous vous aidons à rester conforme tout au long de l'année, ce qui rend la recertification simple et sans stress.
Besoin d'aide pour maintenir votre certification Cyber Essentials ? Parlez à notre équipe