Faire une demande

18 contrôles de cybersécurité

18 contrôles de cybersécurité

les 18 contrôles cybersécurité de la version 8 de CIS.

Ces lignes directrices tiennent compte de l’augmentation du travail à distance et de l’augmentation qui en résulte des points d’accès et du besoin de sécurité sans périmètre.

Contrôle 01. Inventaire et contrôle des actifs de l’entreprise

La première étape dans l’élaboration et la mise en œuvre d’une stratégie globale de cybersécurité consiste à comprendre les actifs de votre entreprise, qui les contrôle et les rôles qu’ils jouent. Cela comprend l’établissement et la mise à jour d’une liste précise, mise à jour et détaillée de tout le matériel connecté à votre infrastructure, y compris les actifs qui ne sont pas sous votre contrôle, tels que les téléphones cellulaires personnels des employés. Les appareils utilisateurs portables rejoindront périodiquement un réseau, puis disparaîtront, ce qui rend l’inventaire des actifs actuellement disponibles très dynamique.

Pourquoi est-ce critique ? Sans ces informations, vous ne pouvez pas être sûr d’avoir sécurisé toutes les surfaces d’attaque possibles. Tenir un inventaire de tous les actifs se connectant à votre réseau et supprimer des appareils non autorisés peut réduire considérablement votre risque.

Contrôle 02. Inventaire et contrôle des actifs logiciels

Control 2 répond aux menaces de la gamme vertigineux de logiciels que les entreprises modernes utilisent pour les opérations commerciales. Il comprend les pratiques clés suivantes :

     

      • Identifiez et documentez tous les actifs logiciels et supprimez ceux qui sont obsolètes ou vulnérables.

      • Empêcher l’installation et l’utilisation de logiciels non autorisés en créant une liste d’autorisation de logiciels autorisés.

      • Utiliser des outils de suivi logiciel automatisés pour surveiller et gérer les applications logicielles

    Pourquoi est-ce critique ? Les logiciels non corrigés continuent d’être un vecteur principal pour les attaques de rançongiciels. Un inventaire complet des logiciels vous aide à vous assurer que tous vos logiciels sont mis à jour et que toutes les vulnérabilités connues ont été corrigées ou atténuées. Ceci est particulièrement critique pour les logiciels qui contiennent des composants open source puisque leurs vulnérabilités sont de notoriété publique.

    Contrôle 03. Protection des données

    Dans la version 7 des contrôles CIS, la protection des données était le contrôle 13.

    Vos données sont l’un des actifs les plus précieux de votre entreprise. La commande CIS 3 décrit une méthode de protection de vos données en détaillant les processus et les contrôles techniques pour identifier, classer, gérer, conserver et éliminer en toute sécurité les données. Assurez-vous d’inclure des dispositions pour :

       

        • Inventaire des données

        • Contrôles d’accès aux données

        • Rétention des données

        • Élimination des données

        • Chiffrement des données dans toutes les phases et sur des supports amovibles

        • Classification des données

        • Cartes de flux de données

        • Segmentation du traitement et du stockage des données en fonction de la sensibilité

        • Prévention de la perte de données

        • Enregistrement de l’accès et de l’activité autour des données sensibles

      Pourquoi est-ce critique ? Bien que de nombreuses fuites de données soient le résultat d’un vol délibéré, la perte et les dommages de données peuvent également se produire en raison d’une erreur humaine ou de mauvaises pratiques de sécurité. Les solutions qui détectent l’exfiltration de données peuvent minimiser ces risques et atténuer les effets de la compromission des données.

      Contrôle 04. Configuration sécurisée des actifs et des logiciels de l’entreprise

      Cette sauvegarde fusionne les contrôles 5 et 11 de la version 7. Il détaille les meilleures pratiques pour établir et maintenir des configurations sécurisées sur les actifs matériels et logiciels.

