Points clés
| Point |
Résumé |
| Différence de périmètre |
ISO 27001 est complet (SMSI organisationnel) ; Cyber Essentials couvre 5 contrôles techniques |
| Complexité |
ISO 27001 prend 6-12 mois ; Cyber Essentials peut se faire en 1-2 semaines |
| Coût |
ISO 27001 : 10 000-50 000 €+ ; Cyber Essentials : 300-5 000 € |
| Reconnaissance |
ISO 27001 est international ; Cyber Essentials est focalisé UK |
| Contrats gouvernementaux |
Cyber Essentials souvent obligatoire pour le gouvernement UK ; ISO 27001 pour les contrats avec données sensibles |
Réponse rapide : Commencez par Cyber Essentials pour une sécurité baseline et l'éligibilité aux contrats gouvernementaux UK. Ajoutez l'ISO 27001 quand vous avez besoin de reconnaissance internationale, que des clients enterprise l'exigent, ou que vous voulez une gestion de sécurité complète. Beaucoup d'organisations UK détiennent les deux.
Comparaison rapide
| Aspect |
ISO 27001 |
Cyber Essentials |
Cyber Essentials Plus |
| Périmètre |
SMSI complet (93 contrôles dans l'Annexe A sous ISO/IEC 27001:2022) |
5 contrôles techniques |
5 contrôles techniques + vérification |
| Type d'évaluation |
Audit externe par organisme de certification |
Questionnaire d'auto-évaluation |
Audit technique indépendant |
| Timeline |
6-12 mois |
1-2 semaines |
2-4 semaines |
| Coût |
10 000-50 000 €+ |
300-500 € |
1 500-5 000 €+ |
| Validité |
3 ans (surveillance annuelle) |
12 mois |
12 mois |
| Reconnaissance |
Internationale |
Focalisée UK |
Focalisée UK |
| Complexité |
Élevée |
Faible |
Moyenne |
| Documentation |
Extensive (30+ politiques) |
Minimale |
Minimale |
| Idéal pour |
Clients enterprise, business international |
Contrats gouvernementaux UK, sécurité baseline |
Contrats UK à plus haute assurance |
*Les timelines varient selon la taille de l'entreprise, la complexité et la maturité sécurité initiale.
Qu'est-ce que l'ISO 27001 ?
L'ISO 27001 est une norme internationale pour les Systèmes de Management de la Sécurité de l'Information (SMSI). Elle fournit un framework complet pour gérer la sécurité de l'information dans toute une organisation.
Ce que couvre l'ISO 27001
| Domaine |
Exigences |
| Gestion des risques |
Évaluation et traitement systématique des risques |
| Politiques de sécurité |
30+ politiques et procédures documentées |
| Contrôle d'accès |
Gestion des accès utilisateurs, authentification |
| Cryptographie |
Politiques de chiffrement et gestion des clés |
| Sécurité physique |
Sécurité des locaux, protection des équipements |
| Sécurité des opérations |
Gestion des changements, protection contre les malwares |
| Sécurité des communications |
Sécurité réseau, transfert de données |
| Relations fournisseurs |
Gestion de la sécurité des tiers |
| Gestion des incidents |
Procédures de réponse aux incidents de sécurité |
| Continuité d'activité |
Planification et tests de recovery |
Processus de certification ISO 27001
| Phase |
Durée |
Activités |
| Gap analysis |
2-4 semaines |
Évaluer l'état actuel par rapport aux exigences ISO |
| Implémentation SMSI |
3-6 mois |
Construire politiques, procédures, contrôles |
| Audit interne |
2-4 semaines |
Auto-évaluation de l'efficacité du SMSI |
| Audit Stage 1 |
1-2 jours |
Revue documentaire par l'organisme de certification |
| Audit Stage 2 |
2-5 jours |
Audit de vérification de l'implémentation |
| Certification |
2-4 semaines |
Certificat émis |
| Audits de surveillance |
Annuellement |
Vérification continue de la conformité |
| Recertification |
Tous les 3 ans |
Cycle d'audit complet répété |
Qu'est-ce que Cyber Essentials ?
Cyber Essentials est un programme soutenu par le gouvernement britannique et supervisé par le National Cyber Security Centre (NCSC). Il se concentre sur cinq contrôles techniques fondamentaux qui protègent contre les cyberattaques courantes.
