Image de conformité GRC - Solutions Continuum GRC pour la cybersécurité et l'audit Cybersécurité alimentée par l'IA 2025 Zero Trust Protection contre les rançongiciels Sécurité de la chaîne d'approvisionnement Conformité réglementaire Résilience opérationnelle

Contrôles de sécurité critiques CIS (CIS)

Les contrôles de sécurité critiques CIS (contrôles CIS) sont un ensemble prescriptif, hiérarchisé et simplifié de bonnes pratiques que vous pouvez utiliser pour renforcer votre posture de cybersécurité.

Les modules comprennent:

  • Contrôles de sécurité critiques CIS (CIS)

Références et conformité CIS

Le Center for Internet Security (CIS) a établi des lignes directrices pour détecter, prévenir et traiter les vulnérabilités en matière de sécurité informatique. Ces normes et exigences réglementaires ont été définies par un consensus mondial d'experts en sécurité, dédiés à l'amélioration de la cybersécurité.

Ces critères s'appliquent à des éléments tels que les systèmes d'exploitation, les périphériques réseau, les plateformes cloud, les logiciels serveur et les applications. Le Center for Internet Security reconnaît la nécessité de rester vigilant face aux menaces émergentes ; ces contrôles CIS contribuent à protéger les données sensibles.

La mise en conformité avec ces contrôles CIS fiables est adaptable aux organisations de toutes tailles et de tous types, avec une tolérance au risque de tous niveaux.

Avantages et soutien de l'atteinte des repères CIS

Les normes mondialement reconnues des benchmarks CIS améliorent votre sécurité globale, simplifiant la mise en place et la gestion de configurations réseau sécurisées. Cela réduit le risque de violation de données et renforce le système dans son ensemble. 

Les benchmarks CIS sont continuellement mis à jour par une communauté d'experts qui surveillent les nouvelles cybermenaces et technologies ; vous serez ainsi informé de leurs connaissances et pourrez vous adapter en conséquence. Cette documentation gratuite est un moyen économique de réduire votre exposition aux menaces (un atout si votre organisation est à but non lucratif). De plus, ces benchmarks CIS sont conformes aux réglementations NIST, HIPAA, etc.

QFP 

Il s'agit d'une évaluation indépendante de votre organisation et de la conformité de sa posture de sécurité aux normes et bonnes pratiques établies par le Center for Internet Security. Une visite sur site sera effectuée et les dossiers, politiques et procédures relatifs à vos contrôles et configurations de sécurité seront examinés. Des entretiens, des listes de contrôle et des questionnaires seront utilisés.

Toute organisation souhaitant renforcer sa sécurité bénéficiera d'un audit basé sur les critères de référence CIS. Ces contrôles sont flexibles et évolutifs. Pour celles qui doivent se conformer à des réglementations telles que la HIPAA ou Service PCI DSS , ou ceux contractuellement obligés de respecter certaines normes de cybersécurité, un audit CSI est utile pour démontrer la conformité. 

Un minimum d'un audit par an est recommandé pour maintenir les meilleures pratiques. Cependant, en fonction des menaces et des technologies de cybersécurité actuelles ou en constante évolution, des audits plus fréquents peuvent être nécessaires. Si votre organisation a modifié son infrastructure informatique ou traite des données extrêmement sensibles, envisagez de réaliser des audits trimestriels ou mensuels.

Ce guide pratique vous guide dans la mise en œuvre des contrôles de sécurité recommandés par le CIS. Il aide les organisations à hiérarchiser leurs appareils, réseaux et autres éléments critiques et à renforcer leur sécurité face aux cybermenaces. Il simplifie ce processus souvent complexe grâce à des contrôles étape par étape pour garantir la conformité et la sécurité à tous les niveaux de l'entreprise.

Les contrôles CIS sont conformes à de nombreuses exigences de sécurité imposées par les organisations publiques et privées. Conçu pour sécuriser vos systèmes informatiques et vos données, ce cadre aide votre entreprise à se conformer aux exigences spécifiques du NIST et de la loi HIPAA. La conformité CIS fournit les preuves nécessaires à d'autres types d'audits.

Qu'attendez-vous?

Vous n’êtes qu’à une conversation de mettre la puissance de Continuum GRC à votre service. 

Contactez-nous en utilisant le formulaire ci-dessous ou en nous appelant au 1-888-896-6207 pour une assistance immédiate.

Téléchargez notre brochure d'entreprise.

