Qu’est-ce que Cyber Essentials ?
Cyber Essentials est un programme de certification soutenu par le gouvernement, conçu pour aider les organisations à atténuer les risques des cyberattaques les plus courantes. Il existe deux niveaux de certification :
- Cyber Essentials
- Cyber Essentials Plus
Le premier niveau est une auto-évaluation visant à vérifier que vous disposez des défenses nécessaires pour vous protéger contre les cyberattaques. Le second niveau, Cyber Essentials Plus, implique un audit au cours duquel un analyste en sécurité de l'information vérifie la mise en place de tous les contrôles techniques. Cette vérification s'effectue à l'aide de mesures telles que des analyses internes et externes, ainsi que le partage d'écran sur un échantillon d'appareils, afin que l'évaluateur puisse s'assurer de leur configuration correcte. Ces deux certifications sont valables un an et doivent donc être renouvelées annuellement. Cependant, une fois que vous aurez mis en place toutes les politiques et tous les contrôles nécessaires, le renouvellement de la certification aux deux niveaux sera beaucoup plus simple.
Après avoir obtenu notre accréditation, nous pouvons garantir à nos clients une sécurité optimale de leurs données. Nous figurons désormais parmi les 1 % d'entreprises certifiées Cyber Essentials Plus, ce qui facilite grandement leur choix de nous faire confiance.
Nous envisagions l'accréditation Lexcel (nous y reviendrons bientôt !) et l'une des conditions requises est d'avoir pris en compte l'accréditation Cyber Essentials. Notre raisonnement était simple : « Pourquoi pas ? » Nous étions déjà confiants en notre cybersécurité et pensions que les coûts liés à cette accréditation seraient justifiés par la crédibilité supplémentaire qu'elle apporterait, notamment auprès de nos clients professionnels. En effet, aujourd'hui, la sécurité des données est l'un des premiers critères de choix. Le 30mars 2022, le gouvernement a annoncé que son enquête révélait qu'au cours des 12 mois précédents, 39 % des entreprises britanniques avaient subi une cyberattaque, démontrant ainsi la gravité de la situation.
Qu'avons-nous appris ?
Franchement, nous avons sous-estimé le travail nécessaire pour satisfaire aux critères et réussir l'auto-évaluation du processus Cyber Essentials. Cela dit, nous sommes ravis d'avoir réalisé cet exercice, car il nous a obligés à examiner des aspects de notre sécurité que nous avions peut-être négligés auparavant. Sans entrer dans les détails techniques (même si vous devrez maîtriser des aspects bien plus techniques que vous ne l'imaginez si vous souhaitez réaliser ce processus vous-même !), nous avons désormais mis en place des contrôles qui nous permettent d'avoir l'assurance que nos réseaux sont configurés de manière sécurisée et que tous les appareils et logiciels téléchargent automatiquement les mises à jour de sécurité et analysent tous les téléchargements à la recherche de logiciels malveillants.
Quels changements nécessaires n'avions-nous pas anticipés ? L'un d'eux était l'obligation d'activer l'authentification multifacteurs non seulement pour notre serveur de bureau à distance, mais aussi pour tous les services cloud que nous administrons et qui nous donnent accès aux données de l'organisation. C'est particulièrement important car cela bloque 99,9 % des piratages de comptes. Une autre mesure utile consiste à modifier les paramètres de votre navigateur afin qu'il demande où enregistrer chaque fichier avant de le télécharger ; cela permet à l'utilisateur final d'annuler tout téléchargement s'il le soupçonne d'être un logiciel malveillant.
Est-ce que ça vaut le coup pour vous ?
Je recommande vivement Cyber Essentials Plus à toutes les entreprises : non seulement nous nous sentons beaucoup plus en sécurité après avoir suivi cette procédure, mais nous sommes également convaincus que le renouvellement de l’accréditation l’année prochaine sera beaucoup plus facile grâce à une meilleure compréhension des exigences.