Les cinq contrôles techniques
| Contrôle |
Objectif |
| 1. Firewalls |
Protéger les périmètres réseau contre les accès non autorisés |
| 2. Configuration sécurisée |
Supprimer les logiciels inutiles, changer les défauts |
| 3. Gestion des mises à jour sécurité |
Garder logiciels et devices patchés |
| 4. Contrôle d'accès utilisateur |
Limiter l'accès aux utilisateurs autorisés |
| 5. Protection anti-malware |
Se défendre contre les logiciels malveillants |
Deux niveaux de certification
| Niveau |
Évaluation |
Coût |
Timeline |
| Cyber Essentials |
Questionnaire d'auto-évaluation revu par l'organisme de certification |
300-500 € |
1-2 semaines |
| Cyber Essentials Plus |
Audit technique incluant scans de vulnérabilités et tests de devices |
1 500-5 000 €+ |
2-4 semaines |
Comparaison de la profondeur de couverture
| Domaine sécurité |
ISO 27001 |
Cyber Essentials |
| Firewalls/sécurité réseau |
Complet |
Protection périmétrique basique |
| Configuration sécurisée |
Exigences de hardening détaillées |
Paramètres de base uniquement |
| Gestion des patchs |
Gestion du cycle de vie complet |
Fenêtre de patch critique 14 jours |
| Contrôle d'accès |
Role-based, accès privilégié, MFA |
Contrôles d'authentification basiques |
| Protection anti-malware |
Stratégie multicouche |
Exigence anti-malware |
| Gestion des risques |
Méthodologie formelle requise |
Non couvert |
| Réponse aux incidents |
Procédures détaillées requises |
Non couvert |
| Continuité d'activité |
Exigences PCA complètes |
Non couvert |
| Gestion des fournisseurs |
Évaluations sécurité des tiers |
Non couvert |
| Sécurité physique |
Sécurité des locaux et équipements |
Non couvert |
| Sécurité RH |
Vérifications antécédents, formation, départ |
Non couvert |
| Cryptographie |
Politiques de chiffrement, gestion des clés |
Non couvert |
| Surveillance compliance |
Audit et revue continus |
Recertification annuelle uniquement |
Quand choisir chaque certification
Choisissez Cyber Essentials si :
| Scénario |
Pourquoi Cyber Essentials |
| Contrats gouvernementaux UK |
Souvent obligatoire pour les contrats impliquant des données personnelles |
| Début de votre parcours sécurité |
Bonne baseline avant des frameworks plus complexes |
| Contraintes budgétaires |
Faible coût, implémentation rapide |
| PME avec besoins basiques |
Sécurité proportionnée pour les petites organisations |
| Certification rapide nécessaire |
Réalisable en 1-2 semaines |
| Avantages assurance |
Inclut une assurance cyber responsabilité (organisations éligibles) |
Choisissez ISO 27001 si :
| Scénario |
Pourquoi ISO 27001 |
| Business international |
Norme mondialement reconnue |
| Clients enterprise |
Souvent requis dans les RFP et questionnaires sécurité |
| Industries réglementées |
Exigence de base pour de nombreuses réglementations sectorielles |
| Traitement de données complexe |
Couverture complète pour les opérations sensibles |
| Différenciation concurrentielle |
Démontre une posture de sécurité mature |
| Plusieurs frameworks nécessaires |
Mappe bien vers SOC 2, RGPD, autres normes |
Choisissez les deux si :
| Scénario |
Pourquoi les deux |
| Gouvernement UK + enterprise |
Contrats gouvernementaux nécessitent CE ; enterprises veulent ISO |
| Secteur défense |
Exigent souvent les deux certifications |
| Fournisseurs NHS |
Peuvent exiger CE Plus et ISO 27001 |
| Couverture complète |
CE pour baseline, ISO pour gestion complète |
Comparaison des coûts
| Élément de coût |
Cyber Essentials |
Cyber Essentials Plus |
ISO 27001 |
| Frais certification/audit |
300-500 € |
1 500-5 000 € |
5 000-15 000 € |
| Support implémentation |
0-2 000 € |
0-3 000 € |
5 000-30 000 € |
| Temps ressources internes |
1-2 jours |
3-5 jours |
50-200+ jours |
| Coûts outils/logiciels |
0-500 € |
0-1 000 € |
2 000-10 000 €+ |
| Maintenance annuelle |
300-500 € |
1 500-5 000 € |
5 000-15 000 € |
| Total Année 1 |
300-3 000 € |
1 500-9 000 € |
15 000-70 000 €+ |
Comparaison des timelines
| Phase |
Cyber Essentials |
Cyber Essentials Plus |
ISO 27001 |
| Préparation |
1-3 jours |
1-2 semaines |
1-3 mois |
| Implémentation |
1-5 jours |
1-2 semaines |
3-6 mois |
| Évaluation/audit |
1 jour |
1-3 jours |
1-2 semaines |
| Certification |
1-3 jours |
1-5 jours |
2-4 semaines |
| Total |
1-2 semaines |
2-4 semaines |
6-12 mois |
*Les timelines varient selon la taille de l'entreprise, la complexité et la maturité sécurité initiale.