À propos de cette norme

Le Contrôles de sécurité critiques CIS (contrôles CIS), Mis au point par le Centre pour la sécurité Internet (CIS), est un ensemble de bonnes pratiques de cybersécurité priorisées, conçu pour aider les organisations à protéger leurs systèmes et leurs données contre les cybermenaces. Ce cadre est largement adopté à l'échelle mondiale par des organisations de toutes tailles pour améliorer leur cybersécurité et se conformer à diverses normes réglementaires. Vous trouverez ci-dessous un aperçu de la conformité des contrôles CIS, en mettant l'accent sur leur structure, leur objectif et leurs exigences de mise en œuvre.

Objectif des contrôles CIS

Les contrôles CIS visent à :

  • Proposer une cadre prioritaire et exploitable pour atténuer les cybermenaces les plus courantes, telles que les logiciels malveillants, les rançongiciels et les attaques internes.
  • Simplifiez la cybersécurité en vous concentrant sur un ensemble de contrôles gérables qui offrent une réduction des risques à fort impact.
  • Aligner avec cadres réglementaires et de conformité comme NIST 800-53, ISO 27001, PCI DSS et GDPR, permettant aux organisations de répondre efficacement à de multiples exigences de conformité.
  • Soutenir les organisations dans la construction d'un programme de cybersécurité défendable qui soit pratique, évolutif et adaptable à l’évolution des menaces.

Principales caractéristiques des contrôles CIS

  1. Structure et portée:
    • La version actuelle, Contrôles CIS v8 (sorti en mai 2021), comprend 18 Commandes organisé en trois groupes de mise en œuvre (GI) en fonction de la taille de l'organisation, des ressources et du profil de risque :
      • IG1:Hygiène de base en matière de cybersécurité pour les petites organisations ou celles disposant de ressources limitées.
      • IG2:S'appuie sur IG1 pour les organisations disposant de ressources et d'une exposition au risque modérées.
      • IG3:Contrôles avancés pour les organisations disposant de ressources importantes et d'environnements à haut risque.
    • Chaque contrôle contient des informations spécifiques Sauvegardes (153 au total dans la version 8) qui décrivent les étapes réalisables pour atteindre les objectifs de sécurité.
    • Les contrôles couvrent des domaines tels que la gestion des stocks, le contrôle d’accès, la protection des données, la réponse aux incidents et la formation à la sensibilisation à la sécurité.
  2. Commandes clés (Exemples de CIS Controls v8) :
    • Contrôle 1 : Inventaire et contrôle des actifs de l'entreprise – Suivre et gérer tous les actifs matériels.
    • Contrôle 3 : Protection des données – Protégez les données sensibles grâce au cryptage, aux contrôles d’accès et à la prévention des pertes de données.
    • Contrôle 5 : Gestion des comptes – Mettre en œuvre le principe du moindre privilège et une authentification forte.
    • Contrôle 14 : Formation à la sensibilisation et aux compétences en matière de sécurité – Sensibiliser les employés à la réduction des risques liés aux humains.
    • Contrôle 17 : Gestion de la réponse aux incidents – Établir des processus pour détecter, répondre et récupérer des incidents.
  3. Alignement avec les normes:
    • Les contrôles CIS correspondent à des cadres tels que Cadre de cybersécurité du NIST (CSF), ISO 27001, PCI DSS, HIPAA et GDPR, permettant aux organisations d’utiliser les contrôles CIS comme base de conformité.
    • Les cartographies sont fournies par le CIS pour rationaliser les audits et démontrer la conformité aux exigences réglementaires.
  4. Audit et évaluation:
    • Les organisations peuvent utiliser le Module d'évaluation des contrôles CIS (CIS-CAT) pour évaluer la conformité aux contrôles et aux garanties.
    • Il n’existe pas de certification formelle, mais les organisations peuvent se soumettre à des auto-évaluations ou à des audits par des tiers pour valider la mise en œuvre.
    • Les contrôles CIS sont conçus pour être mesurables, avec des indicateurs clairs pour suivre les progrès et l’efficacité.

Les exigences de conformité

Pour mettre en œuvre et maintenir la conformité aux contrôles CIS, les organisations doivent :

  • Sélectionnez le groupe de mise en œuvre approprié:
    • Commencez par IG1 pour l’hygiène de base, puis passez à IG2 ou IG3 en fonction du risque et des ressources.
  • Mettre en œuvre des garanties:
    • Déployez des mesures techniques et procédurales pour chaque contrôle, telles que des pare-feu, une protection des points de terminaison et des contrôles d’accès.
    • Adaptez les mesures de protection à l’environnement de l’organisation, en vous concentrant sur les risques hautement prioritaires.
  • Effectuer des évaluations régulières:
    • Utilisez des outils tels que CIS-CAT ou des audits manuels pour évaluer l’efficacité du contrôle.
    • Effectuer des analyses des écarts pour identifier et combler les lacunes.
  • Surveiller et mettre à jour:
    • Surveillez en permanence la conformité des systèmes et mettez à jour les contrôles pour faire face aux nouvelles menaces ou aux changements réglementaires.
  • Processus documentaires:
    • Conserver la documentation relative aux politiques, aux procédures et aux preuves de mise en œuvre des contrôles pour appuyer les audits.

