Contrôles de sécurité critiques CIS : Comment mettre en œuvre la version 8.1 et pourquoi [+ Liste de vérification]
Les organisations d'aujourd'hui font face à une variété de menaces, ce qui peut rendre la cybersécurité décourageante. Comment peuvent-elles se protéger contre autant de types d'attaques cybernétiques avec des ressources limitées ?
Les CIS Critical Security Controls® (CIS Controls®) sont destinés à aider les organisations à relever ce défi spécifique. Les CIS Controls sont un ensemble priorisé d'actions que les organisations peuvent entreprendre pour se défendre elles-mêmes et leurs données contre les vecteurs d'attaque cybernétique courants.
Examinons de plus près ce que sont ces Contrôles, pourquoi votre organisation devrait les mettre en œuvre et comment.
Quels sont les CIS Controls ?
Les CIS Controls sont un ensemble de bonnes pratiques en matière de cybersécurité développées par le Center for Internet Security, Inc. (CIS®). Ces Contrôles visent à aider les organisations à identifier, gérer et atténuer les menaces cybernétiques les plus courantes contre les systèmes et les réseaux. Ils sont conçus pour être suffisamment complets pour protéger et défendre les programmes de cybersécurité de toute entreprise, quelle que soit sa taille, mais aussi suffisamment prescriptifs pour faciliter leur mise en œuvre.
Chaque CIS Control est subdivisé en CIS Safeguards, ou actions mesurables. Chaque Safeguard décrit une action que les organisations peuvent entreprendre pour se défendre contre les attaques cybernétiques courantes, notamment les logiciels malveillants, les ransomwares, les attaques d'applications web, les menaces internes et les abus, et les intrusions ciblées, entre autres.
Les CIS Controls sont continuellement mis à jour dans le cadre de l'engagement continu de CIS à garantir que les organisations restent résilientes face à des menaces cybernétiques en constante évolution. Examinons ci-dessous la dernière itération.
CIS Controls version 8.1
Les CIS Controls version 8.1 représentent la dernière évolution des normes de cybersécurité pour améliorer la posture de cybersécurité d'une entreprise. Publiée en juin 2024, cette dernière itération aborde les complexités et vulnérabilités croissantes du paysage cybernétique actuel en intégrant de nouvelles classes d'actifs et en introduisant une fonction de sécurité de gouvernance.
La version 8.1 des CIS Controls est une mise à jour itérative de la version 8.0, affinant et améliorant les Contrôles pour mieux répondre aux défis actuels de la cybersécurité. Voici les principaux aspects et améliorations introduits dans les CIS Controls version 8.1 :
- Descriptions révisées des classes d'actifs et des CIS Safeguards : La version 8.1 ajoute la Documentation en tant que classe d'actifs, portant le total à six. Ces six classes — Dispositifs, Logiciels, Données, Utilisateur, Réseau, Documentation — correspondent mieux aux domaines spécifiques de l'environnement d'une entreprise auxquels les CIS Controls s'appliquent. En raison de cette addition et d'autres révisions mineures des classes d'actifs, certaines descriptions des Safeguard ont également été mises à jour pour plus de détails, de praticité et/ou de clarté.
- Inclusion de nouvelles définitions de glossaire et expansion des définitions de certains termes utilisés dans les Contrôles : En raison des nouvelles et révisées classes d'actifs et descriptions des Safeguard, plusieurs nouvelles définitions de glossaire ou définitions mises à jour sont incluses dans la version 8.1. Les nouveaux termes de glossaire incluent API, données, documentation, Internet des objets (IoT), réseau, plan et données sensibles.
- Alignement mis à jour sur le NIST CSF 2.0 : Depuis leur première publication, les CIS Controls ont été continuellement mis à jour pour s'aligner sur les normes et cadres industriels en évolution. La récente publication du NIST CSF 2.0 a contribué à orchestrer cette dernière version des Contrôles, qui inclut des mappages et des Safeguards mis à jour alignés sur les modifications apportées au NIST CSF 2.0.
- L’ajout d’une fonction de sécurité “Gouvernance”: Dans la version 8.1, la gouvernance est ajoutée en tant que fonction de sécurité, portant le total à six. (Les cinq autres sont Identifier, Protéger, Détecter, Répondre, Récupérer.) Dans cette dernière révision, les sujets de gouvernance sont spécifiquement identifiés comme des recommandations qui peuvent être mises en œuvre pour améliorer la gouvernance d’un programme de cybersécurité. Cela aidera les organisations à mieux identifier les éléments de gouvernance du programme afin de les orienter vers la réalisation de leurs objectifs d’entreprise et de fournir aux organisations les preuves nécessaires pour démontrer la conformité.
