Audit technique Cyber Essentials Plus : à quoi s'attendre

Points clés

Point	Résumé
4 composants	Scan de vulnérabilité externe, évaluation interne (si applicable), échantillonnage d'appareils, revue de preuves
Scan de vulnérabilité	Toutes les IP publiques scannées pour les vulnérabilités connues et services exposés
Échantillonnage d'appareils	L'évaluateur teste des appareils représentatifs de chaque type d'OS
À distance ou sur site	La plupart des audits peuvent être conduits à distance
Corriger et re-tester	Les problèmes mineurs peuvent souvent être corrigés pendant l'audit ; les problèmes majeurs peuvent nécessiter un report

Réponse rapide : L'audit Plus inclut : scan de vulnérabilité externe, échantillonnage d'appareils (test d'appareils représentatifs), et revue de preuves. La plupart des audits sont à distance. Les problèmes mineurs peuvent souvent être corrigés pendant l'audit ; ayez le support IT disponible le jour de l'audit.

Vue d'ensemble de l'audit Plus

L'audit Plus vérifie que ce que vous avez déclaré dans votre auto-évaluation Basic est réellement vrai. Il consiste en plusieurs composants :

Évaluation de vulnérabilité externe :

• Scan de toutes les adresses IP publiques
• Recherche de vulnérabilités connues
• Vérification des services exposés
• Vérification de la configuration du pare-feu

Évaluation interne (si applicable) :

• Scan des réseaux internes
• Recherche de vulnérabilités internes
• Vérification de la segmentation interne

Échantillonnage d'appareils :

• Sélection d'appareils représentatifs
• Chaque type d'OS testé
• Vérification de configuration
• Contrôle des paramètres de sécurité

Revue de preuves :

• Vérification de documentation
• Confirmation des politiques
• Validation des processus

Prérequis pour Plus

Avant de planifier un audit Plus :

Exigence	Détails
CE Basic valide	Doit avoir un certificat Basic en cours
Fenêtre de 90 jours	Plus doit être obtenu dans les 90 jours suivant Basic
Même périmètre	Le périmètre Plus doit correspondre au périmètre Basic
Contrôles en place	Les cinq contrôles doivent être entièrement implémentés
Prêt pour les tests	Tous les systèmes disponibles pour les tests

Le scan de vulnérabilité externe

Ce qui est scanné

Cible	Détails
Toutes les IP publiques	Chaque adresse IP face à Internet
Serveurs web	Services HTTP/HTTPS
Serveurs email	Services SMTP, IMAP
Points d'accès VPN	Points d'accès distant
Tout service public	Tous les services accessibles de l'extérieur

Ce que les évaluateurs recherchent

Findings critiques (échec) :

• Vulnérabilités hautes/critiques non patchées
• Interfaces de gestion exposées
• Credentials par défaut sur les services
• Services sensibles non chiffrés
• Vulnérabilités connues exploitables

Findings hauts (échec) :

• Versions de logiciels vulnérables
• Services mal configurés
• Services exposés inutiles
• Configurations de chiffrement faibles

Findings moyens/bas :

• Peuvent ne pas faire échouer la certification
• Seront notés dans le rapport
• Devraient être adressés
• À considérer pour remédiation

Problèmes courants de scan externe

Problème	Solution
SSL/TLS obsolète	Upgrader vers TLS 1.2+
RDP exposé	Désactiver ou mettre derrière VPN
Ports de base de données ouverts	Fermer ou pare-feu
Patches manquants	Appliquer les mises à jour
Pages par défaut	Supprimer ou personnaliser
Listing de répertoire	Désactiver

Processus d'échantillonnage d'appareils

Comment les appareils sont sélectionnés

L'évaluateur sélectionne un échantillon représentatif couvrant :

Couverture des systèmes d'exploitation :

• Un desktop Windows (chaque version)
• Un laptop Windows (chaque version)
• Un appareil macOS (si dans le périmètre)
• Un appareil Linux (si dans le périmètre)
• Un appareil iOS (si dans le périmètre)
• Un appareil Android (si dans le périmètre)
• Serveurs accessibles aux utilisateurs Internet

Facteurs additionnels :

• Différents types d'appareils
• Différents emplacements (si applicable)
• Différents rôles utilisateurs
• Mix d'anciens et nouveaux appareils
• Discrétion de l'évaluateur

Ce qui est testé sur les appareils

Vérification	Ce qui est vérifié
Niveau de patch	OS et applications à jour
Antivirus	Installé, en cours d'exécution, à jour
Pare-feu	Pare-feu hôte activé
Comptes utilisateurs	Configurés correctement
Verrouillage écran	Activé et timing
Auto-exécution	Désactivée
Navigateur	Version supportée, paramètres de sécurité
Politique de mot de passe	Conforme aux exigences

Processus de test

Setup :

• L'évaluateur se connecte (ou l'utilisateur démontre)
• Compte utilisateur standard utilisé
• Peut aussi tester la configuration du compte admin
• Test à distance ou sur site

Vérifications effectuées :

• Exécuter le scanner de vulnérabilité
• Vérifier le statut Windows Update/Software Update
• Vérifier le statut anti-malware
• Contrôler les paramètres du pare-feu
• Revoir les comptes utilisateurs
• Vérifier la configuration du verrouillage écran
• Contrôler les paramètres du navigateur
• Revoir les logiciels installés

