Quels sont les benchmarks CIS ?

Les benchmarks CIS sont développés par le biais d’un processus basé sur un consensus impliquant des communautés de professionnels de la cybersécurité du monde entier. Ces experts identifient, affinent et valident en permanence les bonnes pratiques de sécurité dans leur domaine de compétence pour aider les entreprises à protéger leurs actifs numériques contre les cyber-risques.

CIS a publié plus de 100 benchmarks CIS, couvrant 8 categories de technologie et plus de 25 familles de produits de fournisseurs.¹ Ils sont disponibles en téléchargement gratuit au format PDF pour un usage non commercial.

Les benchmarks CIS aident les entreprises à améliorer leur posture de sécurité en suivant des normes de sécurité et des directives de cyberdéfense prescriptives et mondialement reconnues. Les benchmarks CIS prennent également en charge des cas d’utilisation métier tels que la conformité réglementaire, la gouvernance informatique et les politiques de sécurité.

Créé en octobre 2000, le CIS est une organisation à but non lucratif dont la mission est de « faire du monde connecté un endroit plus sûr en développant, validant et promouvant des solutions de bonnes pratiques qui aident les particuliers, les entreprises et les gouvernements à se protéger contre les cybermenaces omniprésentes ».²

Les communautés de benchmarking CIS, un groupe de plus de 12 000 professionnels de la sécurité informatique qui contribuent à l'élaboration des meilleures pratiques de benchmarking CIS, sont ouvertes à toute personne souhaitant apporter sa contribution. Les communautés sont composées de bénévoles et comprennent des experts en la matière, des fournisseurs, des rédacteurs techniques, des testeurs et d’autres membres du CIS du monde entier.

Le CIS héberge également le Multi-State Information Sharing and Analysis Center (MS-ISAC), qui fournit des ressources en matière de prévention, de protection, de réponse et de rétablissement face aux cybermenaces aux entités gouvernementales américaines au niveau des États, des collectivités locales, des tribus et des territoires (SLTT). Il s’agit également du siège de l’Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), qui répond aux besoins de cybersécurité des bureaux électoraux américains.³

Les niveaux de profil CIS font référence à différents niveaux de recommandation de sécurité et contiennent plusieurs configurations pour différents produits.

Le niveau 1 couvre les configurations de base qui sont plus faciles à mettre en œuvre et ont un impact minimal sur les fonctionnalités de l’entreprise.

Le niveau 2 s’applique aux environnements à haute sécurité qui nécessitent plus de coordination et de planification pour être mis en œuvre avec une interruption minimale de l’activité.

STIG est un ensemble de bases de référence de configuration qui répondent au Guide technique de mise en œuvre de la sécurité (STIG), normes de sécurité publiées et maintenues par le ministère américain de la Défense (DOD) afin de satisfaire aux exigences du gouvernement américain.

Le profil STIG du CIS aide les entreprises à se conformer au STIG. Les systèmes de sécurité configurés avec STIG répondent aux exigences de conformité CIS et STIG.

Comme mentionné précédemment, il existe plus de 100 benchmarks CIS regroupés dans 8 catégories de technologies informatiques, notamment :

• Systèmes d’exploitation

• Logiciel de serveur

• Fournisseur de cloud

• Appareil mobile

• Périphérique réseau

• Logiciel de bureau

• Appareil d’impression multifonction

• Outils DevSecOps

Cette catégorie comprend les configurations de sécurité des systèmes d’exploitation principaux, tels que Microsoft Windows, Linux et macOS d’Apple. Il s'agit notamment de lignes directrices sur les bonnes pratiques en matière de restrictions d'accès local et à distance, de profils d'utilisateurs, d'authentification, de protocoles d'installation de pilote et de configurations de navigateurs internet.

Cette catégorie comprend les configurations de sécurité des logiciels de serveur largement utilisés, notamment Microsoft Windows Server, SQL Server et VMware. Elle prend aussi en charge des plateformes de conteneurisation open-source, comme Docker et Kubernetes.

Les benchmarks comprennent des recommandations pour configurer les certificats PKI (Public Key Infrastructure) Kubernetes, les paramètres du serveur API (interface de programmation d'application), les contrôles d'administration des serveurs, les politiques vNetwork et les restrictions de stockage.

