Que sont les benchmarks CIS ?

Les benchmarks CIS constituent un ensemble de meilleures pratiques pour configurer de manière sûre les systèmes informatiques, les logiciels, les réseaux et l'infrastructure de cloud.

Les benchmarks CIS sont publiés par le Center for Internet Security (CIS). Au moment de la publication de cet article, il existe plus de 140 benchmarks CIS au total, couvrant sept catégories de technologies de base. Les benchmarks CIS sont développés grâce à un processus consensuel unique impliquant des communautés de professionnels de la cybersécurité et d'experts du monde entier, chacun identifiant, affinant et validant en permanence les meilleures pratiques de sécurité dans leurs domaines de spécialité.

Le CIS (lien externe à ibm.com) est une organisation à but non lucratif créée en octobre 2000. Il est dirigé par une communauté informatique mondiale dont l'objectif commun est d'identifier, de développer, de valider, de promouvoir et de soutenir les meilleures pratiques de cyberdéfense. Au fil des ans, le CIS a produit et distribué plusieurs outils et solutions gratuits pour les entreprises de toutes tailles, qui visent à renforcer leur préparation à la cybersécurité.

Le CIS est surtout connu pour sa publication du CIS Controls (lien externe à ibm.com), un guide complet de 20 mesures de protection et contre-mesures pour disposer d'une cyberdéfense efficace. CIS Controls fournit une liste de contrôle hiérarchisée que les organisations peuvent mettre en œuvre pour réduire considérablement leur surface de cyberattaque. Les benchmarks CIS font référence à ces contrôles lors de l'élaboration de recommandations pour des configurations système mieux sécurisées.

Chaque benchmark CIS comprend plusieurs recommandations de configuration reposant sur l'un des deux niveaux de profil. Les profils de benchmark de niveau 1 couvrent les configurations de niveau de base qui sont plus faciles à mettre en œuvre et ont un impact minime sur les fonctionnalités de l'entreprise. Les profils de benchmark de niveau 2 sont destinés aux environnements à haute sécurité et nécessitent plus de coordination et de planification pour être mis en œuvre avec une interruption minime de l'activité.

Il existe 7 catégories principales de benchmarks CIS :

1. Les benchmarks de systèmes d'exploitation couvrent les configurations de sécurité des principaux systèmes d'exploitation, tels que Microsoft Windows, Linux et Apple OSX. Ils comprennent des directives de meilleures pratiques pour les restrictions d'accès local et distant, les profils d'utilisateurs, les protocoles d'installation de pilotes et les configurations de navigateur Internet.
   
   
2. Les benchmarks de logiciel de serveur couvrent les configurations de sécurité des logiciels de serveur largement utilisés, notamment Microsoft Windows Server, SQL Server, VMware, Docker et Kubernetes. Ces benchmarks incluent des recommandations pour la configuration des certificats KPI Kubernetes, les paramètres du serveur d'API, les contrôles d'administration de serveur, les politiques vNetwork et les restrictions de stockage.
   
   
3. Les benchmarks de fournisseur de cloud couvrent les configurations de sécurité pour Amazon Web Services (AWS), Microsoft Azure, Google, IBM et d'autres clouds publics couramment utilisés. Ils incluent des directives pour la configuration de la gestion des identités et des accès (IAM), des protocoles de journalisation de système, des configurations réseau et des garanties de conformité réglementaire.
   
   
4. Les benchmarks d'appareil mobile couvrent les systèmes d'exploitation mobiles, notamment iOS et Android, et des domaines tels que les options et les paramètres de développement, les configurations de confidentialité du système d'exploitation, les paramètres de navigateur et les autorisations des applications.
   
   
5. Les benchmarks de périphérique réseau offrent des directives de configuration de sécurité générales et spécifiques aux fournisseurs pour les périphériques réseau et le matériel applicable de Cisco, Palo Alto Networks, Juniper et autres.
   
   
6. Les benchmarks de logiciel bureautique couvrent les configurations de sécurité de certaines des applications logicielles bureautiques les plus couramment utilisées, notamment Microsoft Office et Exchange Server, Google Chrome, Mozilla Firefox et le navigateur Safari. Ces benchmarks portent sur la confidentialité des courriers électroniques et les paramètres du serveur, la gestion des appareils mobiles, les paramètres par défaut du navigateur et le blocage des logiciels tiers.
   
   
7. Les benchmarks des appareils d'impression multifonctions décrivent les meilleures pratiques de sécurité pour la configuration des imprimantes multifonctions dans les paramètres de bureau et couvrent des sujets tels que les mises à jour des microprogrammes, les configurations TCP/IP, la configuration de l'accès sans fil, la gestion des utilisateurs et le partage de fichiers.

CIS propose également des images renforcées préconfigurées qui permettent aux entreprises d'effectuer des opérations informatiques rentables sans avoir à investir dans du matériel ou des logiciels supplémentaires. Les images renforcées sont beaucoup plus sécurisées que les images virtuelles standard et elles limitent considérablement les vulnérabilités de sécurité pouvant laisser la voie ouverte à une cyberattaque.

Les images renforcées CIS (lien externe à ibm.com) sont conçues et configurées conformément aux benchmarks CIS et à CIS Controls et sont reconnues comme étant entièrement conformes par divers organismes de conformité réglementaire. Elles peuvent être utilisées sur presque toutes les principales plateformes de cloud computing et sont faciles à déployer et à gérer.

Les benchmarks CIS s'alignent étroitement sur les cadres réglementaires de sécurité et de confidentialité des données, notamment le cadre de cybersécurité NIST ((National Institute of Standards and Technology), la norme PCI DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act) et ISO/EIC 2700. Toute organisation d'un secteur régi par ce type de réglementation peut ainsi faire des progrès significatifs vers la conformité en adhérant aux benchmarks CIS. De plus, CIS Controls et les images renforcées CIS peuvent contribuer à la conformité d'une organisation avec le RGPD (le règlement général sur la protection des données de l'UE).

Bien que les entreprises soient toujours libres de faire leurs propres choix en matière de configurations de sécurité, les benchmarks CIS offrent les avantages suivants :

• l'expertise commune d'une communauté mondiale de professionnels de l'informatique et de la cybersécurité ;
  
  
• des conseils pas à pas régulièrement mis à jour pour sécuriser tous les domaines de l'infrastructure informatique ;
  
  
• une cohérence de la gestion de la conformité ;
  
  
• un modèle de flexibilité pour adopter en toute sécurité de nouveaux services cloud et pour exécuter des stratégies de transformation numérique ;
  
  
• des configurations faciles à déployer pour une efficacité opérationnelle et une durabilité accrues.