CIS Critical Security Controls v8

Guide de conformite aux Controles CIS v8

Les CIS Critical Security Controls fournissent 18 mesures de protection prioritaires pour proteger les organisations contre les cybermenaces. Que vous mettiez en oeuvre les essentiels IG1 ou les protections avancees IG3, nous vous aidons a construire des defenses de cybersecurite efficaces avec des actions claires et des preuves.

Demarrer l'evaluation de securiteReserver un appel de mise en oeuvre

Que sont les Controles CIS ?

Les CIS Critical Security Controls (Controles CIS) sont un ensemble priorise d'actions developpees par le Center for Internet Security pour proteger les organisations contre les vecteurs d'attaque cyber connus. La version 8 comprend 18 controles avec 153 mesures de protection organisees en trois Groupes de mise en oeuvre.

Pourquoi c'est important : Les Controles CIS sont construits a partir de schemas d'attaque reels et de strategies de defense. Ils sont independants des fournisseurs, actionnables et largement reconnus par les fournisseurs d'assurance cyber et les auditeurs comme preuve de diligence en matiere de securite.

Priorise

Se concentre d'abord sur les defenses a plus fort impact

Actionnable

Mesures de protection techniques specifiques a mettre en oeuvre

Se mappe au NIST CSF, ISO 27001 et aux exigences SOC 2.

Qui devrait mettre en oeuvre les Controles CIS ?

Petites et moyennes entreprises

Organisations cherchant une hygiene cyber essentielle avec l'IG1

Organisations d'entreprise

Entreprises avec des departements IT mettant en oeuvre l'IG2 ou l'IG3

Infrastructures critiques

Organisations protegeant les services et systemes essentiels

Industries reglementees

Services financiers, sante repondant aux exigences de conformite

Fournisseurs de services geres

MSP mettant en oeuvre les Controles CIS pour leurs clients

Agences gouvernementales

Organisations du secteur public securisant des donnees sensibles

Comment VerifyWise soutient la conformite aux Controles CIS

Capacites concretes qui repondent a la mise en oeuvre de toutes les mesures de protection

Inventaire et gestion des actifs

Maintenez des inventaires complets des actifs materiels, logiciels et de donnees avec une decouverte automatisee. La plateforme suit tous les appareils, applications et informations sensibles dans votre environnement, repondant aux exigences des Controles CIS 1 et 2.

Couvre : Controles 1, 2 : Inventaire et controle des actifs de l'entreprise

Gestion des vulnerabilites et des correctifs

Identifiez, suivez et remediez les vulnerabilites de securite a travers les systemes. La plateforme surveille l'etat des correctifs, priorise les mises a jour critiques et maintient des pistes d'audit pour la gestion des vulnerabilites alignee sur le Controle 7.

Couvre : Controle 7 : Gestion continue des vulnerabilites

Controle d'acces et authentification

Gerez les comptes utilisateurs, les privileges et les politiques d'authentification. La plateforme applique les principes de moindre privilege, suit le cycle de vie des comptes et surveille les acces privilegies conformement aux Controles 5 et 6.

Couvre : Controles 5, 6 : Gestion des comptes et du controle d'acces

Surveillance de securite et journalisation

Collectez, analysez et conservez les journaux de securite des systemes critiques. La plateforme centralise la gestion des journaux, permet la detection des menaces et maintient les preuves pour les enquetes d'incidents selon les Controles 8 et 13.

Couvre : Controles 8, 13 : Gestion des journaux d'audit et surveillance du reseau

Reponse aux incidents et reprise

Gerez les incidents de securite avec des workflows structures et des procedures de reprise. La plateforme documente le traitement des incidents, suit la remediation et permet l'analyse post-incident alignee sur le Controle 17.

Couvre : Controle 17 : Gestion de la reponse aux incidents

Suivi des politiques et de la conformite

Maintenez les politiques de securite, les standards et les preuves de conformite. La plateforme fournit des modeles pour les politiques alignees CIS, suit la mise en oeuvre des controles et genere des rapports pour les audits selon le Controle 1.

Couvre : Controle 1 : Gestion du programme de securite et des politiques

Toutes les activites de securite sont suivies avec horodatages, proprietaires assignes et workflows d'approbation. Cette piste d'audit demontre une mise en oeuvre systematique des controles pour les revues d'assurance cyber et les audits de conformite.

