La vision de Cyber Academy
Les CIS Critical Security Controls sont un ensemble priorisé de 18 catégories de contrôles publié par le Center for Internet Security. Les groupes d'implémentation (IG1, IG2, IG3) correspondent au niveau de maturité de l'organisation. C'est le moyen le plus rapide de porter une petite ou moyenne organisation vers une posture défendable. Le référentiel s'articule naturellement avec l'Annexe A d'ISO/IEC 27001.
Ce que sont réellement les CIS Controls
Les CIS Critical Security Controls sont une réponse ordonnée et tranchée à une question que tout défenseur se pose : parmi toutes les choses que vous pourriez faire, lesquelles faut-il faire en premier ?
Publiés et maintenus par le Center for Internet Security, ils distillent des données d'attaques réelles en un ensemble priorisé de mesures de protection, regroupées en 18 catégories de contrôles, de l'inventaire des actifs et logiciels de l'entreprise à la protection des données, au contrôle d'accès, à la gestion continue des vulnérabilités, à la gestion des journaux d'audit et à la réponse aux incidents.
Contrairement à un référentiel qui vous demande d'établir un processus, les Controls vous disent concrètement quoi mettre en œuvre et, à peu près, dans quel ordre, ce qui explique pourquoi ils constituent souvent le chemin le plus rapide pour passer d'une absence de programme de sécurité à un programme défendable.
La caractéristique déterminante est la priorisation. La liste n'est ni alphabétique ni théorique ; les premiers contrôles sont ceux qui bloquent les attaques les plus courantes. Savoir quel matériel et quels logiciels vous possédez, les configurer de manière sécurisée, contrôler les privilèges d'administration et corriger les vulnérabilités connues empêchent une large part des incidents réels avant que vous ne dépensiez le moindre euro en outils avancés. C'est cet ordre qui constitue la valeur : une petite équipe au temps limité peut commencer par le haut et descendre, certaine de combler les failles que les attaquants exploitent réellement.
Les Implementation Groups : IG1, IG2, IG3
Les Controls s'adaptent à l'échelle grâce à trois Implementation Groups, de sorte que le même catalogue serve aussi bien une entreprise de deux personnes qu'une multinationale. IG1 est défini comme l'hygiène cyber de base, l'ensemble minimal que toute organisation devrait avoir mis en place, conçu pour les entreprises aux compétences et aux ressources limitées afin de se protéger contre des attaques non sophistiquées et opportunistes.
IG2 ajoute des mesures de protection pour les organisations qui gèrent des données plus sensibles et font face à des adversaires plus capables. IG3 est l'ensemble complet, destiné aux organisations matures qui détiennent des actifs critiques et doivent se défendre contre des attaques ciblées et sophistiquées. Chaque groupe est cumulatif : IG2 inclut tout ce qui figure dans IG1, et IG3 inclut tout ce qui figure dans IG1 et IG2.
| Groupe | À qui il convient | Posture |
|---|---|---|
| IG1 | Petites et moyennes organisations, ressources informatiques et de sécurité limitées | Hygiène cyber essentielle, défense de base |
| IG2 | Organisations détenant des données plus sensibles, équipe de sécurité dédiée | Durcie contre des attaquants plus capables |
| IG3 | Organisations matures aux actifs critiques et à forte exposition | Ensemble complet de mesures de protection contre les attaques ciblées |
En pratique, vous procédez à une auto-évaluation pour vous situer dans un Implementation Group, puis vous traitez les mesures de protection de ce groupe comme votre plan de travail. La plupart des petites et moyennes organisations devraient d'abord viser franchement IG1 et ne passer à IG2 qu'une fois celui-ci consolidé. C'est ce qui rend les Controls accessibles là où un système de management complet peut sembler hors de portée : on vous remet une liste de vérification finie, testable et dimensionnée à votre réalité.
Leur place aux côtés de l'ISO 27001 et d'autres référentiels
Les CIS Controls sont un catalogue de contrôles, et non un système de management certifiable, et cette distinction a son importance. L'ISO 27001 certifie que vous exploitez un système de management de la sécurité de l'information avec appréciation des risques, déclaration d'applicabilité et amélioration continue ; le CIS vous fournit un ensemble concret et priorisé de mesures de protection techniques et opérationnelles à mettre en œuvre en dessous. Ils sont complémentaires plutôt que concurrents.
Le CIS publie des correspondances entre ses mesures de protection et l'Annexe A de l'ISO 27001 ainsi qu'avec d'autres références telles que les référentiels NIST, de sorte que le travail de mise en œuvre réalisé pour le CIS devienne une preuve que vous pouvez présenter au regard d'un ensemble de contrôles ISO. Les équipes utilisent fréquemment le CIS pour piloter le durcissement concret, puis font remonter cet effort vers le référentiel exigé par leurs auditeurs ou leurs clients.
Frequently asked questions
01Combien y a-t-il de CIS Controls ?
Il y a 18 catégories de contrôles dans la version actuelle, chacune contenant un ensemble de mesures de protection spécifiques. Le nombre de mesures de protection que vous mettez en œuvre dépend de l'Implementation Group que vous visez.
02Par quel Implementation Group une petite organisation devrait-elle commencer ?
IG1, défini comme l'hygiène cyber essentielle. C'est le socle minimal conçu pour les organisations aux ressources de sécurité limitées, et il devrait être pleinement en place avant de passer à IG2.
03Les CIS Controls sont-ils une certification ?
Non. Ils constituent un catalogue priorisé de mesures de protection, et non un système de management certifiable. Il n'existe aucun certificat CIS à afficher, même si vous pouvez procéder à une auto-évaluation et utiliser les Controls pour piloter un programme qui soutient des certifications comme l'ISO 27001.
04Quel est le lien entre les CIS Controls et l'ISO 27001 ?
Ils la complètent. Le CIS vous fournit des mesures de protection techniques concrètes et priorisées à mettre en œuvre, tandis que l'ISO 27001 certifie le système de management qui les entoure. Le CIS publie des correspondances vers l'Annexe A de l'ISO 27001, de sorte que le même travail soutient les deux.
05Les CIS Controls sont-ils gratuits à utiliser ?
Oui. Les Controls ainsi que leurs correspondances et outils associés sont publiés par le Center for Internet Security et sont librement disponibles, ce qui explique en partie pourquoi ils constituent un point de départ populaire pour les équipes aux ressources contraintes.