CIScontrols

Les contrôles du Center for Internet Security (CIS Controls ) sont un ensemble de bonnes pratiques en matière de cybersécurité conçues pour aider les organisations à protéger leurs systèmes et leurs données contre les cybermenaces. Ces contrôles constituent une approche structurée de la réduction des risques, quelle que soit la taille de l'organisation. Les contrôles CIS sont reconnus au niveau mondial et sont souvent utilisés comme guide pour établir et renforcer une stratégie de sécurité solide.

Que sont les contrôles CIS ?

Les contrôles CIS sont un ensemble de 18 mesures spécifiques que les organisations peuvent prendre pour sécuriser leurs systèmes informatiques contre les cybermenaces les plus courantes. Ces contrôles ont été mis au point par le Center for Internet Security (CIS), une organisation à but non lucratif qui se consacre à l'amélioration de la cybersécurité au niveau mondial. Les contrôles sont fondés sur des observations concrètes et évoluent constamment pour faire face aux nouvelles menaces.

Les 18 contrôles CIS sont répartis en trois catégories, en fonction du niveau de priorité et des ressources de l'organisation :

  1. Contrôles de base (1-6): Il s'agit des actions essentielles que chaque organisation doit mettre en œuvre pour assurer un niveau de protection de base.
  2. Contrôles fondamentaux (7-16): Ces contrôles s'appuient sur les contrôles de base et assurent une protection plus approfondie grâce à des mesures plus avancées.
  3. Contrôles organisationnels (17-18): Ces contrôles sont axés sur la gestion et l'instauration d'une solide culture de la sécurité au sein de l'organisation.

Les 18 contrôles CIS

  1. Inventaire des biens gérésFournir une vue d'ensemble détaillée de tout le matériel et de tous les dispositifs de votre réseau. Cela permet d'identifier les appareils non autorisés et de réduire le risque d'accès non désiré.
  2. Inventaire des logicielsConservez une liste de tous les logiciels installés et limitez l'utilisation des applications non autorisées. Cela permet d'éviter que des logiciels malveillants ou indésirables ne s'exécutent sur les systèmes.
  3. Gestion des vulnérabilitésExécuterrégulièrement des analyses de sécurité pour identifier les vulnérabilités des systèmes et des applications et les résoudre rapidement par des correctifs ou des mises à jour.
  4. Contrôle des utilisateurs disposant de droits d'administrationRestreindre et contrôler les personnes disposant de droits d'administration au sein de l'organisation. Cela empêche les utilisateurs non autorisés de modifier des paramètres importants du système.
  5. Gestion des utilisateurs et des accèsAssurer une gestion stricte des accès où chaque utilisateur ne peut accéder qu'aux informations et aux systèmes nécessaires à son travail.
  6. Gestion des configurations de sécuritéÉtablir des configurations de sécurité pour le matériel et les logiciels afin de minimiser les vulnérabilités. Cela inclut, par exemple, les paramètres du pare-feu, les politiques de mot de passe et le cryptage.
  7. Surveillance et enregistrement continusVeiller à ce que tous les systèmes soient surveillés en permanence et à ce que les activités soient enregistrées. Cela permet d'identifier rapidement les activités suspectes.
  8. Protection contre les logiciels malveillantsMettreen œuvre et maintenir des programmes de protection contre les logiciels malveillants afin de protéger les systèmes contre les virus, les vers, les rançongiciels et autres logiciels malveillants.
  9. Sécurité du courrier électronique et du navigateur webProtéger lessystèmes de courrier électronique et de navigation contre les attaques telles que l'hameçonnage, les téléchargements de type « drive-by » et l'exploitation de logiciels obsolètes.
  10. Sauvegarde et récupération des donnéesAssurer des sauvegardes régulières des données critiques et tester les procédures de récupération pour éviter la perte de données en cas d'incident.
  11. Gestion sécurisée des logicielsAppliquer des pratiques de sécurité à chaque étape du développement des logiciels, de la conception au déploiement, afin de minimiser les vulnérabilités.
  12. Sécurisation des ports, protocoles et services du réseauGérer l'accès au réseau en fermant les ports et services inutilisés et en n'utilisant que les protocoles autorisés afin de réduire la probabilité d'attaques.
  13. Protection des donnéesMettre en œuvre des mesures telles que le cryptage et le contrôle d'accès pour protéger les informations sensibles contre les accès non autorisés et les pertes.
  14. Surveillance de la sécurité du réseauUtiliser desoutils tels que des pare-feu et des systèmes de détection d'intrusion pour surveiller le trafic réseau et bloquer les attaques potentielles.
  15. Sécurité des appareils mobilesMettre en œuvre desmesures de sécurité pour les appareils mobiles tels que les smartphones et les tablettes, y compris le cryptage et la gestion à distance, afin de protéger les données sensibles.
  16. Surveillance et gestion des comptesSurveiller les comptes d'utilisateurs et veiller à ce que les comptes inactifs soient rapidement supprimés ou désactivés afin d'empêcher tout accès non autorisé.
  17. Mise en œuvre d'un programme de sensibilisation à la sécuritéOrganiser régulièrement des formations pour les employés afin de les sensibiliser aux cybermenaces telles que le phishing et l'ingénierie sociale.
  18. Réponse et gestion des incidentsÉlaboreret tester un plan détaillé de réponse aux incidents afin de réagir rapidement aux cyberattaques et d'en atténuer l'impact.

