Contrôles CIS
CIS (Center for Internet Security)
Le CIS (Center for Internet Security) est une organisation américaine qui s'efforce de mettre de l'ordre dans la jungle des menaces et des mesures de protection en matière de sécurité informatique. Pour ce faire, elle a créé un ensemble de mesures comportant un certain nombre de points de contrôle appelés "CIS Controls". L'objectif est d'aider les entreprises et les organisations à hiérarchiser leurs mesures de sécurité et à créer un cyberenvironnement sûr pour elles-mêmes et leurs coacteurs. Ces points de contrôle ont été élaborés par des experts en sécurité informatique du monde entier.
Contexte
Les origines du CIS proviennent d'un institut appelé SANS (SysAdmin, Audit, Network and Security) qui a été fondé en 1989. Cet institut, ainsi que le FBI, est à l'origine des contrôles CIS, qui ont été développés depuis 2001. Des experts internationaux en sécurité informatique révisent chaque année les points de contrôle et s'assurent qu'ils sont constamment à jour et suivent l'évolution rapide du domaine de la sécurité informatique.
Dernière mise à jour
La dernière mise à jour, la version 8, date de mai 2021.
Dans cette version, les 20 points de contrôle précédents sont devenus 18. Grâce à ces 18 points de contrôle, les organisations, selon une sorte d'ordre de priorité, devraient pouvoir examiner et mettre à jour leur statut de sécurité dans le domaine cybernétique. Pour chaque point de contrôle, il existe des guides sous forme de textes et d'illustrations graphiques.
Liste des 18 points de contrôle avec de brèves explications :
Contrôle 1. Inventaire et contrôle des actifs de l'entreprise
Veillez à ce que seuls les équipements sûrs soient accessibles. Les accessoires non sûrs qui sont détectés doivent être protégés.
Contrôle 2. Inventaire et contrôle des actifs logiciels
Vérifier tous les logiciels du système et de l'intranet et s'assurer que seuls les logiciels autorisés sont conservés.
Contrôle 3. Protection des données
Créer des systèmes de protection efficaces qui empêchent les intrus d'accéder aux données importantes.
Contrôle 4. Configuration sécurisée des actifs et des logiciels de l'entreprise
Configuration sécurisée de tous les dispositifs et logiciels informatiques. S'applique par exemple aux appareils mobiles, aux ordinateurs portables, aux stations de travail, aux serveurs, aux pare-feu et aux routeurs.
Contrôle 5. Gestion des comptes
Les comptes utilisateurs adaptés à des tâches spécifiques doivent être protégés par un mot de passe et l'accès doit être géré par un administrateur responsable.
Contrôle 6. Gestion du contrôle d'accès
Les données sensibles doivent être protégées contre tout accès non autorisé. Créez des privilèges d'administrateur avec un accès basé sur les besoins et le cryptage.
Contrôle 7. Gestion continue des vulnérabilités
Examen continu des vulnérabilités. Vérifiez en permanence les failles de sécurité et protégez-vous contre d'éventuelles attaques.
Contrôle 8. Audit de la Gestion des Logs
Surveillez et analysez les logs et les historiques pour détecter toute défaillance et simplifier la récupération du système après une attaque.
Contrôle 9. Protection des courriels et des navigateurs Web
Grâce à ces voies de contact avec le monde extérieur, les intrus peuvent s'infiltrer dans les systèmes informatiques. Protégez ces nœuds pour éviter les attaques.
Contrôle 10. Défense contre les logiciels malveillants
Les logiciels malveillants peuvent contenir des virus, des vers, des chevaux de Troie ou d'autres logiciels malveillants. Établissez une protection contre ceux-ci.
Contrôle 11. Restauration des données
Sauvegardez toutes les données dans des fichiers de sauvegarde. Assurez-vous de détecter les attaques à temps. Restaurez les informations modifiées.
Contrôle 12. Gestion de l'infrastructure du réseau
Détecter et corriger les vulnérabilités de sécurité dans les dispositifs de réseau afin de prévenir les attaques sur ces dispositifs.
Contrôle 13. Surveillance et défense des réseaux
Gérer les processus et les outils de surveillance du réseau et les mesures de protection de l'infrastructure du réseau.
Contrôle 14. Sensibilisation à la sécurité et formations
Formation pour améliorer les connaissances et sensibiliser le personnel de l'organisation à la sécurité. Élaborer un plan de sécurité.
Contrôle 15. Gestion des fournisseurs de services
Vérifiez la sensibilisation à la sécurité des prestataires de services qui traitent les données sensibles de l'organisation. Assurez-vous que ces prestataires les protègent.
Contrôle 16. Sécurité des applications
Vérifiez la sensibilisation à la sécurité des prestataires de services qui traitent les données sensibles de l'organisation. Assurez-vous que ces prestataires les protègent.
Contrôle 17. Gestion de la réponse aux incidents
Établir un programme pour former et préparer les employés de l'organisation à détecter les attaques et à y répondre.
Contrôle 18. Test d'intrusion
Tester la capacité des employés de l'organisation et de ses processus et technologies à détecter les vulnérabilités des systèmes, en simulant des attaques.
Utilisé par des organisations du monde entier
Les contrôles CIS sont utilisés par des entreprises et des organisations du monde entier et sont recommandés par les principaux experts en cybersécurité. Ces experts peuvent également aider les organisations à s'orienter dans ce cadre réglementaire complet.
Le programme d'action complet peut être téléchargé sur le site web du CIS www.cisecurity.org