Cyber Essentials vs Cyber Essentials Plus : quelle différence et laquelle choisir ?
Votre client grand compte vient de vous envoyer un questionnaire fournisseur de 87 pages. À la ligne 14, une case à cocher innocente : « Cyber Essentials ou Cyber Essentials Plus ? ». Vous cochez la première, parce que c'est moins cher, parce que votre comptable vous l'a recommandée l'an dernier, parce que personne n'a jamais vraiment expliqué la différence. Trois semaines plus tard, vous apprenez que le contrat de 180 000 £ est parti chez un concurrent. Motif officiel : « niveau d'assurance insuffisant ». Cette histoire, 67 % des fournisseurs l'ont vécue en 2024 selon Marsh McLennan — perdre un contrat pour une case mal cochée sur une certification mal comprise.
Le problème n'est pas que Cyber Essentials soit complexe. Le problème, c'est que les deux niveaux portent presque le même nom, coûtent le prix d'une journée d'avocat d'écart, et ouvrent des portes radicalement différentes. Cet article tranche la question en termes business : quel niveau pour quel contrat, combien de temps de préparation, et pourquoi une PME sur trois (BizTech Magazine, 2024) finit par payer deux fois.
Cyber Essentials ou Cyber Essentials Plus : qu'est-ce qui les distingue vraiment ?
Les deux certifications reposent sur le même socle de cinq contrôles techniques définis par le National Cyber Security Centre : pare-feu, configuration sécurisée, contrôle d'accès, protection anti-malware, et gestion des correctifs. Ce qui change, c'est la méthode de vérification. Cyber Essentials (niveau 1) est une auto-évaluation déclarative : vous remplissez un questionnaire, un directeur signe, un organisme accrédité valide sur pièces. Tout repose sur votre bonne foi. Cyber Essentials Plus (niveau 2) ajoute un audit technique externe : un auditeur teste vos postes, vos serveurs, vos accès distants, et lance des scans de vulnérabilités réels. Vous ne dites plus que vos contrôles fonctionnent — vous le prouvez.
Cette distinction paraît mineure sur le papier. Elle devient décisive quand un acheteur public vous demande une « assurance indépendante » ou qu'un assureur cyber examine votre dossier. D'ailleurs, 41 % des demandes d'assurance cyber sont refusées selon MoneyGeek, souvent faute de preuves techniques vérifiables. Pour approfondir le socle réglementaire britannique, notre guide Cyber Essentials 2026 détaille les cinq contrôles ligne par ligne.
Quelle certification est exigée pour les contrats publics au Royaume-Uni ?
Voici la règle que personne ne vous explique clairement. Depuis 2014, tous les contrats de la fonction publique britannique impliquant des données personnelles sensibles ou des informations techniques du gouvernement exigent au minimum Cyber Essentials. C'est le plancher, pas le plafond. Dès que le marché porte sur des données classifiées OFFICIAL-SENSITIVE, des infrastructures critiques, ou des services aux forces armées et au NHS pour certains lots, c'est Cyber Essentials Plus qui est exigé — et souvent combiné avec ISO 27001 pour les montants au-delà de 500 000 £.
Dans les faits, un nombre croissant de donneurs d'ordre publics britanniques remontent la barre. Les Crown Commercial Service frameworks type G-Cloud 14, DOS 6 ou le Cyber Security Services 3 exigent désormais Plus pour entrer sur plusieurs lots. Si vous visez des contrats supérieurs à 50 000 £ dans la santé, la défense ou la justice, considérez que Plus n'est plus optionnel mais une condition d'éligibilité. Testez votre posture réelle avec notre quiz Cybersécurité avant de vous engager dans la mauvaise démarche.
Supply chain privée : faut-il vraiment aller jusqu'au Plus ?
La réponse dépend de qui sont vos clients. Pour une PME qui vend à d'autres PME, Cyber Essentials suffit dans 80 % des cas — c'est le signal minimum que vous prenez la sécurité au sérieux. En revanche, dès que vous entrez dans la chaîne d'approvisionnement d'un grand compte coté ou régulé (banque, énergie, pharma, défense), le questionnaire fournisseur vous demandera systématiquement Plus, et de plus en plus souvent une attestation ISO 27001 en parallèle. Les cyberattaques ont bondi de 49 % au premier semestre 2025 selon Identity Week, et les acheteurs ne veulent plus prendre le risque d'un maillon faible.
