Implémentation des contrôles CIS
Élaborés par "The Center of Internet Security" (CIS), les contrôles critiques de sécurité CIS constituent un ensemble prescriptif et ordonné de bonnes pratiques et d'actions défensives en matière de cybersécurité qui peuvent contribuer à prévenir les attaques les plus répandues et dangereuses et à assurer une bonne conformité dans une ère multi-cadres.
Ces meilleures pratiques applicables en matière de cybersécurité sont formulées par un groupe d'experts en informatique à partir des informations recueillies lors d'attaques réelles et des moyens de défense efficaces. Les contrôles CIS fournissent des conseils spécifiques et une voie claire que les organisations doivent suivre pour atteindre les buts et objectifs décrits par de multiples cadres juridiques, réglementaires et politiques.
L'implémentation des contrôles de sécurité critiques CIS dans votre organisation peut vous aider efficacement à:
Développer une structure fondamentale pour votre programme de sécurité des informations et un cadre pour l'ensemble de votre stratégie de sécurité.
Se concentrer sur les mesures techniques les plus efficaces et les plus spécifiques disponibles pour améliorer la position de défense de votre organisation.
Suivre une approche validée de gestion des risques pour la cybersécurité, basée sur une efficacité réelle.
Se conformer facilement à d'autres cadres et réglementations, y compris le NIST Cybersecurity Framework, NIST 800-53, NIST 800-171, la série ISO 27000, PCI DSS, HIPAA, NERC CIP et FISMA.
La dernière version des Contrôles CIS, la version 8, est composée d'un set de 18 recommandations de cyberdéfense, ou Contrôles. La version 8, une extension de la version 7, se compose de groupes d'implémentation (IGs). Les IG sont les nouvelles recommandations pour prioriser la mise en œuvre des Contrôles.
Dans le but d'aider les entreprises de toutes tailles, les IG sont divisés en trois groupes. Ils sont basés sur le profil de risque d'une entreprise et sur les ressources dont elle dispose pour mettre en œuvre les contrôles CIS.
Chaque IG identifie un ensemble de mesures de protection (précédemment appelées sous-contrôles CIS) que l'entreprise doit implémenter pour atténuer les cyberattaques les plus courantes contre les systèmes et les réseaux. Il y a un total de 153 sauvegardes dans la version 8 des contrôles CIS. Chaque entreprise devrait commencer par IG1. L'IG2 s'appuie sur l'IG1, et l'IG3 comprend tous les contrôles et sauvegardes.
Les contrôles CIS ne constituent pas une solution passe-partout ; en fonction de la maturité de votre entreprise en matière de cybersécurité, vous pouvez planifier et prioriser la mise en œuvre des différents contrôles.
La suite de solutions de gestion informatique de ManageEngine peut vous aider à répondre aux exigences précises du contrôle CIS et, en retour, aidera votre entreprise à planifier et à développer avec soin un programme de sécurité de qualité afin d'obtenir une meilleure cybersécurité.
Gérez efficacement tous les actifs de l'entreprise connectés à votre infrastructure physiquement, virtuellement ou à distance, ou ceux qui se trouvent dans des environnements en Cloud, afin de déterminer avec précision la totalité des actifs qui doivent être surveillés et protégés. Cela permettra également d'identifier les actifs non autorisés et non gérés à supprimer ou à corriger.
Suivez et gérez les actifs tout au long de leur cycle de vie.
Gérez les incidents et l'inventaire à partir d'un seul tableau de bord.
Assurez la gestion des correctifs ainsi que la gestion des actifs.
Découvrez et gérez les appareils connectés à votre réseau
Gérez activement tous les logiciels de votre réseau pour vous assurer que seuls les logiciels autorisés sont installés et exécutés et que ceux non autorisés et non gérés sont repérés et leur installation ou exécution est bloquée.
Suivez et gérez les actifs avec une base de données de gestion de configuration intégrée (CMDB).
Assurez une gestion des actifs compatible avec ITIL-v3.
Surveillez et gérez les actifs à partir d'une seule console.
Autorisez les applications et supprimez les logiciels non autorisés.
Développez des processus et des contrôles techniques pour identifier, classer, traiter, conserver et éliminer les données en toute sécurité.
Auditez les fichiers, identifiez les données sensibles et prévenez les fuites de données.