      Pourquoi est-ce critique ? Même une erreur de configuration peut ouvrir des risques de sécurité et perturber les opérations commerciales. L’utilisation de logiciels automatisés simplifie le processus de renforcement et de surveillance de vos actifs informatiques ; par exemple, Netwrix Change Tracker fournit des modèles de construction certifiés CIS qui vous aident à établir rapidement des configurations de base solides et vous avertit des changements inattendus en temps réel afin que vous puissiez rapidement prendre des mesures pour minimiser les risques.

      Contrôle 05. Gestion des comptes

      La gestion des comptes était Control 16 dans CIS Controls version 7.

      La gestion sécurisée des comptes d’utilisateurs, d’administrateurs et de services est essentielle pour empêcher leur exploitation par les attaquants. Le contrôle 5 comprend six étapes pour éviter les problèmes de sécurité causés par les comptes vulnérables :

         

          • Créer et maintenir un inventaire de tous les comptes.

          • Utilisez des mots de passe uniques.

          • Désactivez les comptes qui n’ont pas été utilisés depuis 45 jours.

          • Restreindre l’utilisation des comptes privilégiés.

          • Créer et maintenir un inventaire des comptes de service.

          • Centralisez toute la gestion des comptes.

        Pourquoi est-ce critique ? Les comptes privilégiés et inutilisés permettent aux attaquants de cibler votre réseau. La minimisation et le contrôle de ces comptes aideront à protéger vos données et votre réseau contre tout accès non autorisé.

        Contrôle 06. Gestion du contrôle d’accès

        Cette sauvegarde fusionne les contrôles 4 et 14 de la version 7 des contrôles CIS.

        Le contrôle 6 concerne le contrôle des privilèges des utilisateurs. Ses meilleures pratiques comprennent l’établissement d’un processus d’octroi et de révocation de l’accès, l’utilisation de l’authentification multifactorielle et le maintien d’un inventaire des systèmes de contrôle d’accès.

        Pourquoi est-ce critique ? L’octroi de privilèges trop larges pour des raisons d’opportunité ouvre une voie d’attaque. En limitant les droits d’accès de chaque utilisateur à ce qui est requis pour faire son travail, vous limiterez votre surface d’attaque.

        Contrôle 07. Gestion continue des vulnérabilités

        Dans la version 7 des contrôles CIS, la gestion continue des vulnérabilités était couverte par le contrôle 3.

        Ce contrôle couvre l’identification, la hiérarchisation, la documentation et la correction de chaque vulnérabilité de sécurité de votre réseau. Les exemples incluent les services ouverts et les ports réseau, ainsi que les comptes et mots de passe par défaut.

        Pourquoi est-ce critique ? Les organisations qui n’identifient pas de manière proactive les vulnérabilités de l’infrastructure et qui prennent des mesures correctives sont susceptibles de voir leurs actifs compromis ou souffrir de perturbations de l’activité.

        Contrôle 08. Gestion des journaux d’audit

        Ce sujet a été couvert sous Control 6 dans CIS Controls version 7.

        La gestion des journaux d’audit implique des contrôles liés à la collecte, au stockage, à la conservation, à la synchronisation du temps et à l’examen des journaux d’audit.

        Pourquoi est-ce critique ? La journalisation et l’analyse de la sécurité aident à empêcher les attaquants de cacher leur emplacement et leurs activités. Même si vous savez quels systèmes ont été compromis dans un incident de sécurité, si vous n’avez pas de journaux complets, vous aurez du mal à comprendre ce qu’un attaquant a fait jusqu’à présent et à réagir efficacement. Des journaux seront également nécessaires pour les enquêtes de suivi et la détermination de l’origine des attaques qui sont restées inaperçues pendant longtemps.

        Contrôle 09. Protections du courrier électronique et du navigateur Web

        Cette sauvegarde était Control 7 dans CIS Controls version 7.