Photo : Tom Fisk / Pexels
Le calcul est simple : si 30 % de votre chiffre d'affaires vient de deux ou trois grands comptes, Plus devient un investissement de rétention, pas de conformité. Nous détaillons ce mécanisme dans notre analyse du risque cyber chaîne d'approvisionnement, qui explique pourquoi vos fournisseurs deviennent eux-mêmes le maillon le plus scruté.
Combien coûte chaque niveau, et comment comparer à l'addition cachée du MSP ?
Les frais officiels du NCSC sont publics. Cyber Essentials coûte entre 300 £ et 500 £ selon la taille de l'entreprise (cinq paliers, de 0 à 249 employés). Cyber Essentials Plus varie de 1 500 £ à 6 000 £ selon votre infrastructure, parce que l'auditeur facture le temps de test technique. Remettez ces montants en perspective : un MSP traditionnel vous facture entre 100 et 250 € par utilisateur et par mois — soit 60 000 à 150 000 € par an pour 50 salariés. Le coût d'une certification Plus représente donc deux à six semaines de MSP. Et le coût moyen d'un incident cyber, lui, atteint 345 000 $ selon Atlantic Digital.
| Critère | Cyber Essentials | Cyber Essentials Plus |
|---|---|---|
| Coût officiel | 300-500 £ | 1 500-6 000 £ |
| Méthode | Auto-évaluation | Audit technique externe |
| Validité | 12 mois | 12 mois |
| Préparation typique | 3-6 semaines | 8-14 semaines |
| Contrats publics basiques | Oui | Oui |
| Contrats sensibles (NHS, défense) | Non | Oui |
| Supply chain grand compte | Parfois | Souvent exigé |
| Couverture assurance cyber | Partielle | Renforcée |
Notre calculateur de coûts IT vous permet de projeter l'économie réelle sur 36 mois.
Pourquoi la préparation échoue dans 6 cas sur 10 ?
Le taux d'échec au premier passage de Cyber Essentials Plus dépasse 60 % en 2025, principalement sur trois points : correctifs en retard de plus de 14 jours, comptes administrateurs partagés, et MFA absent sur les services cloud. Ces trois éléments ne sont pas des failles techniques complexes — ce sont des dérives opérationnelles. Une mise à jour oubliée, un compte « admin-marketing » créé il y a deux ans et jamais désactivé, un SharePoint ouvert sans double authentification. Le NCSC ne teste pas votre intention, il teste votre discipline d'exécution.
C'est précisément là que 80 % des TPE-PME sont prises au dépourvu selon Cybermalveillance 2025. Les dirigeants pensent avoir « l'informatique sous contrôle » parce que rien n'a explosé récemment, puis l'audit révèle 340 vulnérabilités critiques et 47 postes non conformes. Avant de lancer la démarche officielle, notre checklist Cybersécurité recense les 12 points que 95 % des auditeurs vérifient en priorité — vous saurez en vingt minutes si vous êtes réellement prêt ou si vous payez pour échouer.
Les outils de pré-évaluation automatisés font-ils vraiment gagner du temps ?
Oui, et la donnée est mesurable. Une préparation manuelle classique à Cyber Essentials Plus mobilise un responsable IT à mi-temps pendant 8 à 14 semaines — revue des postes, inventaire logiciel, vérification des correctifs, collecte de preuves, rédaction des politiques. À 4 500 € chargés mensuels, c'est entre 18 000 et 31 000 € de coût humain caché, avant même de payer l'auditeur. Les solutions de pré-évaluation automatisées ramènent cette phase à 30 jours avec un premier rapport de posture en 48 heures et une connexion initiale de 45 minutes.
Photo : Lukas / Pexels
Le principe : votre conformité est le sous-produit naturel de votre bonne gestion IT. Les contrôles techniques sont surveillés en continu, les écarts remontés immédiatement, les preuves collectées automatiquement pour l'auditeur. Comparé aux plateformes type Vanta ou Drata facturées 7 500 à 50 000 € par an et souvent taillées pour SOC 2, un agent IT-conformité intégré traite les deux sujets en un seul flux. Nous avons détaillé la comparaison dans Vanta vs Drata vs Fusion AI.
Faut-il passer directement à Plus ou faire les deux étapes ?
