Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Top 18 des contrôles de sécurité critiques CIS pour la cyberdéfense

Top 18 des contrôles de sécurité critiques CIS pour la cyberdéfense

Sep 16, 2022

Avec le coût d'une fuite de données à un niveau record de 4,35 millions de dollars et les réglementations à travers le monde imposant des pénalités plus lourdes pour les manquements à la conformité, les organisations doivent s'assurer qu'elles disposent de tous les contrôles de sécurité nécessaires pour protéger leurs données. Mettre en place les CIS Controls offre une base solide pour une défense efficace contre les menaces cybernétiques

Développés pour la première fois en 2008, les CIS Controls sont mis à jour périodiquement en réponse à l'évolution des technologies et du paysage des menaces. Les contrôles sont basés sur les dernières informations concernant les attaques courantes et reflètent le savoir combiné d'experts en informatique légale commerciale, de testeurs d'intrusion individuels et de contributeurs d'agences gouvernementales américaines.

Cet article détaille les 18 contrôles dans la version 8 du CIS. Ces directives tiennent compte de l'augmentation du travail à distance et de l'augmentation conséquente des points d'accès ainsi que du besoin de sécurité sans périmètre.

Contrôle 01. Inventaire et contrôle des actifs de l'entreprise

La première étape dans le développement et la mise en œuvre d'une stratégie de cybersécurité complète consiste à comprendre les actifs de votre entreprise, qui les contrôle et les rôles qu'ils jouent. Cela inclut l'établissement et le maintien d'une liste précise, mise à jour et détaillée de tout le matériel connecté à votre infrastructure, y compris les actifs qui ne sont pas sous votre contrôle, tels que les téléphones cellulaires personnels des employés. Les appareils portables des utilisateurs se joindront périodiquement à un réseau puis disparaîtront, rendant l'inventaire des actifs disponibles actuellement très dynamique.

Pourquoi est-ce critique ?Sans ces informations, vous ne pouvez pas être sûr d'avoir sécurisé toutes les surfaces d'attaque possibles. Tenir un inventaire de tous les actifs se connectant à votre réseau et retirer les dispositifs non autorisés peut considérablement réduire votre risque.

Contrôle 02. Inventaire et gestion des actifs logiciels

Le contrôle 2 traite des menaces provenant de l'incroyable variété de logiciels que les entreprises modernes utilisent pour les opérations commerciales. Il comprend les pratiques clés suivantes :

  • Identifiez et documentez tous les actifs logiciels, et retirez ceux qui sont obsolètes ou vulnérables.
  • Empêchez l'installation et l'utilisation de logiciels non autorisés en créant une liste blanche de logiciels autorisés.
  • Utilisez des outils de suivi logiciel automatisés pour surveiller et gérer les applications logicielles

Pourquoi est-ce critique ? Les logiciels non patchés continuent d'être un vecteur principal pour les attaques de rançongiciels. Un inventaire logiciel complet vous aide à vous assurer que tous vos logiciels sont mis à jour et que toutes les vulnérabilités connues ont été corrigées ou atténuées. Cela est particulièrement critique pour les logiciels qui contiennent des composants open-source, puisque leurs vulnérabilités sont de notoriété publique.

Contrôle 03. Data Protection

Dans la version 7 des CIS Controls, la protection des données était le Contrôle 13.

Vos données sont l'un des actifs les plus précieux de votre entreprise. CIS Control 3 décrit une méthode de protection de vos données en détaillant les processus et les contrôles techniques pour identifier, classer, manipuler de manière sécurisée, conserver et éliminer les données. Assurez-vous d'inclure des dispositions pour :

  • Inventaire des données
  • Contrôles d'accès aux données
  • Conservation des données
  • Élimination des données
  • Chiffrement des données à toutes les étapes et sur les supports amovibles
  • Data classification
  • Cartographies des flux de données
  • Segmentation du traitement et du stockage des données en fonction de leur sensibilité
  • Prévention de la perte de données
  • Enregistrement des accès et des activités autour des données sensibles

Pourquoi est-ce critique ?Bien que de nombreuses fuites de données soient le résultat de vols délibérés, la perte et les dommages de données peuvent également survenir à cause d'erreurs humaines ou de pratiques de sécurité médiocres. Les solutions qui détectent l'exfiltration de données peuvent minimiser ces risques et atténuer les effets d'un compromis de données.

