Le référentiel CIS
Le référentiel « CIS Controls » est régulièrement mis à jour par l’organisation Center For Internet Security qui produit aussi les guides « CIS benchmarks » massivement utilisés pour durcir les systèmes. Le référentiel CIS est un catalogue de bonnes pratiques en cyber sécurité. Il est adapté aussi bien pour les petites entreprises que pour les grands groupes. Ce référentiel est au programme du domaine 1 de la certification CISSP au même titre que d’autres documents : ISO 27002, NIST 800-53 ou encore référentiel « NIST CSF ». Il fait partie de la même catégorie que le guide d’hygiène de l’ANSSI en France.
Utilisation du référentiel
Le groupe de travail qui produit le référentiel coopère étroitement avec d’autres initiatives du NIST, de la Cloud Security Alliance (à l’origine de la certification CCSK et partie prenante de la certification CCSP), de SAFECode (sécurisation du cycle de développement), du MITRE (en particulier au travers ATT&CK) et de l’OWASP pour la sécurisation des applications et des API. La conformité FISMA, importante aux Etats-Unis est aussi intégrée.
Les bonnes pratiques du catalogue sont classées en trois catégories appelées « Implementation Groups » - IG. Ces catégories correspondent à la taille et aux moyens de l’entreprise qui met en œuvre les mesures de sécurité.
- IG1 : petites à moyennes entreprises possédant des compétences limitées en IT et en cybersécurité.
- IG2 : entreprises dont la taille est suffisante pour disposer d’employés ou de prestataires en charge de la protection des infrastructures IT.
- IG3 : entreprises qui emploient des experts (employés ou prestataires) en cyber sécurité spécialisés dans différents domaines (gestion du risque, tests d’intrusion, sécurité des applications…).
Chaque catégorie est cumulative. Une entreprise qui choisit de mettre en place les mesures IG2 doit aussi mettre en place les mesures IG1.
Source : Center for Internet Security
Les mesures
Le référentiel CIS détaille 153 mesures de sécurité réparties en 18 catégories. Chacune de ces mesures est identifiée en termes d’IG (1, 2 ou 3) et de fonction de sécurité (protéger, identifier, détecter et répondre).
Les 18 catégories sont les suivantes :
- Inventaire et contrôle des matériels et composants IT (5 mesures).
- Inventaire et contrôle des logiciels et des outils applicatifs (7 mesures), voir pour ces 12 premières mesures la cartographie du SI.
- Protection des données (14 mesures).
- Sécurisation des configurations (12 mesures).
- Gestion des comptes (6 mesures).
- Contrôle d’accès (8 mesures).
- Gestion des vulnérabilités (7 mesures).
- Logs (12 mesures).
- Messagerie et navigation Web (7 mesures).
- Protection contre les programmes malveillants (7 mesures).
- Restauration des données (5 mesures).
- Sécurisation du réseau (8 mesures).
- Supervision (11 mesures).
- Sensibilisation et montée en compétences des équipes (9 mesures).
- Sous-traitants (7 mesures).
- Sécurité des applications (14 mesures).
- Réponses aux incidents (9 mesures).
- Tests d’intrusion (5 mesures).
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :