Définition et objectif

Les contrôles CIS sont un ensemble d'actions recommandées visant à prévenir, détecter et atténuer les vulnérabilités des systèmes et les cyberattaques. Leur objectif est de fournir une approche systématique et priorisée de la cybersécurité, en commençant par des mesures de base fondamentales et en progressant vers des techniques plus avancées. En offrant une feuille de route des protections clés ayant le plus grand impact, les contrôles CIS aident les organisations à améliorer leurs mécanismes de défense contre les cybermenaces.

Organe dirigeant

L'organe dirigeant du cadre CIS est le Centre pour la sécurité de l'Internet (CIS), une entité à but non lucratif qui promeut la préparation et la réponse en matière de cybersécurité.

Dernière mise à jour

Les contrôles CIS sont mis à jour périodiquement en fonction de l'évolution du paysage des menaces et des avancées technologiques. La mise à jour la plus récente a été publiée en mars 2023.

S'applique à

Les contrôles CIS sont indépendants du secteur et peuvent être appliqués à divers secteurs et types d'organisations, y compris le gouvernement, le secteur privé et les organisations à but non lucratif. Leur applicabilité universelle est l'une des raisons pour lesquelles ils sont largement adoptés et recommandés.

Contrôles et exigences

Les contrôles CIS sont regroupés en trois catégories : Basic, Foundational et Organizational. Voici une brève liste :

Contrôles de base

• Inventaire et contrôle des actifs matériels
• Inventaire et contrôle des actifs logiciels
• Gestion continue des vulnérabilités
• Utilisation contrôlée des privilèges administratifs
• Configuration sécurisée pour le matériel et les logiciels sur les appareils mobiles, les ordinateurs portables, les postes de travail et les serveurs
• Maintenance, surveillance et analyse des journaux d'audit

Contrôles fondamentaux

• Protections pour les courriels et les navigateurs web
• Défenses contre les logiciels malveillants
• Limitation et contrôle des ports réseau, des protocoles et des services
• Capacités de récupération des données
• Configuration sécurisée pour les dispositifs réseau, tels que les pare-feu, les routeurs et les commutateurs
• Défense périmétrique
• Protection des données
• Accès contrôlé basé sur le besoin de savoir
• Contrôle d'accès sans fil
• Surveillance et contrôle des comptes

Contrôles organisationnels

• Mise en œuvre d'un programme de sensibilisation et de formation à la sécurité
• Sécurité des logiciels applicatifs
• Réponse et gestion des incidents
• Tests de pénétration et exercices de Red Team

Veuillez consulter la Liste officielle des benchmarks CIS pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

Bien que le CIS n'impose pas de mécanisme d'audit spécifique, les organisations entreprennent souvent des évaluations internes ou par des tiers pour évaluer leur conformité aux contrôles CIS.

La fréquence de ces évaluations peut varier en fonction de l'appétit pour le risque organisationnel, des exigences réglementaires ou de la maturité en matière de cybersécurité. Cependant, une évaluation annuelle est généralement recommandée pour tenir compte des menaces évolutives et des changements technologiques.

La durée de l'audit ou de l'évaluation dépend en grande partie de la taille de l'organisation, de sa complexité et de la portée de l'évaluation, mais peut varier de quelques jours à plusieurs semaines.