Contrôle 04. Configuration sécurisée des actifs d'entreprise et des logiciels

Cette mesure de protection fusionne les contrôles 5 et 11 de la version 7. Elle détaille les meilleures pratiques pour établir et maintenir des configurations sécurisées sur les actifs matériels et logiciels.

Pourquoi est-ce critique ? Même une seule erreur de configuration peut ouvrir des risques de sécurité et perturber les opérations commerciales. L'utilisation de logiciels automatisés simplifie le processus de renforcement et de surveillance de vos actifs informatiques ; par exemple, Netwrix Change Tracker fournit des modèles de construction certifiés CIS qui vous aident à établir rapidement des configurations de base solides et vous alerte des changements inattendus en temps réel afin que vous puissiez agir promptement pour minimiser les risques.

Contrôle 05. Account Management

La gestion des comptes était le Contrôle 16 dans la version 7 des CIS Controls.

La gestion sécurisée des comptes utilisateurs, administrateurs et de service est essentielle pour prévenir leur exploitation par des attaquants. Le contrôle 5 comprend six étapes pour éviter les problèmes de sécurité causés par des comptes vulnérables :

  • Créez et maintenez un inventaire de tous les comptes.
  • Utilisez des mots de passe uniques.
  • Désactivez les comptes qui n'ont pas été utilisés depuis 45 jours.
  • Restreignez l'utilisation des comptes privilégiés.
  • Créez et maintenez un inventaire des comptes de service.
  • Centralisez toute la gestion des comptes.

Pourquoi est-ce critique ?Les comptes privilégiés et inutilisés offrent une voie d'accès aux attaquants pour cibler votre réseau. Minimiser et contrôler ces comptes aidera à protéger vos données et votre réseau contre les accès non autorisés.

Contrôle 06. Gestion du contrôle d'accès

Cette mesure de protection fusionne les contrôles 4 et 14 de la version 7 des CIS Controls.

Le contrôle 6 concerne la gestion des privilèges utilisateurs. Ses meilleures pratiques incluent l'établissement d'un processus d'octroi et de révocation d'accès, l'utilisation de l'authentification multifactorielle et la tenue d'un inventaire des systèmes pour le contrôle d'accès.

Pourquoi est-ce critique ?Accorder des privilèges trop larges par souci de rapidité ouvre une voie d'attaque. En limitant les droits d'accès de chaque utilisateur uniquement à ce qui est nécessaire pour son travail, vous limiterez votre surface d'attaque.

Contrôle 07. Gestion continue des vulnérabilités

Dans la version 7 des CIS Controls, continuous vulnerability management était couvert par le Contrôle 3.

Ce contrôle couvre l'identification, la priorisation, la documentation et la remédiation de chaque vulnérabilité de sécurité dans votre réseau. Des exemples incluent les services ouverts et les ports réseau, ainsi que les comptes et mots de passe par défaut.

Pourquoi est-ce critique ? Les organisations qui n'identifient pas de manière proactive les vulnérabilités de l'infrastructure et qui ne prennent pas de mesures de remédiation sont susceptibles de voir leurs actifs compromis ou de subir des perturbations commerciales.

Contrôle 08. Audit Log Management

Ce sujet a été traité dans le Contrôle 6 de la version 7 des CIS Controls.

La gestion des journaux d'audit implique des contrôles liés à la collecte, au stockage, à la conservation, à la synchronisation temporelle et à l'examen des journaux d'audit.

Pourquoi est-ce critique ?La journalisation et l'analyse de la sécurité aident à empêcher les attaquants de cacher leur emplacement et leurs activités. Même si vous savez quels systèmes ont été compromis lors d'un incident de sécurité, si vous n'avez pas de journaux complets, vous aurez du mal à comprendre ce qu'un attaquant a fait jusqu'à présent et à réagir efficacement. Les journaux seront également nécessaires pour les enquêtes de suivi et la détermination de l'origine des attaques qui sont restées non détectées pendant longtemps.