Couverture complete des mesures de protection CIS Controls v8

VerifyWise fournit des outils dedies pour les 153 mesures de protection a travers trois Groupes de mise en oeuvre

18

Controles CIS

153

Mesures de protection avec outils dedies

3

Groupes de mise en oeuvre

IG156/56

Hygiene cyber essentielle pour toutes les organisations

IG2131/131

Organisations avec du personnel et des ressources IT

IG3153/153

Organisations avec des equipes de securite dediees

Concu pour les Controles CIS des le depart

Suivi de l'inventaire des actifs

Decouverte et gestion automatisees pour les Controles 1-2

Gestion des vulnerabilites

Analyse continue et suivi des correctifs pour le Controle 7

Pret pour l'assurance

Packages de preuves pour les demandes d'assurance cyber

Correspondance multi-cadres

Correspondance avec NIST CSF, ISO 27001 et SOC 2

18 CIS Critical Security Controls

Mesures de protection prioritaires pour se defendre contre les vecteurs d'attaque cyber connus

Controle 1

Inventaire et controle des actifs de l'entreprise

Gerer activement tous les actifs de l'entreprise connectes a l'infrastructure, en s'assurant que seuls les appareils autorises peuvent acceder au reseau.

IG1IG2IG3
  • Etablir et maintenir l'inventaire des actifs
  • Traiter les actifs non autorises
  • Utiliser des outils de gestion des actifs
  • Assurer un adressage correct des actifs

Controle 2

Inventaire et controle des actifs logiciels

Gerer activement tous les logiciels sur le reseau afin que seuls les logiciels autorises soient installes et puissent s'executer.

IG1IG2IG3
  • Etablir et maintenir l'inventaire logiciel
  • Traiter les logiciels non autorises
  • Utiliser des outils d'inventaire logiciel
  • Utiliser les listes blanches et noires

Controle 3

Protection des donnees

Developper des processus et des controles techniques pour identifier, classer, gerer en securite, conserver et eliminer les donnees.

IG1IG2IG3
  • Etablir un processus de gestion des donnees
  • Classer les donnees sensibles
  • Chiffrer les donnees au repos et en transit
  • Appliquer les politiques de conservation des donnees

Controle 4

Configuration securisee des actifs et logiciels de l'entreprise

Etablir et maintenir des configurations securisees pour les actifs et logiciels de l'entreprise.

IG1IG2IG3
  • Etablir un processus de configuration securisee
  • Maintenir les standards de configuration
  • Deployer des outils de gestion de configuration systeme
  • Mettre en oeuvre la surveillance automatisee des configurations

Controle 5

Gestion des comptes

Utiliser des processus et des outils pour attribuer et gerer les autorisations d'acces aux comptes utilisateurs, y compris les comptes administrateur.

IG1IG2IG3
  • Etablir un processus d'octroi d'acces
  • Maintenir l'inventaire des comptes
  • Desactiver les comptes dormants
  • Restreindre les privileges administrateur

Controle 6

Gestion du controle d'acces

Utiliser des processus et des outils pour creer, attribuer, gerer et revoquer les identifiants d'acces et les privileges pour les comptes utilisateur, administrateur et de service.

IG1IG2IG3
  • Etablir un processus de revue d'acces
  • Centraliser le controle d'acces
  • Exiger l'authentification multi-facteurs
  • Definir et maintenir le controle d'acces base sur les roles

Controle 7

Gestion continue des vulnerabilites

Developper un plan pour evaluer et suivre en continu les vulnerabilites sur tous les actifs de l'entreprise au sein de l'infrastructure.

IG1IG2IG3
  • Etablir un processus de gestion des vulnerabilites
  • Effectuer des analyses de vulnerabilites automatisees
  • Remedier les vulnerabilites detectees
  • Gerer le cycle de vie de remediation des vulnerabilites

Controle 8

Gestion des journaux d'audit

Collecter, alerter, examiner et conserver les journaux d'audit des evenements qui pourraient aider a detecter, comprendre ou se remettre d'une attaque.