Lecture recommandée
Le cadre de cybersécurité NIST 2.0 : Qu'est-ce que c'est et comment s'y conformer [+ liste de contrôle]
Pourquoi mettre en œuvre les contrôles CIS ?
Les contrôles CIS visent à simplifier le processus de conception, de mise en œuvre, de mesure et de gestion de la sécurité des entreprises. Voici quelques raisons clés de mettre en œuvre ces contrôles.
1. Améliorez votre posture de cybersécurité
Les contrôles CIS fournissent un cadre complet pour se protéger contre un large éventail de menaces cybernétiques. En suivant ces meilleures pratiques, les organisations peuvent renforcer leurs défenses, réduire les vulnérabilités et améliorer leur posture de sécurité globale. Les contrôles couvrent des domaines essentiels tels que la protection des données, la gestion des contrôles d'accès et la réponse aux incidents, garantissant une approche holistique mais simplifiée de la cybersécurité.
2. Adaptez votre approche de la cybersécurité
Les contrôles CIS sont conçus pour être évolutifs et flexibles, les rendant adaptés aux organisations de toutes tailles et de tous secteurs. La version 8.1 contient 18 contrôles et 153 mesures de protection, qui sont classés en trois groupes d’implémentation (IG). Les IG sont des catégories auto-évaluées basées sur le profil de risque de l’organisation et les ressources disponibles. Cette catégorisation permet aux organisations d’adopter une approche adaptée et priorisée, en mettant en œuvre les contrôles appropriés à leurs besoins et capacités spécifiques plutôt que de devoir mettre en œuvre les 18 contrôles et 153 mesures de protection en une fois.
3. Allouez vos ressources efficacement
Les contrôles CIS sont conçus pour prioriser les actions de sécurité les plus critiques, facilitant ainsi la concentration des efforts des organisations là où ils sont le plus nécessaires. Cette priorisation aide à allouer les ressources de manière efficace, à traiter les risques les plus importants en premier et à réaliser des améliorations de sécurité significatives sans submerger l’organisation avec trop de tâches simultanément.
4. Améliorez continuellement au fil du temps
Les contrôles CIS mettent l’accent sur la surveillance, la mesure et l’amélioration continues des pratiques de sécurité. En évaluant régulièrement l’efficacité des contrôles que vous mettez en œuvre et en les adaptant au besoin, les organisations peuvent anticiper les menaces émergentes et maintenir une posture de cybersécurité robuste dans le temps. Cette approche proactive aide à s’adapter à l’évolution du paysage des menaces cybernétiques et assure une résilience à long terme.
5. Gérez la sécurité de manière rentable
En traitant les vulnérabilités les plus critiques et en améliorant les capacités de réponse aux incidents, les contrôles CIS peuvent aider les organisations à minimiser la probabilité et l’impact financier et opérationnel des cyberattaques. De plus, la nature priorisée des contrôles garantit que les ressources sont utilisées de manière efficace, offrant un maximum d’avantages de sécurité avec un investissement optimal.
6. Démontrez un niveau de sécurité raisonnable
Aux États-Unis, il n’y a pas de norme nationale, statutaire, intersectorielle minimale pour la sécurité de l’information. À la place, plusieurs États américains exigent que les organisations mettent en œuvre un niveau “raisonnable” de sécurité. Bien qu’il y ait plusieurs façons de le faire, plusieurs de ces lois et règlements d’État mentionnent spécifiquement les contrôles CIS comme un moyen de démontrer un niveau de sécurité raisonnable.
7. Simplifiez la conformité multi-cadre
Les contrôles CIS comprennent non seulement des mesures de sécurité fondamentales que toute organisation peut utiliser pour atteindre une hygiène cybernétique essentielle et se protéger contre une cyberattaque. Ils se réfèrent également à plusieurs cadres juridiques, réglementaires et de politiques, y compris PCI DSS, NIST CSF, NIST 800-171, NIST 800-53, HIPAA, RGPD et ISO 27001. La mise en œuvre des contrôles peut aider les organisations à se conformer à ces normes et règlements, réduisant ainsi le travail redondant.