        Les navigateurs de messagerie et de navigateurs Web sont des vecteurs d’attaque courants. Les principaux contrôles techniques pour sécuriser les serveurs de messagerie et les navigateurs Web comprennent le blocage des URL et des types de fichiers malveillants. Pour une protection plus complète contre de telles attaques, vous devez également fournir une formation à l’échelle de l’organisation sur les meilleures pratiques de sécurité.

        Pourquoi est-ce critique ? En utilisant des techniques telles que l’usurpation d’identité et l’ingénierie sociale, les attaquants peuvent inciter les utilisateurs à prendre des mesures qui peuvent propager des logiciels malveillants ou fournir un accès à des données confidentielles.

        Contrôle 10. Défenses contre les logiciels malveillants

        Ce sujet a été couvert dans le contrôle 8 dans CIS Controls version 7.

        Les organisations qui utilisent des rançongiciels et d’autres logiciels malveillants sont devenues aussi professionnelles que les entreprises grand public. Ce contrôle décrit les mesures de protection pour empêcher ou contrôler l’installation, l’exécution et la propagation de logiciels malveillants. La gestion centralisée des outils anti-programme malveillants basés sur le comportement et des outils basés sur la signature avec des mises à jour automatiques fournit la protection la plus robuste contre les logiciels malveillants.

        Pourquoi est-ce critique ?

         Les logiciels malveillants peuvent prendre la forme de chevaux de Troie, de virus et de vers qui volent, chiffrent ou détruisent vos données. Les rançongiciels sont une grande entreprise, avec un prix mondial qui devrait atteindre 265 milliards de dollars d’ici 2031. Suivre les pratiques décrites dans le contrôle 9 aidera à protéger votre organisation contre une infection par un logiciel malveillant coûteuse et dommageable.

        Contrôle 11. Récupération de données

        La récupération de données était Control 10 dans CIS Controls version 7.

        Le contrôle 11 décrit cinq mesures de protection pour s’assurer que vos données sont sauvegardées. Ils comprennent les éléments suivants :

           

            • Processus de récupération de données

            • Sauvegardes automatisées

            • Protection des données de sauvegarde

            • Isoler les données de sauvegarde

            • Test des protocoles de récupération de données

          Pourquoi est-ce critique ? S’assurer que vous avez une sauvegarde à jour de vos données dans un endroit protégé et isolé peut vous empêcher d’avoir à céder à des extorsions coûteuses pour retrouver l’accès à vos données après une attaque par ransomware. De plus, une sauvegarde et une récupération efficaces des données sont également nécessaires pour protéger votre organisation contre les menaces telles que la suppression accidentelle et la corruption de fichiers.

          Contrôle 12. Gestion de l’infrastructure réseau

          La gestion de l’infrastructure réseau est un nouveau contrôle pour la version 8. Il vous oblige à gérer activement tous vos appareils réseau afin d’atténuer les risques d’attaques visant des services réseau et des points d’accès compromis.

          Pourquoi est-ce critique ? La sécurité du réseau est un élément fondamental de la défense contre les attaques. Les entreprises doivent constamment évaluer et mettre à jour les configurations, le contrôle d’accès et les flux de trafic pour durcir leur infrastructure réseau. Documenter entièrement tous les aspects de votre infrastructure réseau et la surveiller à la recherche de modifications non autorisées peut vous alerter des risques pour la sécurité.

          Contrôle 13. Surveillance et défense du réseau

          Le contrôle 13 est également un nouvel ajout aux contrôles CIS. Il se concentre sur l’utilisation de processus et d’outils pour surveiller et se défendre contre les menaces de sécurité dans l’ensemble de votre infrastructure réseau et de votre base d’utilisateurs. Les 11 mesures de protection de ce contrôle couvrent la façon de collecter et d’analyser les données nécessaires pour détecter les intrusions, filtrer le trafic, gérer le contrôle d’accès, collecter des journaux de flux de trafic et émettre des alertes sur les événements de sécurité.