Prévenez la perte de données par les périphériques.
Contrôlez, gérez et auditez le cycle de vie complet des comptes privilégiés et de leurs accès.
Établissez et maintenez la configuration sécurisée des actifs et des logiciels de l'entreprise.
Mettez en place des configurations pour renforcer la sécurité de vos terminaux.
Appliquez des stratégies de sécurité pour protéger les données sur les appareils mobiles.
Mettez en œuvre et gérez les configurations pour assurer la sécurité du réseau.
Programmez des sauvegardes de la configuration des dispositifs, suivez l'activité des utilisateurs et repérez les changements en comparant les versions de la configuration.
Assurez une sécurité complète des accès privilégiés.
Utilisez des processus et des outils pour attribuer et gérer l'autorisation de traiter les informations d'identification des comptes d'utilisateur, y compris les comptes d'administrateur et les comptes de service associés aux actifs et aux logiciels de l'entreprise.
Contrôlez, gérez et auditez le cycle de vie complet des comptes privilégiés et de leurs accès.
Gérez et nettoyez les utilisateurs inactifs ou inutilisés dans AD.
Utilisez des processus et des outils pour créer, attribuer, gérer et révoquer les informations d'accès et les privilèges des comptes d'utilisateur, d'administrateur et de service pour les actifs et les logiciels de l'entreprise.
Assurez une sécurité complète des accès privilégiés.
Implémentez le MFA au niveau des terminaux, l'accès conditionnel et le SSO d'entreprise.
Élaborez un plan pour évaluer et suivre en permanence les vulnérabilités de tous les actifs de l'infrastructure de votre entreprise afin de remédier aux failles et de minimiser les opportunités pour les attaquants. Surveillez les sources du secteur public et privé pour obtenir de nouvelles informations sur les menaces et les vulnérabilités.
Mettez en œuvre une gestion des vulnérabilités de l'entreprise axée sur les priorités.
Automatisez la gestion des correctifs pour les systèmes d'exploitation multiples.
Identifiez les vulnérabilités et remédiez-y en appliquant des correctifs.
Collectez, mettez en garde, examinez et conservez les journaux d'audit des événements qui pourraient vous aider à détecter, comprendre ou surmonter une attaque.
Mettez en œuvre un SIEM intégré avec des analyses avancées des menaces et des analyses du comportement des utilisateurs et des entités basées sur le ML.
Effectuez un audit en temps réel des modifications apportées à Active Directory, aux fichiers et à Windows Server.
Assurez la gestion des règles, de la configuration et des journaux du pare-feu.
Surveillez les journaux du serveur pour détecter les erreurs définies par l'administrateur.
Améliorez la protection et la détection des menaces provenant d'emails et de vecteurs web, puisque ce sont des moyens pour les attaquants de manipuler le comportement humain par un engagement direct.
Assurez la sécurité et la gestion du navigateur.
Gérez les navigateurs, les modules complémentaires, les extensions et les plug-ins.
Empêchez ou contrôlez l'installation, la diffusion et l'exécution d'applications, de codes ou de scripts malveillants sur les actifs de l'entreprise.
Mettez en place un système de notation basé sur les risques pour que les utilisateurs puissent modifier les logiciels anti-malware en fonction de leurs besoins spécifiques.
Désactivez la gestion automatique, la lecture automatique et l'exécution automatique pour les supports amovibles.
Établissez et maintenez des pratiques de récupération des données suffisantes pour restaurer les actifs de l'entreprise dans le champ d'application de l'accord à un état fiable, avant l'incident.
Assurez la sauvegarde et la récupération d'Active Directory, de Microsoft 365 et d'Exchange.
Établissez, mettez en œuvre et gérez activement les dispositifs du réseau pour empêcher les attaquants d'exploiter les services et les points d'accès vulnérables du réseau.
Veillez à ce que l'infrastructure du réseau soit maintenue à jour.
Établissez et maintenez une architecture de réseau sécurisée.
Assurez la gestion des autorisations selon le principe du moindre privilège.
Surveillez et gérez les actifs de votre réseau à l'aide de la CMDB.
Cartographiez les dépendances des actifs à l'aide d'une CMDB intégrée.