Lecture recommandée
Comment construire un programme de conformité qui répond aux objectifs d'expansion de votre entreprise
Liste des contrôles CIS
Voici une vue d'ensemble des 18 contrôles CIS dans la version 8.1. Pour une vue plus détaillée des contrôles, des sauvegardes, des types d'actifs et des fonctions de sécurité dans chaque contrôle.
| Title | Description |
| Inventory and Control of Enterprise Assets | Actively manage all enterprise assets connected to the infrastructure physically, virtually, remotely, and those within cloud environments, to accurately know the totality of assets that need to be monitored and protected within the enterprise. |
|---|---|
| Inventory and Control of Software Assets | Actively manage all software on the network so that only authorized software is installed and can execute, and that unauthorized and unmanaged software is found and prevented from installation or execution. |
| Data Protection | Develop processes and technical controls to identify, classify, securely handle, retain, and dispose of data. |
| Secure Configuration of Enterprise Assets and Software | Establish and maintain the secure configuration of enterprise assets and software. |
| Account Management | Use processes and tools to assign and manage authorization to credentials for user accounts, including administrator accounts, as well as service accounts, to enterprise assets and software. |
| Access Control Management | Use processes and tools to create, assign, manage, and revoke access credentials and privileges for user, administrator, and service accounts for enterprise assets and software. |
| Continuous Vulnerability Management | Develop a plan to continuously assess and track vulnerabilities on all enterprise assets within the enterprise’s infrastructure, in order to remediate, and minimize, the window of opportunity for attackers. Monitor public and private industry sources for new threat and vulnerability information. |
| Audit Log Management | Collect, alert, review, and retain audit logs of events that could help detect, understand, or recover from an attack. |
| Email and Web Browser Protections | Improve protections and detections of threats from email and web vectors, as these are opportunities for attackers to manipulate human behavior through direct engagement. |
| Malware Defenses | Prevent or control the installation, spread, and execution of malicious applications, code, or scripts on enterprise assets. |
| Data Recovery | Establish and maintain data recovery practices sufficient to restore in-scope enterprise assets to a pre-incident and trusted state. |
| Network Infrastructure Management | Establish, implement, and actively manage network devices, in order to prevent attackers from exploiting vulnerable network services and access points. |
| Network Monitoring and Defense | Operate processes and tooling to establish and maintain comprehensive network monitoring and defense against security threats across the enterprise’s network infrastructure and user base. |
| Security Awareness and Skills Training | Establish and maintain a security awareness program to influence behavior among the workforce to be security conscious and properly skilled to reduce cybersecurity risks to the enterprise. |
| Service Provider Management | Develop a process to evaluate service providers who hold sensitive data, or are responsible for an enterprise’s critical IT platforms or processes, to ensure these providers are protecting those platforms and data appropriately. |
| Application Software Security | Manage the security life cycle of in-house developed, hosted, or acquired software to prevent, detect, and remediate security weaknesses before they can impact the enterprise. |
| Incident Response Management | Establish a program to develop and maintain an incident response capability (e.g., policies, plans, procedures, defined roles, training, and communications) to prepare, detect, and quickly respond to an attack. |
| Penetration Testing | Test the effectiveness and resiliency of enterprise assets through identifying and exploiting weaknesses in controls and simulating the objectives and actions of an attacker. |
Groupes d'Implémentation CIS
Introduits pour la première fois dans CIS v7.1, les groupes d'implémentation (IG) sont conçus pour aider les organisations avec des ressources et une exposition au risque variées à mettre en œuvre les contrôles CIS ainsi qu'à créer et gérer un programme de défense cybernétique efficace.
Chaque IG identifie quels des 18 contrôles et 153 sauvegardes sont raisonnables à mettre en œuvre pour une organisation ayant un profil de risque et des ressources similaires. Ce sont des catégories auto-évaluées. Cela signifie que les organisations se classent elles-mêmes pour mieux concentrer leurs ressources et expertise en cybersécurité lors de la mise en œuvre des contrôles CIS.
Groupe d'Implémentation 1
Approprié pour les organisations ayant une expertise limitée en TI et en cybersécurité, ce GI se concentre sur les pratiques d'hygiène cybernétique essentielles pour se protéger contre les menaces courantes.
