🇬🇧 English version
Cyber Essentials7 min de lecture

Le questionnaire d'auto-évaluation : compléter Cyber Essentials Basic

Le questionnaire d'auto-évaluation (SAQ) Cyber Essentials est la façon dont vous démontrez la conformité avec les cinq contrôles techniques. Comprendre ce qui est demandé, et se préparer correctement, peut faire la différence entre un processus de certification fluide et de la frustration.

Points clés

Point Résumé
~90 questions Couvre les détails de l'organisation, le périmètre, et les 5 contrôles techniques
La précision est critique Les évaluateurs interrogeront les incohérences ; les fausses réponses invalident la certification
Définition du périmètre Définir ce qui est inclus : réseaux, appareils, emplacements, services cloud, télétravailleurs
Problèmes courants Logiciels non supportés, MFA manquant sur les services cloud, mots de passe par défaut, patches obsolètes
Préparer les preuves Avoir l'inventaire d'appareils, la liste des logiciels, et les détails de configuration prêts

Réponse rapide : Le SAQ a environ 90 questions couvrant les 5 contrôles. La précision compte ; les évaluateurs interrogeront les incohérences. Les problèmes courants incluent les logiciels non supportés, le MFA manquant, les mots de passe par défaut, et les systèmes non patchés. Préparez votre inventaire d'appareils et liste de logiciels avant de commencer.

Comprendre le SAQ

Le questionnaire évalue votre implémentation des cinq contrôles Cyber Essentials à travers environ 90 questions.

Structure du SAQ

Section 1 : Détails de l'organisation

  • Informations sur l'entreprise
  • Définition du périmètre
  • Coordonnées

Section 2 : Informations sur le périmètre

  • Ce qui est inclus dans la certification
  • Réseaux et emplacements
  • Services cloud
  • Télétravailleurs

Section 3 : Pare-feu

  • Configuration du pare-feu de frontière
  • Pare-feu d'appareils
  • Mots de passe par défaut
  • Documentation des règles

Section 4 : Configuration sécurisée

  • Gestion des logiciels
  • Configuration des comptes
  • Paramètres de mot de passe
  • Configuration des fonctionnalités

Section 5 : Gestion des mises à jour de sécurité

  • Statut de support des logiciels
  • Gestion des patches
  • Délais de mise à jour

Section 6 : Contrôle d'accès utilisateur

  • Gestion des comptes
  • Contrôles des privilèges
  • Méthodes d'authentification

Section 7 : Protection malware

  • Couverture anti-malware
  • Fréquence de mise à jour
  • Configuration des scans

Avant de commencer

Rassemblez vos informations

Avoir ces informations prêtes rendra le processus plus fluide :

Inventaire d'appareils :

  • Liste de tous les ordinateurs, serveurs, appareils mobiles
  • Système d'exploitation et version pour chacun
  • Compte par type d'appareil

Inventaire de logiciels :

  • Toutes les applications installées
  • Numéros de version
  • Statut de support

Informations réseau :

  • Adresses IP publiques
  • Détails des pare-feu
  • Services cloud utilisés

Informations utilisateurs :

  • Types de comptes (standard, admin)
  • Statut MFA
  • Détails de la politique de mot de passe

Évaluez votre préparation

Avant de commencer, évaluez honnêtement :

Question Implication
Tous les logiciels sont-ils supportés ? Logiciel EOL = échec
Les patches critiques sont-ils appliqués ? >14 jours = échec
Les mots de passe par défaut sont-ils changés ? Défauts = échec
Tout le monde a-t-il un compte unique ? Comptes partagés = échec
Le MFA est-il activé sur les services cloud ? Souvent requis
L'anti-malware est-il sur tous les appareils ? Manquant = échec

Compléter le questionnaire

Section par section

Sections organisation et périmètre :

  • Être précis sur ce qui est inclus
  • Documenter clairement toute exclusion
  • Inclure tous les emplacements pertinents
  • Ne pas oublier les services cloud et télétravailleurs

Questions sur les pare-feu :

  • Décrire la configuration du pare-feu de frontière
  • Confirmer que les pare-feu hôtes sont activés
  • Confirmer que les mots de passe par défaut sont changés
  • Expliquer toute règle qui autorise les connexions entrantes

Questions sur la configuration sécurisée :

  • Lister les systèmes d'exploitation et versions
  • Décrire comment les logiciels inutiles sont supprimés
  • Expliquer la politique de mot de passe
  • Confirmer que l'auto-exécution est désactivée
  • Décrire la configuration du verrouillage écran

Questions sur la gestion des mises à jour :

  • Confirmer que tous les logiciels sont supportés
  • Décrire votre délai de patching
  • Expliquer comment les mises à jour sont vérifiées
  • Lister toute exception et justification

Questions sur le contrôle d'accès :

  • Confirmer les comptes uniques pour tous les utilisateurs
  • Décrire la gestion des comptes admin
  • Expliquer les méthodes d'authentification
  • Décrire le processus joiner/leaver

Questions sur la protection malware :

  • Lister la ou les solutions anti-malware
  • Confirmer la fréquence de mise à jour
  • Décrire la configuration des scans
  • Confirmer la couverture de tous les appareils

Conseils pour une complétion précise

Soyez honnête : Votre organisme de certification interrogera les incohérences. Les fausses déclarations peuvent invalider votre certification.

