# Implémentation des contrôles CIS ![CIS (Center for Internet Security) Controls - ManageEngine](https://www.manageengine.com/fr/cis-critical-security-controls/images/implementing-img.svg) ## Que sont les contrôles CIS® ? Élaborés par "The Center of Internet Security" (CIS), les contrôles critiques de sécurité CIS constituent un ensemble prescriptif et ordonné de bonnes pratiques et d'actions défensives en matière de cybersécurité qui peuvent contribuer à prévenir les attaques les plus répandues et dangereuses et à assurer une bonne conformité dans une ère multi-cadres. Ces meilleures pratiques applicables en matière de cybersécurité sont formulées par un groupe d'experts en informatique à partir des informations recueillies lors d'attaques réelles et des moyens de défense efficaces. Les contrôles CIS fournissent des conseils spécifiques et une voie claire que les organisations doivent suivre pour atteindre les buts et objectifs décrits par de multiples cadres juridiques, réglementaires et politiques. ![Critical Security Controls - ManageEngine](https://www.manageengine.com/fr/cis-critical-security-controls/images/cis-banner.png) ### Qu'est-ce que cela signifie pour votre organisation ? L'implémentation des contrôles de sécurité critiques CIS dans votre organisation peut vous aider efficacement à: - Développer une structure fondamentale pour votre programme de sécurité des informations et un cadre pour l'ensemble de votre stratégie de sécurité. - Se concentrer sur les mesures techniques les plus efficaces et les plus spécifiques disponibles pour améliorer la position de défense de votre organisation. - Suivre une approche validée de gestion des risques pour la cybersécurité, basée sur une efficacité réelle. - Se conformer facilement à d'autres cadres et réglementations, y compris le NIST Cybersecurity Framework, NIST 800-53, NIST 800-171, la série ISO 27000, PCI DSS, HIPAA, NERC CIP et FISMA. ## La structure des contrôles CIS La dernière version des Contrôles CIS, la version 8, est composée d'un set de 18 recommandations de cyberdéfense, ou Contrôles. La version 8, une extension de la version 7, se compose de groupes d'implémentation (IGs). Les IG sont les nouvelles recommandations pour prioriser la mise en œuvre des Contrôles. Dans le but d'aider les entreprises de toutes tailles, les IG sont divisés en trois groupes. Ils sont basés sur le profil de risque d'une entreprise et sur les ressources dont elle dispose pour mettre en œuvre les contrôles CIS. Chaque IG identifie un ensemble de mesures de protection (précédemment appelées sous-contrôles CIS) que l'entreprise doit implémenter pour atténuer les cyberattaques les plus courantes contre les systèmes et les réseaux. Il y a un total de 153 sauvegardes dans la version 8 des contrôles CIS. Chaque entreprise devrait commencer par IG1. L'IG2 s'appuie sur l'IG1, et l'IG3 comprend tous les contrôles et sauvegardes. Les contrôles CIS ne constituent pas une solution passe-partout ; en fonction de la maturité de votre entreprise en matière de cybersécurité, vous pouvez planifier et prioriser la mise en œuvre des différents contrôles. ### Groupe d'implémentation 1 (IG1) L'IG1 se concentre sur la cyberhygiène de base. Il s'agit d'un ensemble fondamental de mesures de cyberdéfense que toute entreprise devrait appliquer pour se protéger contre les attaques les plus courantes. Les petites et moyennes entreprises dont l'expertise en matière de cybersécurité est limitée et dont les données sont peu sensibles devront mettre en œuvre les mesures de cybersécurité qui relèvent généralement de la catégorie IG1. ### Groupe d'implémentation 2 (IG2) Les organisations disposant de ressources modérées et d'une plus grande exposition au risque provenant de la gestion d'actifs et de données plus sensibles devront mettre en œuvre les contrôles IG2 en même temps que les contrôles IG1. Ces contrôles visent à aider les équipes de sécurité à gérer les informations sensibles des clients ou de l'entreprise. ### Groupe d'implémentation 3 (IG3) Les organisations matures disposant de ressources importantes et exposées à des risques élevés en raison de la manipulation d'actifs et de données critiques doivent implémenter les mesures de protection de la catégorie IG3, ainsi que des catégories IG1 et IG2. Les mesures de protection sélectionnées pour l'IG3 atténuent les attaques ciblées provenant d'adversaires rusés et réduisent l'impact des attaques de type "zero-day". ## Implémentation des contrôles CIS avec les solutions de ManageEngine La suite de solutions de gestion informatique de ManageEngine peut vous aider à répondre aux exigences précises du contrôle CIS et, en retour, aidera votre entreprise à planifier et à développer avec soin un programme de sécurité de qualité afin d'obtenir une meilleure cybersécurité. ## Contrôle 1 : Inventaire et contrôle des actifs de l'entreprise Gérez efficacement tous les actifs de l'entreprise connectés à votre infrastructure physiquement, virtuellement ou à distance, ou ceux qui se trouvent dans des environnements en Cloud, afin de déterminer avec précision la totalité des actifs qui doivent être surveillés et protégés. Cela permettra également d'identifier les actifs non autorisés et non gérés à supprimer ou à corriger. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [AssetExplorer](https://www.manageengine.com/fr/oputils/) : Suivez et gérez les actifs tout au long de leur cycle de vie. - [ServiceDesk Plus](https://www.manageengine.com/fr/service-desk/) : Gérez les incidents et l'inventaire à partir d'un seul tableau de bord. - [Endpoint Central](https://www.manageengine.com/fr/application-control/) : Assurez la gestion des correctifs ainsi que la gestion des actifs. - [OpUtils](https://www.manageengine.com/fr/device-control/) : Découvrez et gérez les appareils connectés à votre réseau. ## Contrôle 2 : Inventaire et contrôle des actifs logiciels Gérez activement tous les logiciels de votre réseau pour vous assurer que seuls les logiciels autorisés sont installés et exécutés et que ceux non autorisés et non gérés sont repérés et leur installation ou exécution est bloquée. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [AssetExplorer](https://www.manageengine.com/fr/oputils/) : Suivez et gérez les actifs avec une base de données de gestion de configuration intégrée (CMDB). - [ServiceDesk Plus](https://www.manageengine.com/fr/service-desk/) : Assurez une gestion des actifs compatible avec ITIL-v3. - [Endpoint Central](https://www.manageengine.com/fr/application-control/) : Surveillez et gérez les actifs à partir d'une seule console. - [Application Control Plus](https://www.manageengine.com/fr/ad-manager/) : Autorisez les applications et supprimez les logiciels non autorisés. ## Contrôle 3 : Protection des données Développez des processus et des contrôles techniques pour identifier, classer, traiter, conserver et éliminer les données en toute sécurité. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [DataSecurity Plus](https://www.manageengine.com/fr/self-service-password/) : Auditez les fichiers, identifiez les données sensibles et prévenez les fuites de données. - [Device Control Plus](https://www.manageengine.com/fr/patch-management/) : Prévenez la perte de données par les périphériques. - [PAM360](https://www.manageengine.com/fr/log-management/) : Contrôlez, gérez et auditez le cycle de vie complet des comptes privilégiés et de leurs accès. ## Contrôle 4 : Configuration sécurisée des actifs et logiciels de l'entreprise Établissez et maintenez la configuration sécurisée des actifs et des logiciels de l'entreprise. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [Endpoint Central](https://www.manageengine.com/fr/application-control/) : Mettez en place des configurations pour renforcer la sécurité de vos terminaux. - [Mobile Device Manager Plus](https://www.manageengine.com/fr/browser-security/) : Appliquez des stratégies de sécurité pour protéger les données sur les appareils mobiles. - [Network Configuration Manager](https://www.manageengine.com/fr/log-management/) : Mettez en œuvre et gérez les configurations pour assurer la sécurité du réseau. - [OpManager Nexus](https://www.manageengine.com/fr/ad-recovery-manager/) : Programmez des sauvegardes de la configuration des dispositifs, suivez l'activité des utilisateurs et repérez les changements en comparant les versions de la configuration. - [PAM360](https://www.manageengine.com/fr/log-management/) : Assurez une sécurité complète des accès privilégiés. ## Contrôle 5 : Gestion des comptes Utilisez des processus et des outils pour attribuer et gérer l'autorisation de traiter les informations d'identification des comptes d'utilisateur, y compris les comptes d'administrateur et les comptes de service associés aux actifs et aux logiciels de l'entreprise. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [PAM360](https://www.manageengine.com/fr/log-management/) : Contrôlez, gérez et auditez le cycle de vie complet des comptes privilégiés et de leurs accès. - [ADManager Plus](https://www.manageengine.com/fr/active-directory-audit/) : Gérez et nettoyez les utilisateurs inactifs ou inutilisés dans AD. ## Contrôle 6 : Gestion du contrôle d'accès Utilisez des processus et des outils pour créer, attribuer, gérer et révoquer les informations d'accès et les privilèges des comptes d'utilisateur, d'administrateur et de service pour les actifs et les logiciels de l'entreprise. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [PAM360](https://www.manageengine.com/fr/log-management/) : Assurez une sécurité complète des accès privilégiés. - [ADSelfService Plus](https://www.manageengine.com/fr/data-security/) : Implémentez le MFA au niveau des terminaux, l'accès conditionnel et le SSO d'entreprise. ## Contrôle 7 : Gestion continue des vulnérabilités Élaborez un plan pour évaluer et suivre en permanence les vulnérabilités de tous les actifs de l'infrastructure de votre entreprise afin de remédier aux failles et de minimiser les opportunités pour les attaquants. Surveillez les sources du secteur public et privé pour obtenir de nouvelles informations sur les menaces et les vulnérabilités. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [Vulnerability Manager Plus](https://www.manageengine.com/fr/oputils/) : Mettez en œuvre une gestion des vulnérabilités de l'entreprise axée sur les priorités. - [Patch Manager Plus](https://www.manageengine.com/fr/it-operations-management/) : Automatisez la gestion des correctifs pour les systèmes d'exploitation multiples. - [Endpoint Central](https://www.manageengine.com/fr/application-control/) : Identifiez les vulnérabilités et remédiez-y en appliquant des correctifs. ## Contrôle 8 : Gestion du journal d'audit Collectez, mettez en garde, examinez et conservez les journaux d'audit des événements qui pourraient vous aider à détecter, comprendre ou surmonter une attaque. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [Log360](https://www.manageengine.com/fr/desktop-central/) : Mettez en œuvre un SIEM intégré avec des analyses avancées des menaces et des analyses du comportement des utilisateurs et des entités basées sur le ML. - [ADAudit Plus](https://www.manageengine.com/fr/ad-manager/) : Effectuez un audit en temps réel des modifications apportées à Active Directory, aux fichiers et à Windows Server. - [Firewall Analyzer](https://www.manageengine.com/fr/desktop-central/) : Assurez la gestion des règles, de la configuration et des journaux du pare-feu. - [OpManager Nexus](https://www.manageengine.com/fr/ad-recovery-manager/) : Surveillez les journaux du serveur pour détecter les erreurs définies par l'administrateur. ## Contrôle 9 : Protection des emails et des navigateurs Web Améliorez la protection et la détection des menaces provenant d'emails et de vecteurs web, puisque ce sont des moyens pour les attaquants de manipuler le comportement humain par un engagement direct. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - Browser Security Plus : Assurez la sécurité et la gestion du navigateur. - [Endpoint Central](https://www.manageengine.com/fr/application-control/) : Gérez les navigateurs, les modules complémentaires, les extensions et les plug-ins. ## Contrôle 10 : Défenses contre les logiciels malveillants Empêchez ou contrôlez l'installation, la diffusion et l'exécution d'applications, de codes ou de scripts malveillants sur les actifs de l'entreprise. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [Log360](https://www.manageengine.com/fr/desktop-central/) : Mettez en place un système de notation basé sur les risques pour que les utilisateurs puissent modifier les logiciels anti-malware en fonction de leurs besoins spécifiques. - [Device Control Plus](https://www.manageengine.com/fr/patch-management/) : Désactivez la gestion automatique, la lecture automatique et l'exécution automatique pour les supports amovibles. - [Ransomware Protection Plus](https://www.manageengine.com/fr/ransomware-protection/) : Assurez la protection contre les rançongiciels avec de solides mécanismes de détection et de réponse. ## Contrôle 11 : Récupération des données Établissez et maintenez des pratiques de récupération des données suffisantes pour restaurer les actifs de l'entreprise dans le champ d'application de l'accord à un état fiable, avant l'incident. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - RecoveryManager Plus : Assurez la sauvegarde et la récupération d'Active Directory, de Microsoft 365 et d'Exchange. ## Contrôle 12 : Gestion de l'infrastructure du réseau Établissez, mettez en œuvre et gérez activement les dispositifs du réseau pour empêcher les attaquants d'exploiter les services et les points d'accès vulnérables du réseau. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [Network Configuration Manager](https://www.manageengine.com/fr/log-management/) : Veillez à ce que l'infrastructure du réseau soit maintenue à jour. - [OpManager Nexus](https://www.manageengine.com/fr/ad-recovery-manager/) : Établissez et maintenez une architecture de réseau sécurisée. - [PAM360](https://www.manageengine.com/fr/log-management/) : Assurez la gestion des autorisations selon le principe du moindre privilège. - [AssetExplorer](https://www.manageengine.com/fr/oputils/) : Surveillez et gérez les actifs de votre réseau à l'aide de la CMDB. - [ServiceDesk Plus](https://www.manageengine.com/fr/service-desk/) : Cartographiez les dépendances des actifs à l'aide d'une CMDB intégrée. ## Contrôle 13 : Surveillance et défense du réseau Créez des processus et sélectionnez les outils appropriés pour établir et maintenir une surveillance complète du réseau et une défense contre les menaces de sécurité dans l'ensemble de l'infrastructure réseau et de la base d'utilisateurs de votre entreprise. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [ADAudit Plus](https://www.manageengine.com/fr/ad-manager/) : Centralisez les alertes d'événements de sécurité sur l'ensemble des actifs de l'entreprise pour la corrélation et l'analyse des journaux. - EventLog Analyzer : Surveillez les journaux de votre IDS ou IPS et extrayez les informations nécessaires pour assurer la sécurité du réseau. - [Endpoint Central](https://www.manageengine.com/fr/application-control/) : Assurez-vous que les versions du système d'exploitation et les applications des terminaux de l'entreprise sont à jour. - [Device Control Plus](https://www.manageengine.com/fr/patch-management/) : Empêchez les périphériques amovibles non autorisés de se connecter à votre réseau. - [DataSecurity Plus](https://www.manageengine.com/fr/self-service-password/) : Détectez et empêchez les fuites de données par le biais de clés USB et d'e-mails. - [PAM360](https://www.manageengine.com/fr/log-management/) : Fournissez les autorisations d'accès minimales pour les biens connectés à distance aux ressources de l'entreprise. - [OpUtils](https://www.manageengine.com/fr/device-control/) : Empêchez les appareils non autorisés de se connecter à votre réseau. - NetFlow Analyzer : Détectez les intrusions dans les réseaux à l'aide d'un moteur d'extraction de flux continu. - [OpManager Nexus](https://www.manageengine.com/fr/ad-recovery-manager/) : Collectez les journaux de flux de trafic réseau à partir des périphériques réseau afin de procéder à un examen et d'émettre des alertes sur les goulets d'étranglement du réseau. ## Contrôle 14 : Sensibilisation à la sécurité et formation aux compétences Mettez en place et maintenez un programme de sensibilisation à la sécurité afin de rendre les employés plus conscients de la sécurité et de vous assurer qu'ils disposent des compétences appropriées pour réduire les risques de cybersécurité pour votre entreprise. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [ADSelfService Plus](https://www.manageengine.com/fr/data-security/) : Établissez un MFA pour les systèmes Windows, macOS et Linux. - [PAM360](https://www.manageengine.com/fr/log-management/) : Assurez qu'aucune voie d'accès privilégié aux biens essentiels à la mission n'est laissée sans gestion, inconnue ou non surveillée. - [DataSecurity Plus](https://www.manageengine.com/fr/self-service-password/) : Établissez un rapport sur la création, la suppression, l'écrasement et le renommage des fichiers et des dossiers. - [Endpoint Central](https://www.manageengine.com/fr/application-control/) : Gérez et optimisez la consommation d'énergie du matériel informatique pour économiser de l'argent et de l'énergie. - [Mobile Device Manager Plus](https://www.manageengine.com/fr/browser-security/) : Gérez les mises à jour du système d'exploitation pour les appareils iOS, Android et Chrome OS. ## Contrôle 15 : Gestion des fournisseurs de services Développez un processus pour évaluer les fournisseurs de services qui détiennent des données sensibles ou qui sont responsables des plateformes ou des processus informatiques critiques de votre entreprise, afin de vous assurer que ces fournisseurs protègent ces plateformes et ces données de manière appropriée. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [ADManager Plus](https://www.manageengine.com/fr/active-directory-audit/) : Désactivez en toute sécurité les fournisseurs de services, les utilisateurs et les serveurs de fichiers sans avoir à gérer des scripts personnalisés complexes. ## Contrôle 16 : Sécurité des logiciels d'application Gérez le cycle de vie de la sécurité des logiciels développés en interne, hébergés ou acquis afin de prévenir, détecter et corriger les faiblesses de sécurité avant qu'elles n'aient un impact sur votre entreprise. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [Vulnerability Manager Plus](https://www.manageengine.com/fr/oputils/) : Mettez en œuvre une gestion des vulnérabilités de l'entreprise axée sur l'établissement de priorités. - [Endpoint Central](https://www.manageengine.com/fr/application-control/) : Identifiez les vulnérabilités et remédiez-y en appliquant des correctifs. ## Contrôle 17 : Gestion de la réponse aux incidents Établissez un programme pour développer et maintenir une capacité de réponse aux incidents (par exemple : stratégies, plans, procédures, rôles définis, formation et communications) pour se préparer, détecter et répondre rapidement à une attaque. **Les produits de ManageEngine pouvant vous aider avec ce contrôle :** - [ServiceDesk Plus](https://www.manageengine.com/fr/service-desk/) : Créez un portail pour l'équipe de sécurité informatique afin de gérer les incidents avec des notifications, des SLAs et des procédures d'escalade uniques. ## Contrôle 18 : Test de pénétration Évaluez périodiquement la capacité de votre organisation à se défendre contre les attaques en effectuant des tests de pénétration. Simulez les objectifs et les actions d'un attaquant avec l'aide d'équipes rouges (red teams) pour inspecter votre posture de sécurité actuelle et obtenir des informations précieuses sur l'efficacité de vos défenses. ## Remarque **Remarque :** L'implémentation complète des [contrôles CIS](https://www.cisecurity.org/controls)® (développés par The Center of Internet Security) nécessite une variété de solutions, de processus, de personnes et de technologies. Les solutions mentionnées ci-dessus représentent certaines méthodes par lesquelles les outils de gestion informatique peuvent aider à répondre aux exigences des contrôles CIS. Associées à d'autres solutions, processus et personnes adéquats, les solutions de ManageEngine contribuent à l'implémentation des contrôles CIS. Cette documentation est fournie à titre informatif uniquement et ne doit pas être considérée comme un conseil juridique pour la mise en œuvre de ces contrôles. ManageEngine ne donne aucune garantie, explicite, implicite ou légale, quant aux informations contenues dans cette documentation.