          Pourquoi est-ce critique ? La combinaison d’une technologie automatisée et d’une équipe formée pour mettre en œuvre des processus de détection, d’analyse et d’atténuation des menaces réseau peut aider à se protéger contre les attaques de cybersécurité.

          Contrôle 14. Sensibilisation à la sécurité et formation aux compétences

          Ce sujet a été couvert dans le contrôle 17 dans CIS Controls version 7.

          Control 14 concerne la mise en œuvre d’un programme éducatif pour améliorer la sensibilisation et les compétences en matière de cybersécurité parmi tous vos utilisateurs. Ce programme de formation devrait :

             

              • Former les gens à reconnaître les attaques d’ingénierie sociale.

              • Couvrez les meilleures pratiques d’authentification.

              • Couvrir les meilleures pratiques de gestion des données, y compris les dangers de la transmission de données sur des réseaux non sécurisés.

              • Expliquer les causes de l’exposition involontaire aux données.

              • Former les utilisateurs à reconnaître et à signaler les incidents de sécurité et .

              • Expliquez comment identifier et signaler les mises à jour de sécurité manquantes.

              • Fournir une formation à la sensibilisation à la sécurité et aux compétences spécifiques au rôle.

            Pourquoi est-ce critique ? De nombreuses violations de données sont causées par des erreurs humaines, des attaques de phishing et de mauvaises politiques de mots de passe. Former vos employés à la sensibilisation à la sécurité peut prévenir les violations coûteuses de données, le vol d’identité, les pénalités de conformité et d’autres dommages.

            Contrôle 15. Gestion des fournisseurs de services

            La commande 15 est la dernière nouvelle commande de la version 8. Il traite des données, des processus et des systèmes gérés par des tiers. Il comprend des lignes directrices pour la création d’un inventaire des fournisseurs de services, la gestion et la classification des fournisseurs de services, y compris les exigences de sécurité dans vos contrats, et l’évaluation, la surveillance et le rejet en toute sécurité des fournisseurs de services.

            Pourquoi est-ce critique ? Même lorsque vous externalisez un service, vous êtes en fin de compte responsable de la sécurité de vos données et pourriez être tenu responsable de toute violation. Bien que l’utilisation de fournisseurs de services puisse simplifier vos opérations commerciales, vous pouvez rencontrer rapidement des complications si vous n’avez pas de processus détaillé pour vous assurer que les données gérées par des tiers sont sécurisées.

            Contrôle 16. Sécurité des logiciels d’application

            Cette sauvegarde était le contrôle 18 dans la 7e version des contrôles CIS.

            La gestion du cycle de vie de la sécurité de votre logiciel est essentielle pour détecter et corriger les faiblesses de sécurité. Vous devez vérifier régulièrement que vous n’utilisez que les versions les plus récentes de chaque application et que tous les correctifs pertinents sont installés rapidement.

            Pourquoi est-ce critique ? Les attaquants profitent souvent des vulnérabilités dans les applications Web et autres logiciels. Les méthodes d’exploitation telles que les dépassements de tampon, les attaques d’injection SQL, les scripts intersites et le click-jacking de code peuvent leur permettre de compromettre vos données sans avoir à contourner les contrôles de sécurité et les capteurs du réseau.

            Contrôle 17. Gestion de la réponse aux incidents

            La gestion de l’intervention en cas d’incident était le contrôle 19 dans la 7e version de CIS Controls.

            Une bonne intervention en cas d’incident peut faire la différence entre une nuisance et une catastrophe. Il comprend la planification, la définition des rôles, la formation, la surveillance de la gestion et d’autres mesures nécessaires pour aider à découvrir les attaques et à contenir les dommages plus efficacement.

            Pourquoi est-ce critique ? Malheureusement, dans la plupart des cas, la chance d’une cyberattaque réussie n’est pas « si » mais « quand ». Sans plan d’intervention en cas d’incident, vous ne pouvez pas découvrir une attaque tant qu’elle n’aura pas causé de graves dommages. Avec un plan d’intervention d’incidence robuste, vous pourrez peut-être éradiquer la présence de l’attaquant et restaurer l’intégrité du réseau et des systèmes avec peu de temps d’arrêt.

