Introduction aux CIS Controls

Qu'est-ce que le CIS


Le Center for Internet Security (CIS) est le résultat d'un projet initié en 2008 avec la contribution du SANS Institute, pour développer, promouvoir des bonnes pratiques permettant aux individus, organisations et entités étatiques de se protéger des cyber menaces. A l'origine développé pour le secteur de la défense américain, les travaux du CIS sont désormais utilisés au-delà des USA.

Le CIS publie des benchmarks, des guides de durcissement (configuration optimale d'un système ou logiciel) et les CIS Controls.


Qu'est-ce que les CIS Controls



Les CIS controls sont une liste de 20 actions (ou mesures) qu'une entreprise peut réaliser pour renforcer sa cybersécurité. Toutes ne sont pas nécessairement à réaliser en même temps; en effet, ces 20 actions sont chacune constituées de sous-actions et sont organisées en 3 groupes d'implémentation :

  • Groupe d'implémentation 1 : ce groupe est adapté à une organisation qui dispose de ressources (très) limitées ou qui n'a pas réellement de culture cybersécurité et s'attaque tout juste au sujet. Des associations, entreprises unipersonnelles ou à domicile pourront se focaliser sur ce groupe d'implémentation.

  • Groupe d'implémentation 2 : ce groupe est adapté à une organisation qui dispose de ressources modérées, ou qui a déjà réalisé des actions pour renforcer sa cybersécurité. Ce groupe peut aussi être l'étape suivante pour une organisation qui a déjà implémenté les actions du groupe 1 et qui souhaite aller plus loin.

  • Groupe d'implémentation 3 : l'implémentation de ce groupe nécessite de disposer de ressources importantes et d'une bonne culture cybersécurité (ou à défaut de cette culture, de pouvoir investir dans l'acculturation au sein de l'organisation).  Mon conseil, pour réussir l'implémentation de ce groupe, est de disposer d'une organisation pour piloter la cybersécurité au sein de l'entreprise, avec des relais au sein des différentes directions métier.

Pour chaque action des CIS Controls, vous disposez d'une liste de sous-actions qui font partie du groupe d'implémentation 1, ou du groupe 2 ou du groupe 3.

L'outil mis à disposition par CIS (https://csat.cisecurity.org/) vous permet de choisir votre groupe d'implémentation et ainsi de sélectionner automatiquement les sous-actions à réaliser.

En résumé


Si votre entreprise dispose de peu de ressources, ou si la cybersécurité est un sujet nouveau dans votre entreprise, commencez par le Groupe d'Implémentation 1.


Vous pourrez ensuite évoluer vers le groupe d'implémentation 2, ou 3.


Le CIS a mis à disposition une version gratuite de son outil CSAT (https://csat.cisecurity.org/). N'hésitez pas à vous en servir.

+33 1 73 29 32 04

©2020 par Stratechno.  Vos données