Les entreprises du GI1 seront probablement :
- Stocker et traiter des données peu sensibles, comme des informations sur les employés et financières
- Être une PME avec des ressources limitées dédiées à la protection des actifs TI et du personnel
- Avoir des matériels et logiciels commerciaux sur étagère (COTS) pour défendre contre les attaques
- Avoir besoin de déjouer les attaques générales, non ciblées
- Être principalement préoccupé par la prévention des temps d'arrêt
Composé de 15 contrôles et 56 sauvegardes, cet ensemble représente la norme minimale de sécurité de l'information pour toutes les entreprises. Comme chaque entreprise devrait commencer par le GI1 pour se protéger contre les cyberattaques les plus courantes, ce groupe est considéré comme la « rampe d'accès » aux contrôles CIS.
Groupe d'Implémentation 2
Approprié pour les organisations ayant une complexité opérationnelle accrue, ce GI inclut tous les contrôles et sauvegardes identifiés dans le GI1 ainsi que trois contrôles supplémentaires et 74 sauvegardes supplémentaires qui adressent une gamme plus large de menaces et de vulnérabilités.
Les entreprises du GI2 seront probablement :
- Stocker et traiter des informations sensibles de clients ou d'entreprises
- Avoir des personnes dédiées responsables de la gestion et de la protection de l'infrastructure informatique
- Besoin d'une technologie de niveau entreprise et d'une expertise spécialisée pour installer et configurer correctement certaines des Mesures de Protection
- Soutenir plusieurs départements avec différents profils de risque et charges de conformité réglementaire
- Être principalement préoccupé par la prévention d'une fuite de données qui pourrait entraîner une perte de confiance du public
Au total, l'IG2 comprend l'ensemble des 18 Contrôles et 130 Mesures de Protection.
Groupe de mise en œuvre 3
Conçu pour les grandes entreprises avec des environnements informatiques sophistiqués et des capacités avancées en cybersécurité, ce groupe comprend tous les Contrôles et Mesures de Protection identifiés dans l'IG1 et l'IG2 ainsi que 23 Mesures de Protection supplémentaires qui offrent une protection complète contre les menaces persistantes avancées (TPA) et d'autres risques de haut niveau.
Les entreprises de l'IG3 auront probablement :
- Stocker et traiter des données hautement sensibles qui, si leur confidentialité, intégrité et/ou disponibilité étaient compromises, causeraient un préjudice significatif au bien-être public
- Embaucher des experts spécialisés dans différents aspects de la cybersécurité, comme la gestion des risques, les tests d'intrusion et la sécurité des applications
- Contenir des informations ou des fonctions sensibles soumises à une surveillance réglementaire et de conformité
- Avoir besoin d'atténuer les attaques ciblées et sophistiquées et de réduire l'impact des attaques de type zero-day
- Être principalement préoccupé par la protection de la disponibilité des services et de la confidentialité et de l'intégrité des données sensibles afin de protéger le bien-être public
En tout, l'IG3 comprend l'ensemble des 18 Contrôles et 153 Mesures de Protection.
Lecture recommandée
Classification des données : exemples de politiques + modèle
| Implementation Group | Suitable for | Data sensitivity | Primary aim | Comprised of |
|---|---|---|---|---|
| IG 1 | All organizations, particularly SMBs with limited IT and cybersecurity expertise | Low | Thwart general, non-targeted attacks to prevent downtime | 15 CIS Controls and 56 Safeguards |
| IG 2 | Organizations with increased operational complexity and a dedicated IT team | Medium | Defend IT infrastructure against a larger variety of threats to prevent breaches that would result in loss of public confidence | 18 CIS Controls and 130 Safeguards |
| IG 3 | Organizations with high risk exposure and a team of specialized cybersecurity experts | High | Mitigate targeted attacks from a sophisticated adversary and reduce the impact of zero-day attacks in order to protect public welfare | 18 CIS Controls and 153 Safeguards |
3. Priorisez la mise en œuvre des contrôles les plus critiques
Concentrez-vous sur la mise en œuvre des contrôles les plus critiques de votre groupe en fonction de votre profil de risque. La priorisation peut être guidée par les deux facteurs suivants :