IG1IG2IG3
  • Etablir un processus de gestion des journaux d'audit
  • Collecter les journaux d'audit
  • Assurer un stockage adequat des journaux d'audit
  • Standardiser la synchronisation temporelle

Controle 9

Protections des e-mails et navigateurs web

Ameliorer les protections et les detections de menaces provenant des vecteurs e-mail et web, car ce sont des opportunites pour les attaquants de manipuler le comportement humain.

IG1IG2IG3
  • Assurer l'utilisation uniquement de navigateurs et clients e-mail pris en charge
  • Utiliser des services de filtrage DNS
  • Maintenir et appliquer les politiques de securite des e-mails
  • Bloquer les types de fichiers inutiles

Controle 10

Defenses contre les logiciels malveillants

Prevenir ou controler l'installation, la propagation et l'execution d'applications, de code ou de scripts malveillants sur les actifs de l'entreprise.

IG1IG2IG3
  • Deployer un logiciel anti-malware
  • Configurer les mises a jour automatiques de l'anti-malware
  • Activer les fonctionnalites anti-exploitation
  • Desactiver l'execution automatique et la lecture automatique

Controle 11

Recuperation des donnees

Etablir et maintenir des pratiques de recuperation des donnees suffisantes pour restaurer les actifs de l'entreprise dans un etat pre-incident et de confiance.

IG1IG2IG3
  • Etablir un processus de recuperation des donnees
  • Effectuer des sauvegardes automatisees
  • Proteger les donnees de recuperation
  • Tester regulierement la recuperation des donnees

Controle 12

Gestion de l'infrastructure reseau

Etablir, mettre en oeuvre et gerer activement la configuration de securite de l'infrastructure reseau, y compris les controles de securite reseau.

IG2IG3
  • S'assurer que l'infrastructure reseau est a jour
  • Etablir et maintenir une architecture reseau securisee
  • Gerer l'infrastructure reseau de maniere securisee
  • Deployer un IDS base sur le reseau

Controle 13

Surveillance et defense du reseau

Operer des processus et des outils pour etablir et maintenir une surveillance et une defense completes du reseau contre les menaces de securite.

IG2IG3
  • Centraliser les alertes d'evenements de securite
  • Deployer un IDS base sur l'hote
  • Effectuer le filtrage du trafic entre les segments de reseau
  • Gerer le controle d'acces pour les actifs distants

Controle 14

Formation a la sensibilisation et aux competences en securite

Etablir et maintenir un programme de sensibilisation a la securite pour influencer le comportement du personnel afin qu'il soit conscient de la securite.

IG1IG2IG3
  • Etablir un programme de sensibilisation a la securite
  • Former le personnel a l'authentification securisee
  • Former le personnel a la manipulation des donnees
  • Former les membres du personnel a identifier les attaques d'ingenierie sociale

Controle 15

Gestion des prestataires de services

Developper un processus pour evaluer les prestataires de services qui detiennent des donnees sensibles ou sont responsables des plateformes IT critiques d'une entreprise.

IG2IG3
  • Etablir un processus de gestion des prestataires de services
  • Maintenir l'inventaire des prestataires de services
  • Classer les prestataires de services
  • Examiner et mettre a jour les contrats des prestataires de services

Controle 16

Securite des logiciels applicatifs

Gerer le cycle de vie de securite des logiciels developpes en interne, heberges ou acquis pour prevenir, detecter et remedier les faiblesses de securite.

IG2IG3
  • Etablir un programme de securite des logiciels applicatifs
  • Etablir des pratiques de codage securise
  • Effectuer une analyse des causes racines
  • Separer les systemes de production et hors production

Controle 17

Gestion de la reponse aux incidents

Etablir un programme pour developper et maintenir une capacite de reponse aux incidents afin de decouvrir, contenir et se remettre des attaques.

IG1IG2IG3
  • Designer du personnel pour gerer les incidents
  • Etablir un processus de reponse aux incidents
  • Mener des exercices de routine de reponse aux incidents
  • Etablir et maintenir les coordonnees pour le signalement des incidents

Controle 18

Tests de penetration

Tester l'efficacite et la resilience des actifs de l'entreprise en identifiant et en exploitant les faiblesses des controles.