Cette catégorie adresse les configurations de sécurité pour Amazon Web Services (AWS), Microsoft Azure, Google, IBM et d'autres environnements de cloud public populaires. Les benchmarks comprennent des directives de sécurité du cloud pour configurer la gestion des identités et des accès (IAM), des protocoles de journalisation système, des configurations réseau et des garanties de conformité réglementaire.

Cette catégorie s’adresse aux systèmes d’exploitation mobile, y compris iOS et Android, et se concentre sur des domaines tels que les options et paramètres des développeurs, les configurations de confidentialité des systèmes d’exploitation, les paramètres des navigateurs et les autorisations des applications.

Cette catégorie offre des directives de configuration de sécurité générales et spécifiques au fournisseur pour les périphériques réseau et le matériel applicable de Cisco, Palo Alto Networks, Juniper et d'autres.

Cette catégorie comprend les configurations de sécurité pour certaines des applications de bureau les plus couramment utilisées, notamment Microsoft Office et Exchange Server, Google Chrome, Mozilla Firefox et le navigateur Safari. Ces benchmarks se concentrent sur la confidentialité des e-mails et les paramètres de serveur, la gestion des appareils mobiles, les paramètres par défaut des navigateurs et le blocage des logiciels tiers.

Cette catégorie décrit les bonnes pratiques de sécurité pour configurer des imprimantes multifonction dans les bureaux. Elle couvre la mise à jour des microprogrammes, les configurations TCP/IP, la configuration de l’accès sans fil, la gestion des utilisateurs, le partage de fichiers, etc.

Cette catégorie couvre la chaîne d’approvisionnement logicielle et aide les équipes à sécuriser les pipelines DevSecOps. Elle propose les bonnes pratiques en matière de contrôles de sécurité tout au long du cycle de vie du développement logiciel, de la conception initiale à l’intégration, en passant par les tests, la livraison et le déploiement.

Au fil des ans, le CIS a produit et distribué d'autres outils gratuits et des solutions payantes qui prennent en charge les benchmarks CIS. Ces ressources aident les entreprises à renforcer davantage leur cybersécurité.

Anciennement connu sous le nom de SANS Critical Security Controls (SANS Top 20 Controls), le CIS Critical Security Controls (CSC) est un guide complet de 18 mesures de protection et contre-mesures pour une cyberdéfense efficace. Également appelés CIS Controls, elles sont gratuites et fournissent une liste de contrôle hiérarchisée que les entreprises peuvent mettre en œuvre pour réduire considérablement leur surface d'attaque.

Les benchmarks CIS font référence à ces meilleures pratiques en matière de cybersécurité lorsqu'ils mentionnent des recommandations pour des configurations système plus sécurisées.

CIS propose également des images préconfigurées renforcées qui permettent aux entreprises d'effectuer des opérations informatiques de manière rentable sans avoir à investir dans du matériel ou des logiciels supplémentaires. Les images renforcées sont beaucoup plus sûres que les images virtuelles standard et limitent considérablement les vulnérabilités de sécurité susceptibles d’entraîner une cyberattaque.

Les images renforcées CIS sont conçues et configurées conformément aux normes des benchmarks CIS et CIS Controls et sont reconnues comme étant entièrement conformes aux exigences de divers organismes de réglementation. Les images renforcées du CIS sont disponibles sur presque toutes les principales plateformes de cloud computing et sont faciles à déployer et à gérer.

Le programme d'adhésion CIS SecureSuite fournit aux entreprises des outils et des ressources en matière de cybersécurité. L'adhésion est gratuite pour le gouvernement et les établissements universitaires aux États-Unis, tandis que les options de paiement varient pour les utilisateurs commerciaux et les entités gouvernementales à l'étranger.

CIS WorkBench est une plateforme centralisée qui rassemble les CIS Controls et les benchmarks CIS, permettant une collaboration pour le développement continu des benchmarks CIS.

Disponible pour les membres CIS SecureSuite, le kit CIS SecureSuite Build Kit comprend des ressources qui fournissent une automatisation de la sécurité et la correction des systèmes conformément aux normes des benchmarks CIS.

L’outil d’évaluation de la configuration CIS (CAT) fournit des analyses automatisées des paramètres de configuration d’un système par rapport aux benchmarks CIS. Il est disponible pour les membres CIS SecureSuite.