Soyez précis : Les réponses vagues provoquent des demandes de clarification. Les réponses spécifiques font avancer les choses.

Soyez cohérent : Les informations doivent s'aligner entre les sections. Les comptes d'appareils, listes de logiciels et descriptions de contrôles doivent correspondre.

Lisez attentivement : Certaines questions sont nuancées. Répondre "oui" quand vous devriez répondre "non" cause des problèmes.

Problèmes courants qui causent des retards

Problèmes techniques

Problème Impact Solution
Logiciels non supportés Échec Supprimer ou remplacer
Patches de plus de 14 jours Échec Appliquer les mises à jour
Mots de passe par défaut Échec Les changer
MFA manquant sur le cloud Souvent échec Activer le MFA
Pas d'anti-malware Échec Installer sur tous les appareils
Comptes partagés Échec Créer des comptes individuels
Admin pour l'usage quotidien Problème Comptes séparés

Problèmes de processus

Problème Impact Solution
Réponses inexactes Retards, rejet Vérifier avant de soumettre
Réponses vagues Demandes de clarification Être spécifique
Informations manquantes Soumission incomplète Préparer minutieusement
Informations incohérentes Questions de crédibilité Revoir pour la cohérence

Demandes de clarification

Après la soumission, l'organisme de certification peut demander des clarifications :

Domaines de clarification courants :

  • Définition du périmètre peu claire
  • Réponses ambiguës
  • Incohérences apparentes
  • Détails manquants

Comment répondre :

  • Répondre rapidement
  • Être spécifique et clair
  • Fournir des preuves si demandé
  • Ne pas changer votre périmètre sans discussion

Impact sur le délai :

  • Des réponses rapides et claires accélèrent la certification
  • Les retards dans les réponses ralentissent tout

Après la soumission

Certification réussie

  • Certificat émis
  • Listé dans l'annuaire NCSC
  • Valide pendant 12 mois
  • Peut utiliser le logo Cyber Essentials

Si des problèmes surviennent

  • L'organisme de certification identifie des problèmes
  • Vous pouvez avoir besoin de remédier
  • Re-soumettre des réponses mises à jour
  • Peut nécessiter de payer à nouveau si changements significatifs

Checklist de complétion du SAQ

Avant de commencer :

  • Inventaire d'appareils complet
  • Inventaire de logiciels complet
  • Détails réseau documentés
  • Liste des comptes utilisateurs préparée
  • Configurations actuelles vérifiées
  • Contrôles réellement implémentés

Pendant la complétion :

  • Périmètre clairement défini
  • Toutes les questions répondues
  • Réponses précises
  • Réponses cohérentes
  • Preuves disponibles si nécessaire

Avant de soumettre :

  • Revoir toutes les réponses
  • Vérifier les incohérences
  • Vérifier les détails techniques
  • Confirmer que vous pouvez défendre chaque réponse

Comment Bastion peut aider

Le SAQ est simple si vous êtes préparé, mais la préparation est là où de nombreuses organisations ont du mal.

Défi Comment nous aidons
Évaluation de préparation Nous évaluons votre état actuel par rapport aux exigences
Identification des lacunes Nous trouvons les problèmes avant qu'ils ne causent des problèmes de certification
Implémentation des contrôles Notre équipe aide à implémenter ce qui est nécessaire, bien fait du premier coup
Accompagnement SAQ Nous vous aidons à compléter le questionnaire avec précision
Support aux clarifications Nous assistons avec toutes les questions de suivi

Travailler avec un partenaire de services managés signifie que vous n'apprenez pas le questionnaire par essais et erreurs. Nous savons ce que les organismes de certification recherchent et pouvons aider à s'assurer que vos réponses sont précises, complètes et cohérentes.

Besoin d'aide pour préparer votre auto-évaluation ? Parlez à notre équipe

← PrécédentCyber Essentials vs Cyber Essentials Plus : lequel vous faut-il ?Suivant →Audit technique Cyber Essentials Plus : à quoi s'attendre
Retour aux guides Cyber Essentials