Définition et objectif

Le cadre Essential Eight est un ensemble de stratégies de cybersécurité prioritaires que les organisations peuvent mettre en œuvre pour améliorer leur posture de cybersécurité et accroître leur résilience cybernétique. Le but de l'Essential Eight est de fournir un point de départ optimal pour la cybersécurité et de servir de base pour les organisations cherchant à développer un programme de gestion des risques cybernétiques robuste. Il est très bénéfique pour les organisations en les protégeant contre une large gamme de menaces cybernétiques, y compris les ransomwares, les attaques de phishing et d'autres attaques avancées.

Organe directeur

Le Centre australien de cybersécurité (ACSC), une partie de la Direction des signaux australiens (ASD), est l'organe directeur qui gère et met à jour le cadre Essential Eight.

Dernière mise à jour

Le cadre Essential Eight est mis à jour périodiquement en fonction de l'évolution des menaces cybernétiques et des meilleures pratiques. La mise à jour la plus récente a été publiée en novembre 2022.

S'applique à

Le cadre Essential Eight est indifférent au secteur et peut être appliqué à toute organisation — publique ou privée — dans divers secteurs. Bien qu'initialement destiné aux organisations australiennes, les principes et les stratégies sont universellement applicables et sont considérés comme des meilleures pratiques pour améliorer la cybersécurité à l'échelle mondiale.

Contrôles et exigences

Le cadre Essential Eight comprend les stratégies suivantes :

• Liste blanche des applications : Ne permettre que l'exécution des applications approuvées sur les systèmes.
• Corrections des applications : Corrections en temps opportun des vulnérabilités de sécurité dans les applications logicielles.
• Désactiver les fonctionnalités inutiles : Désactiver les fonctionnalités non nécessaires dans les applications, les systèmes d'exploitation et les navigateurs Web pour réduire la surface d'attaque.
• Durcissement des applications utilisateur : Configurer les navigateurs Web pour bloquer Flash, les publicités et Java sur Internet.
• Limiter les privilèges administratifs : Limiter les privilèges administratifs à ceux qui en ont besoin et utiliser des mots de passe forts et uniques.
• Corrections des systèmes d'exploitation : Maintenir le système d'exploitation à jour avec les dernières corrections de sécurité.
• Authentification multi-facteurs (MFA) : Utiliser au moins deux formes d'authentification pour accéder aux systèmes sensibles ou critiques.
• Sauvegardes quotidiennes : Effectuer des sauvegardes des données essentielles et s'assurer qu'elles ne sont pas directement accessibles depuis les réseaux utilisateur.

Veuillez vous référer à la documentation officielle du Modèle de Maturité Essential Eight pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

Un audit Essential Eight serait généralement un audit interne ou un audit de cybersécurité par une tierce partie. La fréquence peut varier en fonction du profil de risque de l'organisation, mais une évaluation annuelle est généralement recommandée. La durée de l'audit dépendrait de la taille et de la complexité de l'organisation, mais pourrait varier de quelques semaines à plusieurs mois.