Contrôle 09. Protections des emails et du navigateur web

Cette mesure de protection était le Contrôle 7 dans la version 7 des CIS Controls.

Les e-mails et les navigateurs web sont des vecteurs d'attaque courants. Les contrôles techniques principaux pour sécuriser les serveurs de messagerie et les navigateurs web incluent le blocage des URL malveillantes et des types de fichiers. Pour une protection plus complète contre de telles attaques, vous devez également fournir une formation à l'échelle de l'organisation sur les meilleures pratiques de sécurité.

Pourquoi est-ce critique ? En utilisant des techniques telles que le spoofing et l'ingénierie sociale, les attaquants peuvent tromper les utilisateurs pour qu'ils prennent des actions qui peuvent propager des logiciels malveillants ou donner accès à des données confidentielles.

Contrôle 10. Défenses contre les logiciels malveillants

Ce sujet a été traité dans le Contrôle 8 de la version 7 des CIS Controls.

Les organisations maniant les rançongiciels et autres logiciels malveillants sont devenues aussi professionnelles que les entreprises classiques. Ce contrôle décrit les mesures de protection pour prévenir ou contrôler l'installation, l'exécution et la propagation de logiciels malveillants. La gestion centralisée des outils anti-malware basés sur le comportement et sur les signatures avec des mises à jour automatiques offre la protection la plus robuste contre les logiciels malveillants.

Pourquoi est-ce critique ? Les logiciels malveillants peuvent se présenter sous forme de chevaux de Troie, de virus et de vers qui volent, chiffrent ou détruisent vos données. Les rançongiciels représentent une activité lucrative, avec un coût global attendu à atteindre 265 milliards de dollars d'ici 2031. Suivre les pratiques décrites dans le Contrôle 9 aidera à protéger votre organisation contre une infection par logiciel malveillant coûteuse et dommageable.

Contrôle 11. Data Recovery

La récupération de données était le Contrôle 10 dans la version 7 des CIS Controls.

Le contrôle 11 décrit cinq mesures de protection pour garantir la sauvegarde de vos données. Elles comprennent les éléments suivants :

  • Processus de récupération de données
  • Sauvegardes automatisées
  • Protection des données de sauvegarde
  • Isoler les données de sauvegarde
  • Test des protocoles de récupération de données

Pourquoi est-ce critique ? S'assurer que vous avez une sauvegarde actuelle de vos données dans un emplacement protégé et isolé peut vous éviter de devoir céder à une extorsion coûteuse pour récupérer l'accès à vos données après une attaque par rançongiciel. De plus, une sauvegarde et une récupération de données efficaces sont également nécessaires pour protéger votre organisation contre des menaces telles que la suppression accidentelle et la corruption de fichiers.

Contrôle 12. Network Infrastructure Management

La gestion de l'infrastructure réseau est un nouveau contrôle pour la version 8. Elle vous oblige à gérer activement tous vos appareils réseaus pour atténuer les risques d'attaques ciblant les services réseau compromis et les points d'accès.

Pourquoi est-ce critique ? La sécurité du réseau est un élément fondamental dans la défense contre les attaques. Les entreprises doivent constamment évaluer et mettre à jour les configurations, le contrôle d'accès et les flux de trafic pour renforcer leur infrastructure réseau. Documenter entièrement tous les aspects de votre infrastructure réseau et la surveiller pour détecter les modifications non autorisées peut vous alerter sur les risques de sécurité.

Contrôle 13. Surveillance et défense du réseau

Le contrôle 13 est également un nouvel ajout aux CIS Controls. Il se concentre sur l'utilisation de processus et d'outils pour surveiller et défendre contre les menaces de sécurité à travers votre infrastructure réseau et votre base d'utilisateurs. Les 11 mesures de protection dans ce contrôle couvrent comment collecter et analyser les données nécessaires pour détecter les intrusions, filtrer le trafic, gérer le contrôle d'accès, collecter les journaux de flux de trafic et émettre des alertes concernant les événements de sécurité.

Pourquoi est-ce critique ? Combiner une technologie automatisée et une équipe formée pour mettre en œuvre des processus de détection, d'analyse et d'atténuation des menaces réseau peut aider à se protéger contre les attaques de cybersécurité.