Mapping entre les frameworks
Les contrôles ISO/IEC 27001:2022 qui satisfont les exigences Cyber Essentials :
| Contrôle Cyber Essentials |
Contrôles Annexe A ISO 27001:2022 |
| Firewalls |
8.20 Sécurité réseaux, 8.21 Sécurité des services réseau |
| Configuration sécurisée |
8.9 Gestion de configuration, 8.19 Installation de logiciels sur systèmes opérationnels |
| Mises à jour sécurité |
8.8 Gestion des vulnérabilités techniques |
| Contrôle d'accès utilisateur |
5.15-5.18 Contrôle d'accès, Gestion des identités, Information d'authentification, Droits d'accès ; 8.2 Droits d'accès privilégiés |
| Protection anti-malware |
8.7 Protection contre les malwares |
Point clé : Si vous avez l'ISO 27001, obtenir Cyber Essentials est simple car vous avez déjà les contrôles techniques en place.
Exigences des contrats gouvernementaux UK
| Type de contrat |
Exigence typique |
| Contrats gouvernementaux standards |
Cyber Essentials (basique) |
| Contrats avec données personnelles |
Cyber Essentials requis |
| Supply chain MOD |
Cyber Essentials Plus souvent requis |
| Processeurs de données NHS |
Cyber Essentials Plus + DSPT |
| Données gouvernementales sensibles |
ISO 27001 + Cyber Essentials Plus |
| Infrastructure nationale critique |
ISO 27001 minimum |
Questions courantes
Si j'ai l'ISO 27001, ai-je encore besoin de Cyber Essentials ?
Techniquement non. L'ISO 27001 couvre plus que Cyber Essentials. Cependant :
- Les contrats gouvernementaux UK peuvent spécifiquement exiger la certification Cyber Essentials
- Cyber Essentials est rapide et peu coûteux à obtenir si vous avez déjà l'ISO 27001
- Avoir les deux montre la conformité aux normes UK spécifiques et internationales
Cyber Essentials aide-t-il vers l'ISO 27001 ?
Oui, mais de façon limitée. Cyber Essentials couvre environ 5-10% des exigences ISO 27001. Les contrôles techniques que vous implémentez pour Cyber Essentials compteront vers l'ISO 27001, mais vous aurez besoin d'un travail supplémentaire significatif pour le SMSI complet.
Puis-je faire les deux simultanément ?
Oui, et c'est efficace si vous avez besoin des deux :
- Implémenter les contrôles ISO 27001 (qui incluent les exigences Cyber Essentials)
- Obtenir la certification Cyber Essentials tôt (quick win)
- Continuer l'implémentation ISO 27001
- Passer à Cyber Essentials Plus quand prêt
- Compléter la certification ISO 27001
Lequel est plus difficile à maintenir ?
L'ISO 27001 nécessite significativement plus d'effort continu :
| Activité de maintenance |
Cyber Essentials |
ISO 27001 |
| Audit annuel |
Auto-évaluation |
Audit de surveillance externe |
| Mises à jour documentation |
Minimales |
Continues |
| Audits internes |
Non requis |
Requis annuellement |
| Revue de direction |
Non requise |
Requise périodiquement |
| Évaluation des risques |
Non requise |
Processus continu |
Le parcours de progression
Pour beaucoup d'organisations UK, la progression naturelle est :
| Étape |
Certification |
Objectif |
| 1. Fondation |
Cyber Essentials |
Établir la sécurité baseline, éligibilité gouvernementale |
| 2. Vérification |
Cyber Essentials Plus |
Prouver que les contrôles fonctionnent (audit technique) |
| 3. Complet |
ISO 27001 |
Système de management de la sécurité complet |
| 4. Continu |
Les deux maintenus |
Assurance maximale et éligibilité contrats |
L'avantage Bastion
Gérer les certifications UK aux côtés des normes internationales est complexe. Bastion simplifie le processus :
| Défi |
Solution Bastion |
| Plusieurs frameworks |
Mapping unifié des contrôles à travers CE et ISO 27001 |
| Gap analysis |
Identifier ce qui est nécessaire pour chaque certification |
| Collecte de preuves |
Preuves automatisées pour les deux frameworks |
| Préparation audit |
Évaluations de préparation avant certification |
| Compliance continue |
Surveillance continue pour les deux certifications |
Besoin d'aide pour décider quelle certification UK poursuivre ? Parlez à notre équipe →
Sources