Recommandation pragmatique : si votre pipeline commercial contient au moins un contrat de plus de 100 000 £ exigeant Plus dans les 12 mois, visez Plus directement. Vous paierez la certification une seule fois, vous éviterez la double charge administrative, et vous pourrez mentionner le niveau supérieur dans toutes vos propositions intermédiaires. À l'inverse, si vous cherchez d'abord à débloquer des appels d'offres publics standard ou à rassurer quelques clients PME, commencer par Cyber Essentials en Année 1 puis basculer vers Plus en Année 2 reste une trajectoire raisonnable — à condition de ne pas laisser vos contrôles se dégrader entre les deux.
Le piège à éviter : obtenir Cyber Essentials, ranger le certificat, et reprendre les mauvaises habitudes. La conformité n'est pas un trophée annuel, c'est un état opérationnel continu. Et si vous êtes aussi concerné par le marché européen, notre guide NIS2 pour les PME explique pourquoi les contrôles Cyber Essentials Plus couvrent déjà 70 % des exigences NIS2 — vous travaillez une fois, vous êtes conforme deux fois.
Quels sont les délais réalistes entre décision et certification ?
Comptez environ 4 à 6 semaines pour Cyber Essentials niveau 1 si votre parc est déjà propre, jusqu'à 10 semaines s'il faut aligner correctifs, MFA et configurations de base. Pour Plus, le calendrier réaliste est de 10 à 14 semaines : 4 à 6 semaines de remédiation, 2 semaines de collecte de preuves, 2 à 3 semaines d'audit technique, 1 à 2 semaines de correction post-audit. Les entreprises qui démarrent avec un outil de pré-évaluation automatisé ramènent ce cycle à 30 jours en moyenne, parce que les écarts sont identifiés dès la première connexion plutôt qu'après la visite de l'auditeur.
Le coût de l'attente est rarement calculé. Un contrat public perdu représente facilement 6 à 18 mois de chiffre d'affaires récurrent. À l'échelle du marché britannique où 64 % des PME européennes ignorent encore la portée des nouvelles réglementations, les entreprises qui se certifient les premières captent mécaniquement la demande. Vous pouvez aussi calibrer votre stratégie multi-référentiels avec notre guide ISO 27001, NIS2, Cyber Essentials : pourquoi pas trois projets séparés — la mutualisation des contrôles divise le coût total par deux.
Et après la certification, qu'est-ce qui change vraiment ?
Une fois certifié, trois choses évoluent concrètement. Un : vous apparaissez sur le registre public IASME, ce qui génère un flux entrant de demandes commerciales — plusieurs centaines d'acheteurs utilisent ce registre pour filtrer leur short-list. Deux : vos questionnaires fournisseurs passent de 90 à 20 minutes parce que la plupart des questions techniques deviennent caduques, l'attestation suffit. Trois : votre prime d'assurance cyber baisse généralement de 15 à 30 %, et surtout votre dossier n'est plus dans les 41 % refusés. Vous pouvez enfin dormir tranquille parce que la preuve de posture n'est plus une improvisation mensuelle.
Ce qui ne change pas : la discipline opérationnelle quotidienne. Le certificat est valable 12 mois, mais la surveillance des correctifs, des accès, des sauvegardes doit tourner en continu. C'est le rôle d'un agent IT-conformité intégré : transformer la conformité en sous-produit naturel de votre exploitation plutôt qu'en course annuelle contre la montre. Vous pouvez maintenir sereinement votre posture sans embaucher, sans multiplier les prestataires, et sans redécouvrir des écarts la veille du renouvellement.
Par où commencer concrètement cette semaine ?
Ne lancez pas la démarche officielle avant d'avoir mesuré votre écart réel. 73 % des entreprises qui échouent au premier passage auraient pu éviter le refus avec une pré-évaluation de 48 heures. Notre scan de sécurité gratuit connecte vos systèmes en 45 minutes, produit un premier rapport de posture en 48 heures, et vous dit avec quels contrôles vous êtes déjà Cyber Essentials Plus — et lesquels coûteront combien à corriger. Vous saurez, chiffres à l'appui, si vous êtes à trois semaines ou à trois mois de la certification.
Le coût de l'inaction est connu : 345 000 $ par incident en moyenne, un contrat public sur deux inaccessible, 41 % des demandes d'assurance refusées, et une loi Cyber Resilience britannique attendue mi-2026 qui concernera 15 000 à 18 000 entités supplémentaires. Le coût de l'action, lui, se mesure en heures, pas en mois. Lancez votre scan gratuit maintenant et obtenez votre diagnostic Cyber Essentials en 48 heures — sans engagement, sans carte bancaire, avec un plan de remédiation chiffré à la clé.