IG3
  • Etablir un programme de tests de penetration
  • Effectuer des tests de penetration externes periodiques
  • Remedier les conclusions des tests de penetration
  • Valider les controles de securite

Groupes de mise en oeuvre expliques

Choisissez les bonnes mesures de protection pour les ressources et le profil de risque de votre organisation

Groupe de mise en oeuvre 1 (IG1)

56 mesures de protection

Hygiene cyber essentielle pour toutes les organisations

Public cible

Petites et moyennes organisations avec une expertise et des ressources limitees en cybersecurite

Caracteristiques

  • Ressources IT et securite limitees
  • Controles de securite de base
  • Mesures de protection essentielles
  • Fondation pour la maturite en securite

Inclut

Controles 1-11, 14, 17

Groupe de mise en oeuvre 2 (IG2)

131 mesures de protection

Organisations avec du personnel et des ressources IT

Public cible

Organisations gerant plusieurs departements, systemes ou sites avec des ressources IT dediees

Caracteristiques

  • Personnel IT dedie
  • Complexite de securite moderee
  • Capacites de surveillance ameliorees
  • Approche basee sur les risques

Inclut

Tous les controles IG1 + Controles 12, 13, 15, 16

Groupe de mise en oeuvre 3 (IG3)

153 mesures de protection

Organisations avec des equipes de securite dediees

Public cible

Organisations avec une expertise significative en cybersecurite, protegeant des donnees sensibles ou des infrastructures critiques

Caracteristiques

  • Equipe de securite dediee
  • Protection avancee contre les menaces
  • Programme de securite complet
  • Accent sur la conformite reglementaire

Inclut

Tous les controles IG1 + IG2 + Controle 18

Controles CIS v8 vs v7.1

Ameliorations et changements cles dans la derniere version

Aspectv7.1v8Changement
Total des controles
20 controles18 controles (consolides)Rationalise
Mesures de protection
171 sous-controles153 mesures de protectionAffine et priorise
Groupes de mise en oeuvre
3 IG (IG1, IG2, IG3)3 IG maintenusOrientations clarifiees
Types d'actifs
Focus sur l'IT traditionnelInclut cloud, mobile, IoTCouverture modernisee
Protection des donnees
Controle 13Controle 3 (priorite elevee)Accent renforce
Chaine d'approvisionnement
Orientations limiteesControle 15 (renforce)Perimetre elargi
Focus sur les menaces
Menaces generalesRancongiciels et attaques modernesPriorites mises a jour
Metriques
Mesure basiqueOrientations de mesure amelioreesSuivi ameliore

Conseil de migration : Les organisations sur v7.1 devraient prioriser les controles mis a jour comme le Controle 3 (Protection des donnees), le Controle 15 (Gestion des prestataires de services) et l'inventaire modernise des actifs pour les environnements cloud et mobiles.

Voir le guide complet de migration v8

Feuille de route de mise en oeuvre sur 36 semaines

Un parcours pratique vers l'adoption des Controles CIS avec des jalons clairs

Phase 1Semaines 1-6

Fondation

  • Determiner le Groupe de mise en oeuvre approprie (IG1, IG2 ou IG3)
  • Etablir l'inventaire des actifs materiels et logiciels
  • Definir les configurations securisees et les standards
  • Mettre en oeuvre les politiques de base du controle d'acces
Phase 2Semaines 7-16

Controles fondamentaux

  • Deployer l'analyse des vulnerabilites et la gestion des correctifs
  • Mettre en oeuvre la journalisation et la surveillance d'audit
  • Etablir la protection et le chiffrement des donnees
  • Configurer les protections des e-mails et navigateurs web
Phase 3Semaines 17-26

Protection avancee

  • Deployer la segmentation et la surveillance du reseau
  • Mettre en oeuvre les procedures de reponse aux incidents
  • Etablir un programme de formation a la sensibilisation a la securite
  • Configurer les defenses anti-malware et les systemes de sauvegarde
Phase 4Semaines 27-36

Maturite et optimisation

  • Mener des tests de penetration (IG3)
  • Examiner et optimiser la gestion des prestataires de services
  • Ameliorer les pratiques de securite applicative
  • Etablir un cycle d'amelioration continue

Integration des CIS Benchmarks

Completez les Controles CIS avec des orientations de configuration specifiques pour votre pile technologique

Alors que les Controles CIS definissent ce qu'il faut proteger (18 controles de securite), les CIS Benchmarks fournissent des guides de configuration detailles pour comment securiser des systemes specifiques. Ensemble, ils offrent une couverture de cybersecurite complete de la strategie a la mise en oeuvre.