Contrôle 14. Sensibilisation à la sécurité et formation des compétences

Ce sujet a été traité dans le Contrôle 17 de la version 7 des CIS Controls.

Le contrôle 14 concerne la mise en place d'un programme éducatif pour améliorer la sensibilisation et les compétences en cybersécurité parmi tous vos utilisateurs. Ce programme de formation devrait :

  • Formez les gens à reconnaître les attaques d'ingénierie sociale.
  • Couvrir les meilleures pratiques d'authentification.
  • Abordez les meilleures pratiques de gestion des données, y compris les dangers de la transmission de données sur des réseaux non sécurisés.
  • Expliquez les causes de l'exposition involontaire des données.
  • Formez les utilisateurs à reconnaître et à signaler les incidents de sécurité et .
  • Expliquez comment identifier et signaler les mises à jour de sécurité manquantes.
  • Fournissez une formation spécifique au rôle sur la sensibilisation et les compétences en matière de sécurité.

Pourquoi est-ce critique ? De nombreuses violations de données sont causées par des erreurs humaines, des attaques de phishing et des politiques de password policies. Former vos employés à la sensibilisation à la sécurité peut prévenir les violations de données coûteuses, le vol d'identité, les pénalités de conformité et d'autres dommages.

Contrôle 15. Gestion des fournisseurs de services

Le contrôle 15 est le dernier nouveau contrôle dans la version 8. Il concerne les données, les processus et les systèmes gérés par des tiers. Il comprend des directives pour créer un inventaire des prestataires de services, gérer et classer les prestataires de services, inclure des exigences de sécurité dans vos contrats, et évaluer, surveiller et résilier de manière sécurisée les prestataires de services.

Pourquoi est-ce critique ? Même lorsque vous externalisez un service, vous êtes ultimement responsable de la sécurité de vos données et pourriez être tenu responsable de toute violation. Bien que l'utilisation de prestataires de services puisse simplifier vos opérations commerciales, vous pouvez rapidement rencontrer des complications si vous n'avez pas un processus détaillé pour garantir que les données gérées par des tiers sont sécurisées.

Contrôle 16. Sécurité des logiciels d'application

Cette mesure de protection était le Contrôle 18 dans la 7e version des CIS Controls.

Gérer le cycle de vie de la sécurité de votre logiciel est essentiel pour détecter et corriger les faiblesses de sécurité. Vous devriez régulièrement vérifier que vous utilisez uniquement les versions les plus récentes de chaque application et que tous les correctifs pertinents sont installés rapidement.

Pourquoi est-ce critique ? Les attaquants profitent souvent des vulnérabilités dans les applications web et autres logiciels. Des méthodes d'exploitation telles que les débordements de tampon, les attaques par injection SQL, les scripts intersites et le détournement de clics de code peuvent leur permettre de compromettre vos données sans avoir à contourner les contrôles de sécurité réseau et les capteurs.

Contrôle 17. Gestion des réponses aux incidents

La gestion des réponses aux incidents était le Contrôle 19 dans la 7e version des CIS Controls.

Une réponse appropriée aux incidents peut faire la différence entre un désagrément et une catastrophe. Elle comprend la planification, la définition des rôles, la formation, la supervision de la gestion et d'autres mesures nécessaires pour aider à découvrir les attaques et à contenir les dommages plus efficacement.

Pourquoi est-ce critique ? Malheureusement, dans la plupart des cas, la possibilité d'une cyberattaque réussie n'est pas une question de « si » mais de « quand ». Sans un plan de réponse aux incidents, vous pourriez ne pas découvrir une attaque avant qu'elle n'inflige de graves dommages. Avec un plan de réponse aux incidents robuste, vous pourriez être capable d'éradiquer la présence de l'attaquant et de restaurer l'intégrité du réseau et des systèmes avec peu d'arrêt.

Contrôle 18. Test de pénétration

Ce sujet a été traité par le Contrôle 20 dans la 7ème version des CIS Controls.