Le CIS-CAT Lite est un outil gratuit d’évaluation des systèmes informatiques. Comparée au CIS-Cat Pro, cette version limitée offre des évaluations de niveau de base par rapport à un nombre réduit de benchmarks CIS.

Les benchmarks CIS aident les entreprises à mettre en place des Stratégies de gouvernance, de risque et de conformité (GRC) afin de gérer la gouvernance et les risques tout en respectant les réglementations des secteurs et du gouvernement.

Les benchmarks CIS sont étroitement alignées sur les cadres réglementaires en matière de sécurité et de confidentialité des données. Par conséquent, toute organisation opérant dans un secteur régi par ce type de réglementations peut réaliser des progrès significatifs en matière de conformité en adhérant aux benchmarks CIS. Ces organismes de réglementation sont les suivants :

• Le cadre de cybersécuritédu National Institute of Standards and Technology (NIST)  fournit des conseils et des bonnes pratiques que les organisations du secteur privé peuvent suivre pour améliorer la sécurité des informations (InfoSec) et la gestion des risques liés à la cybersécurité.

• La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un ensemble d'exigences de sécurité visant à protéger les données des titulaires de cartes – y compris les numéros de compte principal (PAN), les noms, les dates d'expiration, les codes de service – et d'autres informations sensibles tout au long de leur cycle de vie.

• La loi HIPAA (Health Insurance Portability and Accountability Act) définit les exigences en matière d'utilisation, de divulgation et de stockage sécurisé des données de santé protégées (PHI).

• ISO/IEC 27001, également appelée ISO 27001, est la norme de sécurité des informations la plus reconnue dans le monde entier, développée conjointement par l'Entreprise internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC). Elle fournit une approche systématique, structurée et basée sur les risques pour gérer et protéger les actifs d'information sensibles.

• Le Règlement général sur la protection des données, ou RGPD, est une loi de l’Union européenne (UE) qui régit la façon dont les organisations au sein et en dehors de l’UE gèrent les données personnelles des résidents de l’UE.

Bien que les entreprises soient toujours libres de faire leurs propres choix en matière de configurations de sécurité, les benchmarks CIS offrent toute une série d'avantages :

• Normes reconnues par le secteur : développés par une communauté mondiale de professionnels de l’informatique et de la cybersécurité, les benchmarks CIS aident les entreprises à s’engager pleinement en matière de cybersécurité et à accroître la confiance des clients et des parties prenantes.

• Conseils régulièrement mis à jour : les benchmarks CIS offrent des conseils étape par étape régulièrement mis à jour afin d'aider les organisations à sécuriser tous les aspects de leur infrastructure informatique. Par exemple, le benchmark CIS relatif à Windows est régulièrement mis à jour vers la dernière version dans les 90 jours suivant sa publication. En outre, les images renforcées du CIS sont mises à jour tous les mois pour tenir compte des dernières bonnes pratiques en matière de sécurité.

• Soutien à la gouvernance, aux risques et à la conformité (GRC) : les benchmarks CIS fournissent un cadre permettant aux organisations de gérer la gouvernance, les risques et la conformité (GRC), une stratégie organisationnelle visant à gérer la gouvernance et les risques tout en garantissant la conformité aux réglementations industrielles et gouvernementales.

• Personnalisation : les benchmarks CIS fournissent un modèle flexible pour l’adoption en toute sécurité de nouveaux services cloud et workloads et l’exécution de stratégies de transformation numérique  Par exemple, les membres de CIS SecureSuite peuvent adapter les benchmarks CIS dans la plateforme CIS Workbench pour répondre à leurs besoins spécifiques en matière d'activité et de technologie.

• Flexibilité : les benchmarks CIS fournissent une recommandation de base pour les paramètres de sécurité, y compris les pare-feu, les routeurs et les serveurs. Ils fournissent également des directives spécifiques au fournisseur pour aider à configurer et à gérer les systèmes et les appareils. Cette combinaison de fonctionnalités neutres et spécifiques au fournisseur favorise la flexibilité permettant aux systèmes de s’adapter à l’évolution des besoins.

• Facilité de déploiement : DevSecOps et d'autres équipes s'appuient sur les benchmarks CIS pour des configurations de sécurité faciles à déployer afin d'améliorer l'efficacité opérationnelle et la durabilité.