Controles CIS

Bonnes pratiques et mesures de protection de securite de haut niveau

CIS Benchmarks

Parametres de configuration detailles pour des technologies specifiques

Systemes d'exploitation

References de configuration securisee pour les systemes Windows, Linux, macOS et Unix

Exemples

  • Windows Server
  • Ubuntu Linux
  • macOS
  • Red Hat Enterprise Linux

Plateformes cloud

Directives de configuration de securite pour les principaux fournisseurs de services cloud

Exemples

  • AWS Foundations
  • Microsoft Azure
  • Google Cloud Platform
  • Oracle Cloud

Equipements reseau

Standards de durcissement pour les composants d'infrastructure reseau

Exemples

  • Cisco IOS
  • Palo Alto Networks
  • Fortinet FortiGate
  • Juniper Networks

Bases de donnees

References de securite pour les systemes de gestion de bases de donnees

Exemples

  • Microsoft SQL Server
  • Oracle Database
  • MySQL
  • PostgreSQL

Applications

Standards de configuration pour les applications d'entreprise

Exemples

  • Microsoft 365
  • Google Workspace
  • Docker
  • Kubernetes

Appareils mobiles

References de securite pour les systemes d'exploitation mobiles

Exemples

  • Apple iOS
  • Google Android
  • Gestion des appareils mobiles
Explorer les CIS Benchmarks
Modeles de politiques

Repertoire complet de politiques de securite

Accedez a des modeles de politiques de securite prets a l'emploi alignes sur les Controles CIS, le NIST CSF et les exigences ISO 27001

Gestion des actifs

  • • Politique d'inventaire des actifs
  • • Gestion des actifs materiels
  • • Gestion des actifs logiciels
  • • Politique de classification des donnees
  • • Standards de configuration securisee
  • • Politique de gestion des changements
  • + 4 autres politiques

Acces et protection

  • • Politique de gestion des comptes
  • • Politique de controle d'acces
  • • Authentification multi-facteurs
  • • Politique de protection des donnees
  • • Standards de chiffrement
  • • Gestion des vulnerabilites
  • + 5 autres politiques

Surveillance et reponse

  • • Gestion des journaux d'audit
  • • Politique de surveillance de securite
  • • Plan de reponse aux incidents
  • • Politique de defense anti-malware
  • • Sauvegarde et recuperation des donnees
  • • Formation a la sensibilisation a la securite
  • + 3 autres politiques
Parcourir tous les modeles de politiques