L'importance des contrôles SID

Les contrôles CIS aident les organisations à gérer systématiquement les risques et à renforcer leur sécurité. En mettant en œuvre ces contrôles, les entreprises peuvent se protéger contre les cybermenaces les plus courantes, telles que les logiciels malveillants, le phishing et les attaques contre les systèmes vulnérables.

Principaux avantages de la mise en œuvre des contrôles SID

  • Une sécurité renforcée: Les contrôles CIS fournissent un cadre qui aide les organisations à prendre les bonnes mesures pour sécuriser leurs systèmes informatiques.
  • Gestion des risques: Les organisations peuvent mieux répondre aux risques potentiels et aux cyber-attaques en se concentrant sur les domaines les plus vulnérables.
  • Conformité: Les contrôles CIS sont conformes à de nombreuses normes et réglementations internationales, telles que le GDPR, le NIST et l'ISO 27001, ce qui permet de se conformer aux obligations légales.
  • Rentabilité: En donnant la priorité aux mesures de sécurité les plus critiques, les organisations peuvent utiliser efficacement leurs budgets et leurs ressources en matière de sécurité.
dreamstime_xxl_126587946.jpg

Les contrôles CIS en pratique

Les contrôles CIS peuvent être facilement adaptés à la taille et à la complexité d'une organisation. Les petites organisations peuvent commencer par les contrôles de base (1 à 6) et développer leurs programmes de sécurité au fil du temps, tandis que les grandes entreprises peuvent mettre en œuvre l'ensemble des contrôles.

Le CIS propose également des outils, tels que le guide de mise en œuvre des contrôles CIS et le CIS-CAT (CIS Configuration Assessment Tool), pour aider les organisations à évaluer leur niveau de sécurité et à mettre facilement en œuvre les contrôles adéquats.

L'avenir des contrôles CIS

Les cybermenaces continuent d'évoluer, c'est pourquoi les contrôles CIS continuent également d'évoluer. De nouvelles versions des contrôles sont publiées régulièrement pour prendre en compte les nouvelles technologies et les menaces émergentes telles que la sécurité du cloud, l'intelligence artificielle et l'internet des objets (IoT). Cela signifie que les organisations qui suivent les contrôles CIS ont accès aux stratégies les plus récentes pour sécuriser leurs réseaux et leurs données.

Choisir IRM360

Avec IRM360, vous êtes assuré d'un avenir sûr et conforme d'une manière évolutive, pratique et rentable.

Avec nos autres systèmes de gestion pour la confidentialité, la continuité des affaires, l'intelligence artificielle et la sensibilisation aux risques, entre autres, vous pouvez facilement étendre votre contrôle à votre rythme.

Contactez-nous dès aujourd'hui pour plus d'informations ou demandez une démonstration en ligne de notre logiciel.

Cliquez ici pour demander une démonstration en ligne.

dreamstime_xxl_34685949.jpg

ISO 27001

Répondre aux exigences en matière de sécurité de l'information de manière structurée et simple

En savoir plus

ISO27701 AVG.jpg

ISO 22301

Assurez-vous que votre organisation est prête pour la certification de la continuité des activités !

En savoir plus

Normen-ISMS-Cyber-Security.jpg

Cybersecurity Framework

Protégez mieux votre organisation contre les cyberattaques grâce aux lignes directrices du NIST !

En savoir plus

En savoir plus sur le système de gestion IRM360 ?

Cliquez ici pour plus d'informations !

Nous serions ravis de prendre contact avec vous.

Envoyez un courrier à : sales@irm360.nl ou remplissez le formulaire de contact.