Créez des processus et sélectionnez les outils appropriés pour établir et maintenir une surveillance complète du réseau et une défense contre les menaces de sécurité dans l'ensemble de l'infrastructure réseau et de la base d'utilisateurs de votre entreprise.
Centralisez les alertes d'événements de sécurité sur l'ensemble des actifs de l'entreprise pour la corrélation et l'analyse des journaux.
Surveillez les journaux de votre IDS ou IPS et extrayez les informations nécessaires pour assurer la sécurité du réseau.
Assurez-vous que les versions du système d'exploitation et les applications des terminaux de l'entreprise sont à jour.
Empêchez les périphériques amovibles non autorisés de se connecter à votre réseau.
Détectez et empêchez les fuites de données par le biais de clés USB et d'e-mails.
Fournissez les autorisations d'accès minimales pour les biens connectés à distance aux ressources de l'entreprise.
Empêchez les appareils non autorisés de se connecter à votre réseau.
Détectez les intrusions dans les réseaux à l'aide d'un moteur d'extraction de flux continu.
Collectez les journaux de flux de trafic réseau à partir des périphériques réseau afin de procéder à un examen et d'émettre des alertes sur les goulets d'étranglement du réseau.
Mettez en place et maintenez un programme de sensibilisation à la sécurité afin de rendre les employés plus conscients de la sécurité et de vous assurer qu'ils disposent des compétences appropriées pour réduire les risques de cybersécurité pour votre entreprise.
Établissez un MFA pour les systèmes Windows, macOS et Linux.
Assurez qu'aucune voie d'accès privilégié aux biens essentiels à la mission n'est laissée sans gestion, inconnue ou non surveillée.
Établissez un rapport sur la création, la suppression, l'écrasement et le renommage des fichiers et des dossiers.
Gérez et optimisez la consommation d'énergie du matériel informatique pour économiser de l'argent et de l'énergie.
Gérez les mises à jour du système d'exploitation pour les appareils iOS, Android et Chrome OS.
Développez un processus pour évaluer les fournisseurs de services qui détiennent des données sensibles ou qui sont responsables des plateformes ou des processus informatiques critiques de votre entreprise, afin de vous assurer que ces fournisseurs protègent ces plateformes et ces données de manière appropriée.
Désactivez en toute sécurité les fournisseurs de services, les utilisateurs et les serveurs de fichiers sans avoir à gérer des scripts personnalisés complexes.
Gérez le cycle de vie de la sécurité des logiciels développés en interne, hébergés ou acquis afin de prévenir, détecter et corriger les faiblesses de sécurité avant qu'elles n'aient un impact sur votre entreprise.
Mettez en œuvre une gestion des vulnérabilités de l'entreprise axée sur l'établissement de priorités.
Identifiez les vulnérabilités et remédiez-y en appliquant des correctifs.
Établissez un programme pour développer et maintenir une capacité de réponse aux incidents (par exemple : stratégies, plans, procédures, rôles définis, formation et communications) pour se préparer, détecter et répondre rapidement à une attaque.
Créez un portail pour l'équipe de sécurité informatique afin de gérer les incidents avec des notifications, des SLAs et des procédures d'escalade uniques.
Évaluez périodiquement la capacité de votre organisation à se défendre contre les attaques en effectuant des tests de pénétration. Simulez les objectifs et les actions d'un attaquant avec l'aide d'équipes rouges (red teams) pour inspecter votre posture de sécurité actuelle et obtenir des informations précieuses sur l'efficacité de vos défenses.
Téléchargez ce guide pour voir en détail comment les produits de ManageEngine peuvent vous aider dans le processus d'implémentation des contrôles CIS.
Remarque : L'implémentation complète des contrôles CIS® (développés par The Center of Internet Security) nécessite une variété de solutions, de processus, de personnes et de technologies. Les solutions mentionnées ci-dessus représentent certaines méthodes par lesquelles les outils de gestion informatique peuvent aider à répondre aux exigences des contrôles CIS. Associées à d'autres solutions, processus et personnes adéquats, les solutions de ManageEngine contribuent à l'implémentation des contrôles CIS. Cette documentation est fournie à titre informatif uniquement et ne doit pas être considérée comme un conseil juridique pour la mise en œuvre de ces contrôles. ManageEngine ne donne aucune garantie, explicite, implicite ou légale, quant aux informations contenues dans cette documentation.