Contrôles CIS en pratique

  • Adoption: Utilisé par des organisations du monde entier, notamment des agences gouvernementales, des entreprises et des PME. Parmi les principaux utilisateurs figurent les agences fédérales sous l'autorité du gouvernement américain. Certification du modèle de maturité de cybersécurité (CMMC), qui s'aligne sur les contrôles CIS.
  • Intégration avec les outils:
    • Le CIS fournit des outils tels que CIS-CAT Pro (pour les évaluations automatisées) et Images renforcées CIS (images système sécurisées préconfigurées) pour simplifier la mise en œuvre.
    • S'intègre aux outils de sécurité tels que les SIEM, les plates-formes de protection des terminaux et les scanners de vulnérabilité.
  • Avantages sociaux:
    • L’approche prioritaire réduit la complexité et se concentre sur les contrôles à fort impact.
    • Rentable pour les organisations disposant de ressources limitées, car IG1 fournit une base de sécurité solide.
    • Prend en charge la conformité avec plusieurs cadres, réduisant ainsi la redondance des audits.
  • Limites:
    • Il ne s’agit pas d’une certification formelle, les organisations peuvent donc avoir besoin d’étapes supplémentaires pour répondre à des exigences réglementaires spécifiques.
    • Nécessite un engagement continu en matière de surveillance et de mise à jour des contrôles.

DEVELOPPEMENTS récents

  • Contrôles CIS v8 (mai 2021):
    • Mis à jour pour prendre en compte le cloud computing, les appareils mobiles et les environnements de travail à distance.
    • Réduction de 20 contrôles (v7.1) à 18, avec un accent sur les menaces modernes telles que les mauvaises configurations du cloud et les attaques de la chaîne d'approvisionnement.
    • Introduction de nouvelles mesures de protection pour les environnements DevOps et IoT sécurisés.
  • Soutien communautaire:
    • Les contrôles CIS sont développés avec la contribution d’une communauté mondiale d’experts en cybersécurité, garantissant ainsi pertinence et praticité.
    • Le CIS propose des ressources gratuites, notamment des cartographies, des guides de mise en œuvre et des forums communautaires.
  • Version 8.1 (2022):
    • Mises à jour mineures pour clarifier les garanties et améliorer l’alignement avec les environnements cloud et hybrides.

Comment les organisations peuvent utiliser les contrôles CIS

  • Organisations:
    • Adoptez IG1 comme point de départ pour l’hygiène de base en matière de cybersécurité, puis évoluez vers IG2 ou IG3 selon vos besoins.
    • Utilisez des outils CIS (par exemple, CIS-CAT, CIS Hardened Images) pour automatiser les évaluations et les configurations.
    • Adaptez les contrôles aux exigences réglementaires pour rationaliser les efforts de conformité.
  • Fournisseurs de cloud:
    • Contrôles de levier comme Contrôle 16 (Sécurité des logiciels d'application) Contrôle 18 (Test de pénétration) pour sécuriser les services cloud.
    • Utilisez des mappages pour démontrer la conformité avec des cadres tels que C5 ou FedRAMP.
  • Comptes:
    • Utilisez les contrôles CIS comme référence pour évaluer la posture de cybersécurité d’une organisation.
    • Cartographies de référence pour évaluer la conformité aux normes telles que NIST ou ISO 27001.

Conclusion

Les contrôles de sécurité critiques du CIS offrent un cadre pratique, hiérarchisé et flexible permettant aux organisations de renforcer leur cybersécurité et de se conformer aux normes internationales. En se concentrant sur les contrôles à fort impact et en proposant des groupes de mise en œuvre évolutifs, les contrôles du CIS sont accessibles aux organisations de toutes tailles. Leur alignement avec des référentiels tels que NIST, ISO et RGPD en fait un outil précieux pour optimiser les efforts de conformité. Les organisations peuvent accéder gratuitement à des ressources et outils sur le site web du CIS pour mettre en œuvre et évaluer ces contrôles.

Des avantages incroyables

Vignette YouTubeYouTube icône