Questions frequemment posees

Questions courantes sur la mise en oeuvre des Controles CIS

Les Controles CIS sont des bonnes pratiques volontaires, mais ils sont largement adoptes comme standard de securite. De nombreux fournisseurs d'assurance cyber exigent la mise en oeuvre des Controles CIS, et ils sont references dans les cadres reglementaires comme le NIST CSF et le PCI DSS. Consultez la page officielle des Controles CIS v8 pour le cadre complet.
Selectionnez l'IG1 (56 mesures de protection) si vous etes une petite organisation avec des ressources IT limitees. Choisissez l'IG2 (131 mesures de protection) si vous avez du personnel IT dedie et une complexite moderee. Mettez en oeuvre l'IG3 (153 mesures de protection) si vous avez une equipe de securite dediee ou protegez des donnees hautement sensibles. La plupart des organisations commencent par l'IG1 et progressent a mesure que leur maturite en securite croit.
Les Controles CIS fournissent des mesures de protection specifiques et actionnables tandis que le NIST CSF offre un cadre de plus haut niveau pour organiser les activites de cybersecurite. Les deux se completent : le NIST CSF fournit une structure strategique (Identifier, Proteger, Detecter, Repondre, Recuperer) tandis que les Controles CIS offrent des etapes de mise en oeuvre tactiques. De nombreuses organisations utilisent les deux ensemble.
Les Controles CIS sont des bonnes pratiques de securite de haut niveau pour ce qu'il faut proteger (18 controles). Les CIS Benchmarks sont des guides de configuration detailles pour comment securiser des systemes specifiques (Windows, AWS, Docker, etc.). Utilisez les Controles CIS pour guider votre programme de securite global et les CIS Benchmarks pour mettre en oeuvre des configurations securisees pour les technologies individuelles.
Les Controles CIS v8 ont consolide 20 controles en 18, affine 171 sous-controles en 153 mesures de protection, eleve la protection des donnees (maintenant Controle 3), renforce la gestion des risques de la chaine d'approvisionnement (Controle 15), et mis a jour les orientations pour les environnements cloud, mobiles et IoT. La structure des Groupes de mise en oeuvre a ete maintenue mais avec des orientations plus claires.
Le calendrier varie selon le Groupe de mise en oeuvre. L'IG1 prend generalement 3-6 mois pour une mise en oeuvre basique, l'IG2 necessite 6-12 mois avec des ressources IT dediees, et l'IG3 peut prendre 12-18 mois pour un deploiement complet. Commencez par les essentiels de l'IG1 et construisez de maniere incrementale plutot que de tenter une mise en oeuvre complete d'emblee.
Oui, de nombreux fournisseurs d'assurance cyber exigent ou recommandent fortement la mise en oeuvre des Controles CIS. Les assureurs posent souvent des questions specifiques sur les controles comme l'authentification multi-facteurs (Controle 6), la sauvegarde des donnees (Controle 11), la reponse aux incidents (Controle 17) et la gestion des vulnerabilites (Controle 7). La conformite documentee aux Controles CIS peut reduire les primes et ameliorer la couverture.
Absolument. Les Controles CIS v8 ont specifiquement concu l'IG1 (56 mesures de protection) pour les petites organisations avec des ressources IT limitees. L'IG1 se concentre sur l'hygiene cyber essentielle comme l'inventaire des actifs, les configurations securisees, le controle d'acces et la surveillance basique. Ces controles fondamentaux fournissent une amelioration significative de la securite sans necessiter de grandes equipes de securite ou de budgets importants.
Les Controles CIS v8 incluent des orientations specifiques aux rancongiciels a travers plusieurs controles : Controle 11 (sauvegarde et recuperation des donnees), Controle 10 (defenses anti-malware), Controle 7 (gestion des vulnerabilites), Controle 9 (protections des e-mails) et Controle 17 (reponse aux incidents). Ensemble, ces controles etablissent une defense en profondeur contre les attaques de rancongiciels et assurent les capacites de recuperation.
Maintenez des inventaires d'actifs (Controles 1-2), des politiques et procedures de securite (Controle 1), des standards de configuration (Controle 4), des registres de controle d'acces (Controles 5-6), des resultats d'analyses de vulnerabilites (Controle 7), des journaux d'audit (Controle 8), la verification des sauvegardes (Controle 11) et des plans de reponse aux incidents (Controle 17). La documentation demontre la mise en oeuvre des controles pour les audits et les revues d'assurance.
Les Controles CIS v8 ont mis a jour plusieurs controles pour l'adoption du cloud. Le Controle 1 inclut les actifs cloud, le Controle 3 traite la protection des donnees cloud, le Controle 15 couvre les fournisseurs de services cloud, et des mesures de protection specifiques traitent la configuration cloud, la gestion des acces et la surveillance. Utilisez les CIS Cloud Benchmarks (AWS, Azure, GCP) aux cotes des Controles CIS pour une securite cloud complete.
Oui, VerifyWise met en correspondance ses controles de gouvernance avec les exigences des Controles CIS. Notre plateforme vous aide a suivre les inventaires d'actifs, realiser des evaluations de vulnerabilites, gerer les controles d'acces, maintenir les journaux d'audit et generer des rapports de conformite. Nous fournissons des orientations de mise en oeuvre pour chaque mesure de protection et des correspondances avec d'autres cadres comme le NIST CSF et l'ISO 27001.

Pret a mettre en oeuvre les Controles CIS ?

Lancez votre parcours de cybersecurite avec nos outils d'evaluation et de mise en oeuvre guides.

Demarrer l'evaluation de securitePlanifier une consultation
CIS Controls v8: all 18 controls, 153 safeguards, and IG1-IG3 explained