Ce contrôle vous oblige à évaluer la solidité de vos défenses en réalisant régulièrement des tests de pénétration externes et internes. La mise en œuvre de ce contrôle vous permettra d'identifier les vulnérabilités dans votre technologie, vos processus et votre personnel que les attaquants pourraient exploiter pour pénétrer dans votre réseau et causer des dommages.

Pourquoi est-ce critique ?Les attaquants sont impatients d'exploiter les lacunes de vos processus, comme les retards dans l'installation des correctifs. Dans un environnement complexe où la technologie évolue constamment, il est particulièrement vital de tester périodiquement vos défenses pour identifier les lacunes et les combler avant qu'un attaquant n'en profite.

Mise en œuvre des contrôles : Une approche pragmatique

Tirer parti des CIS Critical Security Controls ne signifie pas nécessairement mettre en œuvre les 18 contrôles simultanément. Peu d'organisations disposent du budget, des ressources humaines et du temps nécessaires pour mettre en œuvre simultanément l'ensemble des contrôles.

Les étapes suivantes fournissent un guide pratique pour commencer :

  1. Découvrez vos actifs d'information et estimez leur valeur. Réalisez une évaluation des risques et réfléchissez aux attaques potentielles contre vos systèmes et données, y compris les points d'entrée initiaux, la propagation et les dommages. Développez un programme de gestion des risques pour guider la mise en œuvre des contrôles.
  2. Comparez vos contrôles de sécurité actuels aux CIS Controls. Prenez note de chaque domaine où aucune capacité de sécurité n'existe ou où un travail supplémentaire est nécessaire.
  3. Élaborez un plan pour adopter les nouveaux contrôles de sécurité les plus précieux et pour améliorer l'efficacité opérationnelle de vos contrôles existants.
  4. Obtenez l'adhésion de la direction pour le plan et formez des engagements de la part des lignes de métier pour le soutien financier et en personnel nécessaire.
  5. Mettez en œuvre les contrôles. Surveillez les tendances susceptibles d'introduire de nouveaux risques pour votre organisation. Mesurez les progrès dans la réduction des risques et communiquez vos découvertes.

Voulez-vous en savoir plus sur les 18 Contrôles de Sécurité Critiques ? Visitez le site officiel du CIS Center for Internet Security : https://www.cisecurity.org/controls/

FAQ

Quels sont les contrôles CIS ?

Les contrôles CIS sont des directives qui fournissent aux organisations une liste de tâches prioritaires et efficaces pour se défendre contre les attaques cybernétiques les plus courantes et dévastatrices. Ils offrent un point de départ pour toute organisation souhaitant améliorer sa cybersécurité.

Combien y a-t-il de contrôles CIS ?

Dans la dernière version (version 8), il y a 18 contrôles CIS.

Qui a créé les CIS Controls ?

Les contrôles CIS ont été créés par un groupe de bénévoles internationaux, comprenant des professionnels de la cybersécurité et des décideurs politiques issus d'agences gouvernementales et du secteur privé.

Pourquoi une organisation devrait-elle mettre en œuvre les contrôles CIS ?

L'un des plus grands avantages des CIS Controls est la priorisation inhérente dans les 18 étapes d'action. La cybersécurité est un domaine vaste qui peut être accablant pour les organisations qui commencent à établir une stratégie. Les CIS Controls énumèrent les actions les plus précieuses que vous pouvez entreprendre pour protéger vos systèmes et vos données.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Mark Kedgley

Directeur Technique

Mark Kedgley est le directeur technique chez Netwrix et co-fondateur de New Net Technologies (NNT), désormais partie intégrante de Netwrix. Il est chargé d'améliorer continuellement les solutions de cybersécurité et de conformité de Netwrix pour poursuivre notre mission de protéger les données sensibles des clients contre les menaces de sécurité de la manière la plus efficace et économique tout en maintenant notre facilité d'utilisation leader sur le marché. Mark possède près de 30 ans d'expérience dans l'industrie informatique. Ses anciens postes chez Cable & Wireless, Allen Systems Group et d'autres organisations de premier plan couvrent une variété de rôles, y compris le support, la vente de solutions et le développement commercial. Mark est titulaire d'un B.Sc. (Hons) en physique de l'Université de Birmingham

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité