CIS Critical Security Controls

Aperçu

Les CIS Critical Security Controls (anciennement CIS Controls v6, désormais CIS Controls v8) constituent un ensemble priorisé de 18 actions de cybersécurité développé par le Center for Internet Security (CIS). Ils fournissent un ensemble concret et actionnable de bonnes pratiques que les organisations doivent mettre en œuvre pour se protéger contre les cyberattaques les plus courantes.

Contrairement aux cadres plus larges comme ISO 27001 ou NIST CSF, les CIS Controls sont axés sur l’implémentation — ils indiquent exactement quoi faire, et non simplement ce qu’il faut envisager.

Structure des CIS Controls v8

Les 18 contrôles sont organisés en 3 groupes d’implémentation :

IG1 (Fondamental — pour toutes les organisations)

|| # | Contrôle | Description | ||—|———|————-| || 1 | Inventaire et contrôle des actifs de l’entreprise | Gérer tous les appareils, logiciels et actifs de données | || 2 | Inventaire et contrôle des actifs logiciels | Suivre les logiciels autorisés ; empêcher l’installation non autorisée | || 3 | Protection des données | Protéger les données sensibles via le chiffrement, la DLP et les sauvegardes | || 4 | Configuration sécurisée des actifs de l’entreprise | Configurations durcies pour tous les appareils | || 5 | Gestion des comptes | Gérer les comptes utilisateurs, les accès privilégiés et la désactivation | || 6 | Gestion du contrôle d’accès | Appliquer le principe du moindre privilège et l’authentification multi-facteurs | || 7 | Gestion continue des vulnérabilités | Analyse et correction régulières des vulnérabilités | || 8 | Gestion des journaux d’audit | Journalisation centralisée, surveillance et conservation | || 9 | Protections email et navigateur | Anti-hameçonnage, sandboxing et durcissement du navigateur | || 10 | Défense contre les logiciels malveillants | Antivirus, liste blanche d’applications et détection sur les points de terminaison | || 11 | Récupération de données | Sauvegardes testées et procédures de reprise après sinistre | || 12 | Gestion de l’infrastructure réseau | Architecture réseau sécurisée et configuration | || 13 | Surveillance et défense du réseau | Surveillance du trafic réseau et détection d’intrusion |

IG2 (Organisationnel — pour les organisations plus grandes/complexes)

|| # | Contrôle | Description | ||—|———|————-| || 14 | Formation à la sensibilisation et aux compétences en sécurité | Formation en sécurité adaptée au rôle pour tout le personnel | || 15 | Gestion des fournisseurs de services | Exigences de sécurité pour les fournisseurs tiers | || 16 | Sécurité des logiciels applicatifs | SDLC sécurisé, examen de code et tests |

IG3 (Amélioré — pour les organisations à haut risque)

|| # | Contrôle | Description | ||—|———|————-| || 17 | Gestion de la réponse aux incidents | Plan d’intervention formel et équipe dédiée | || 18 | Tests de pénétration | Tests de sécurité offensifs réguliers |

Principes clés

  • Priorisé — tous les contrôles ne sont pas égaux ; l’IG1 fournit la base essentielle
  • Actionnable — chaque contrôle dispose de groupes d’implémentation et de sous-contrôles spécifiques
  • Mesurable — comprend des groupes d’implémentation pour suivre les progrès
  • Indépendant de la technologie — s’applique quels que soient les outils ou fournisseurs spécifiques

Relation avec d’autres cadres

  • NIST CSF — Les CIS Controls mappent aux catégories du NIST CSF ; les CIS sont plus prescriptifs
  • ISO 27001 — Les CIS Controls fournissent des directives d’implémentation pour les contrôles de l’annexe A d’ISO 27001
  • SOC 2 — Les CIS Controls aident à satisfaire les critères de services de confiance SOC 2

Références

  • CIS Controls v8 officiel
  • Aperçu des CIS Controls v8
  • technologies/security-frameworks/nist-csf.md | NIST Cybersecurity Framework — contexte de gestion des risques plus large
  • technologies/security-frameworks/iso-27001.md | ISO 27001 — norme de système de management