Documentation :

• Screenshots capturés
• Findings enregistrés
• Pass/fail pour chaque vérification
• Preuves pour le rapport

Options de livraison de l'audit

Audit à distance

Aspect	Détails
Connexion	Accès distant sécurisé à votre réseau
Test d'appareils	Partage d'écran ou contrôle à distance
Exigences	Internet stable, outils d'accès distant
Durée	Similaire à sur site
Coût	Souvent moins cher que sur site

Audit sur site

Aspect	Détails
Emplacement évaluateur	Dans vos locaux
Test d'appareils	Accès physique aux appareils
Exigences	Espace de travail pour l'évaluateur
Durée	Typiquement demi-journée à journée complète
Coût	Peut inclure des frais de déplacement

Se préparer pour l'audit

Checklist pré-audit

Étape 1 : Vérifier la conformité Basic

• Confirmer que toutes les réponses SAQ sont toujours exactes
• Adresser tout changement depuis Basic
• S'assurer que le périmètre n'a pas changé

Étape 2 : Exécuter vos propres scans

• Scan de vulnérabilité externe
• Scan interne si applicable
• Remédier tous les findings
• Re-scanner pour vérifier les corrections

Étape 3 : Vérifier tous les appareils

• Vérifier que tous les appareils sont à jour
• Confirmer que l'anti-malware fonctionne
• Contrôler le statut du pare-feu
• Vérifier les configurations utilisateurs
• Tester le verrouillage écran

Étape 4 : Préparer la documentation

• Schéma réseau
• Liste des adresses IP
• Inventaire d'appareils
• Liste des comptes utilisateurs
• Politiques (si demandées)

Étape 5 : Planifier et coordonner

• Réserver la date d'audit
• Notifier le personnel concerné
• S'assurer que l'accès est disponible
• Préparer l'environnement de test
• Avoir le support IT disponible

Corrections pré-audit courantes

Problème	Correction requise
Mises à jour en attente	Installer toutes les mises à jour
Signatures AV obsolètes	Mettre à jour immédiatement
Pare-feu désactivés	Activer sur tous les appareils
Patches manquants	Appliquer les patches
Services exposés	Fermer ou sécuriser
Configurations faibles	Durcir les paramètres

Jour de l'audit

À quoi s'attendre

Matin :

• Introduction de l'évaluateur
• Confirmation du périmètre
• Setup de l'accès réseau
• Début du scan externe
• Premiers tests d'appareils

Mi-journée :

• Revue des findings intermédiaires
• Continuation des tests d'appareils
• Adresser les questions
• Preuves additionnelles si nécessaire

Après-midi :

• Compléter les tests
• Discussion des résultats préliminaires
• Identifier toute remédiation nécessaire
• Discuter des prochaines étapes

Votre rôle pendant l'audit

Tâche	Votre responsabilité
Accès	Fournir l'accès réseau et aux appareils
Disponibilité	Personnel IT disponible pour les questions
Information	Fournir la documentation demandée
Décisions	Approuver toute exigence de test
Coordination	Gérer les communications internes

Résultats de l'audit

Scénario de réussite

Résultat	Prochaines étapes
Tous les tests réussis	Certificat émis
Observations mineures	Note pour amélioration
Validité du certificat	12 mois
Listing dans l'annuaire	Ajouté au site web NCSC

Si des problèmes sont trouvés

Problèmes mineurs :

• Corrections rapides souvent possibles
• L'évaluateur peut autoriser la remédiation
• Re-scan des zones affectées
• Peut souvent être résolu le même jour

Problèmes majeurs :

• Remédiation significative nécessaire
• Peut nécessiter un ré-audit complet
• Coûts additionnels peuvent s'appliquer
• Peut nécessiter un nouveau Basic d'abord

Options de résolution :

• Corriger et re-scanner (si mineur)
• Planifier une fenêtre de remédiation
• Nouvel audit après corrections
• Considérer un ajustement de périmètre

Raisons courantes d'échec

Raison	Prévention
Vulnérabilités non patchées	Scan pré-audit
Logiciels obsolètes	Mettre à jour avant l'audit
Pare-feu mal configurés	Vérifier la configuration
Anti-malware manquant	Installer sur tous les appareils
Mots de passe faibles	Appliquer la politique
Logiciels en fin de vie	Supprimer ou exclure

Comment Bastion peut aider

La certification Plus nécessite une préparation minutieuse pour éviter les surprises le jour de l'audit.

Défi	Comment nous aidons
Évaluation pré-audit	Nous exécutons des scans et vérifications internes
Remédiation	Nous corrigeons les problèmes identifiés
Documentation	Nous préparons les informations requises
Coordination de l'audit	Nous vous supportons pendant l'audit
Récupération après échec	Nous fournissons une assistance de remédiation

Travailler avec un partenaire de services managés signifie que votre audit Plus est moins susceptible de révéler des problèmes inattendus. Nous aidons à s'assurer que votre environnement est prêt avant l'arrivée de l'évaluateur, ce qui se traduit par un jour d'audit plus fluide et une certification plus rapide.

---

Besoin d'aide pour préparer votre audit Plus ? Parlez à notre équipe