- Impact sur l'entreprise : Les contrôles qui protègent les assets de grande valeur ou les fonctions critiques de l'entreprise doivent être prioritaires
- Paysage des menaces : Mettez en œuvre les contrôles qui répondent aux menaces les plus pertinentes et actuelles pour votre organisation
4. Développez un plan de mise en œuvre
Créez un plan détaillé qui décrit les étapes, les ressources et le calendrier pour la mise en œuvre de tous les contrôles identifiés dans votre groupe. Ce plan devrait inclure :
- Rôles, responsabilités et tâches assignées
- Outils, technologies et formations nécessaires
- Étapes réalistes et délais à chaque phase de mise en œuvre
5. Mettre en œuvre les contrôles
Il est maintenant temps d'exécuter votre plan de mise en œuvre. Cela implique :
- Configurer les systèmes, installer des outils et appliquer les paramètres de sécurité selon les CIS Controls
- Mettre à jour les politiques et procédures pour s'aligner sur les Contrôles
- Éduquer le personnel sur les nouveaux Contrôles et leurs rôles dans le maintien de la cybersécurité
- Définir des rôles et des procédures pour gérer les incidents et rétablir les opérations à la normale le plus rapidement possible
- Réaliser des tests de pénétration pour tester la robustesse des défenses de votre entreprise
6. Surveiller et mesurer vos progrès
Surveillez en continu le processus de mise en œuvre et mesurez l'efficacité des Contrôles. Cela peut être fait via :
- Évaluations régulières : Effectuer des examens périodiques pour s'assurer que les Contrôles sont en place et fonctionnent correctement
- KPIs : Utiliser des indicateurs clés de performance (KPIs) pour suivre les progrès et identifier les domaines à améliorer
- Suivi des incidents : Surveiller les incidents de sécurité pour évaluer l'impact des Contrôles mis en place
- Tests de pénétration : Simuler des cyberattaques sur vos systèmes pour découvrir les domaines où votre organisation peut améliorer sa sécurité des informations
Liste de vérification de la mise en œuvre des CIS Controls
Cette liste de vérification fournit une approche structurée pour commencer à mettre en œuvre les 18 contrôles de la version 8.1 des CIS Controls, en veillant à ce que votre organisation couvre les domaines essentiels de la cybersécurité. Selon votre groupe de mise en œuvre, vous n'avez peut-être pas besoin de tous les mettre en œuvre.
Liste de vérification de la mise en œuvre des CIS Controls
Suivez cette approche structurée pour commencer à mettre en œuvre les 18 contrôles de la version 8.1 des CIS Controls, en veillant à ce que votre organisation couvre les domaines essentiels de la cybersécurité.
Comment les CIS Controls s'intègrent dans un programme de cybersécurité
Étant donné que les CIS Controls comprennent des mesures de sécurité fondamentales pour renforcer la posture de cybersécurité d'une organisation, ils peuvent constituer un excellent point de départ pour tout programme de cybersécurité.
Bon nombre de ces mesures de sécurité fondamentales peuvent également vous aider à répondre aux exigences d'autres cadres de sécurité des informations, contribuant ainsi à réduire le travail en double et à accélérer le temps de mise en conformité avec plusieurs cadres.
En utilisant le Navigateurs des CIS Critical Security Controls, vous pouvez voir comment les CIS Controls sont cartographiés et référencés par plusieurs cadres juridiques, réglementaires et de politique, y compris mais sans s'y limiter :
- Azure Security Benchmark
- CMMC v2.0
- Services d'information de justice pénale (CJIS)
- CSA Cloud Controls Matrix
- Cyber Essentials v2.2
- HIPAA
- ISACA COBIT 19
- ISO/IEC 27002:2002
- MITRE Enterprise ATT&CK v8.2
- NIST 800-171
- NIST 800-53
- NIST CSF 2.0
- NYDFS Part 500
- PCI DSS v4.0
- SOC 2
Lorsqu'on utilise une plateforme d'automatisation de la conformité comme Secureframe, cette cartographie est effectuée automatiquement sur la plateforme une fois que vous ajoutez un autre cadre à votre instance. Cela permet non seulement de gagner du temps et de réduire le potentiel d'erreur humaine — cela fournit également une visibilité immédiate sur l'avancement de votre processus de conformité avec tout autre cadre supplémentaire et exactement les lacunes que vous devez combler pour devenir conforme.
Un fournisseur de services gérés peut également aider à intégrer les Contrôles CIS dans un programme ou un cadre de sécurité plus large si nécessaire.