            Contrôle 18. Test de pénétration

            Ce sujet a été couvert par le contrôle 20 dans la 7e version de CIS Controls.

            Ce contrôle exige que vous évaluiez la force de vos défenses en effectuant régulièrement des tests de pénétration externes et internes. La mise en œuvre de ce contrôle vous permettra d’identifier les vulnérabilités de votre technologie, de vos processus et de vos personnes que les attaquants pourraient utiliser pour entrer dans votre réseau et causer des dommages.

            Pourquoi est-ce critique ? Les attaquants sont impatients d’exploiter les lacunes de vos processus, tels que les retards dans l’installation des correctifs. Dans un environnement complexe où la technologie est en constante évolution, il est particulièrement vital de tester périodiquement vos défenses pour identifier les lacunes et les corriger avant qu’un attaquant n’en profite.

            Mise en œuvre des contrôles : une approche pragmatique

            Obtenir de la valeur des contrôles de sécurité critiques du CIS ne signifie pas nécessairement mettre en œuvre les 18 contrôles simultanément. Peu d’organisations disposent du budget, des ressources humaines et du temps nécessaires pour mettre en œuvre simultanément l’ensemble du groupe de contrôles.

            Les étapes suivantes fournissent un guide pratique pour commencer :

               

                1. Découvrez vos actifs d’information et estimez leur valeur. Effectuez une évaluation des risques et réfléchissez aux attaques potentielles contre vos systèmes et vos données, y compris les points d’entrée initiaux, la propagation et les dommages. Élaborer un programme de gestion des risques pour guider la mise en œuvre des contrôles.

                 

                  • Comparez vos contrôles de sécurité actuels aux contrôles CIS. Prenez note de chaque domaine où il n’existe aucune capacité de sécurité ou où un travail supplémentaire est nécessaire.

                   

                    • Élaborer un plan pour adopter les nouveaux contrôles de sécurité les plus précieux et améliorer l’efficacité opérationnelle de vos contrôles existants.

                     

                      • Obtenir l’adhésion de la direction au plan et former des engagements du secteur d’activité pour le soutien financier et personnel nécessaire.

                       

                        • Mettre en œuvre les contrôles. Gardez un œil sur les tendances qui pourraient introduire de nouveaux risques pour votre organisation. Mesurez les progrès dans la réduction des risques et communiquez vos conclusions.

                      Partager

                      Nos collaborateurs sont certifiés

                      Twiter ads partenaire logo
                      Tiktok Business partenaire logo
                      icrosoft Advertising partenaire logo
                      Hubspot Diamond partenaire logo (1)
                      Facebook ads partenaire logo
                      Google partenaire logo

                      Certifications DEVOPS

                      accueil-e-connex-web-marketing
                      accueil-e-connex-web-marketing

                      Blog & Astuces

                      Sécurisation
                      Relation client
                      SEO
                      Publicités ADS
                      Générations de leads
                      Réseaux sociaux
                      Logiciels ( CRM, SAAS …)
                      Marketing de contenu
                      hand

                      Expertises

                      innovation

                      Innovation

                      rocket

                      Performances

                      padlock

                      Sécurité

                      logo_reglementation-rgpd
                      logo_reglementation-bloctel
                      Facebook Twitter Youtube Instagram Pinterest Tiktok

                      Notre agence E-CONNEX est un nouveau genre qui met en lien tous les corps de métier liés a l'informatiques et digital aux services de nos clients.

                      En savoir plus

                      Liens utiles

                      Newsletter

                      Parler nous de votre projet et de ces ambitions. Nous vous faisons une proposition convenable.

                      Demander un devis gratuit

                      ©2023. E-connex - Tous droits réservés.