Lectures recommandées
Cartographie des Contrôles : Ce que c'est et Comment cela Peut Aider à Simplifier vos Efforts de Conformité
Comment Secureframe peut Simplifier la Mise en Œuvre des Contrôles CIS et la Conformité avec d'autres Cadres
En tant que membre fournisseur de produits CIS SecureSuite®, nous avons intégré le contenu des Contrôles CIS dans notre plateforme pour permettre aux organisations et aux partenaires de service de renforcer leur posture de sécurité et de construire des programmes de sécurité complets pour eux-mêmes et/ou leurs clients.
Que votre organisation mette en œuvre elle-même les Contrôles CIS ou travaille avec un fournisseur de services gérés, Secureframe peut aider à simplifier et à accélérer le processus.
Avec Secureframe, vous pouvez :
- Automatiser la collecte de preuves pour éliminer les tâches manuelles telles que la capture d'écran et l'organisation de la documentation
- Surveiller en continu votre pile technologique et vos services cloud pour assurer la conformité et signaler les non-conformités
- Offrir et suivre la formation des employés
- Simplifier la gestion des fournisseurs et du personnel
- Utiliser des modèles de politiques approuvés par les auditeurs pour gagner du temps sur la création de politiques
- Rester à jour avec la dernière version des Contrôles CIS et d'autres cadres
- Cartographier les Contrôles et les tests que vous mettez en place pour la conformité CIS à d'autres cadres pour accélérer le temps de conformité et réduire le travail en double
Si vous êtes un fournisseur de services gérés, vous pouvez utiliser les puissantes capacités d'automatisation et d'IA de Secureframe pour révolutionner la manière dont vous gérez la sécurité et la conformité pour vos clients.
Pour voir pourquoi 97% des utilisateurs ont déclaré avoir renforcé leur posture de sécurité et de conformité avec Secureframe, demandez une démonstration dès aujourd'hui. Ou si vous cherchez à devenir un partenaire Secureframe, inscrivez-vous ici.
Guide du acheteur de la plateforme d'automatisation de la conformité
Découvrez comment une plateforme d'automatisation de la conformité peut vous aider à rationaliser et à étendre vos efforts de sécurité et de conformité, puis utilisez une feuille de score pour accélérer le processus d'évaluation des fournisseurs.
FAQ
Que sont les contrôles CIS ?
Les contrôles CIS sont un ensemble de 18 meilleures pratiques en matière de cybersécurité développées par le Center for Internet Security (CIS) pour aider les organisations de toutes tailles à atténuer les menaces cybernétiques les plus courantes.
Que signifie CIS Controls ?
CIS Controls signifie les contrôles de sécurité critiques du Center for Internet Security.
Combien y a-t-il de contrôles CIS ?
Depuis la version 8.1 des CIS Controls, il y a 18 contrôles.
Combien y a-t-il de sauvegardes CIS ?
Il y a 153 sauvegardes dans la version 8.1 des CIS Controls.
Pourquoi les organisations mettent-elles en œuvre les contrôles CIS ?
La mise en œuvre des contrôles de sécurité critiques CIS peut grandement renforcer la posture de cybersécurité d'une organisation. En comprenant et en adoptant cet ensemble de meilleures pratiques prescriptives, une organisation peut construire une base solide en cybersécurité qui la protège contre les attaques cybernétiques courantes et évolue avec le paysage numérique et des menaces changeantes.
Utilisez la confiance pour accélérer la croissance
Demander une démo
Comment mettre en œuvre les contrôles CIS
Mettre en œuvre les contrôles CIS peut améliorer considérablement la posture de cybersécurité d'une organisation. Voici un guide détaillé étape par étape sur la façon de mettre en œuvre les contrôles de manière efficace.
1. Évaluez votre posture de sécurité actuelle
Avant de mettre en œuvre les contrôles CIS, effectuez une évaluation approfondie pour comprendre votre posture de sécurité actuelle et identifier les lacunes ou les faiblesses. Cela inclut les activités suivantes :
2. Choisissez votre groupe de mise en œuvre
Comme mentionné ci-dessus, les contrôles CIS version 8.1 classent les contrôles en trois groupes. Ces groupes offrent une approche scalable et flexible pour mettre en œuvre les contrôles en fonction du profil de risque et des ressources disponibles de l'organisation.
Utilisez le tableau ci-dessous pour déterminer quel groupe correspond le mieux au profil de risque et aux ressources disponibles de votre organisation.