Que sont les benchmarks CIS ?
Les benchmarks CIS du Center of Internet Security (CIS) sont un ensemble de bonnes pratiques reconnues mondialement et faisant l'objet d'un consensus pour aider les praticiens de la sécurité à mettre en œuvre et à gérer leurs défenses de cybersécurité. Élaborées avec une communauté mondiale d'experts en sécurité, les directives aident les organisations à se protéger de manière proactive contre les risques émergents. Les entreprises mettent en œuvre les directives du Benchmark CIS afin de limiter les vulnérabilités de sécurité liées à la configuration de leurs actifs numériques.
Pourquoi les benchmarks CIS sont-ils importants ?
Des outils tels que les benchmarks CIS sont importants, car ils décrivent les bonnes pratiques de sécurité, développées par des professionnels de la sécurité et des experts en la matière, pour le déploiement de plus de 25 produits de fournisseurs différents. Ces bonnes pratiques constituent un bon point de départ pour créer un plan de déploiement d'un nouveau produit ou service ou pour vérifier que les déploiements existants sont sécurisés.
Lorsque vous mettez en œuvre les benchmarks CIS, vos systèmes hérités sont mieux protégés contre les risques courants et émergents grâce à des mesures telles que celles-ci :
- Désactivation des ports inutilisés
- Suppression des autorisations d'applications inutiles
- Limitation des privilèges d'administration
Les systèmes et applications informatiques sont également plus performants lorsque vous désactivez les services inutiles.
Exemple de benchmarks CIS
Par exemple, les administrateurs peuvent suivre, étape par étape, les directives du CIS AWS Foundations Benchmark pour les aider à mettre en place une politique de mot de passe robuste pour AWS Identity and Access Management (IAM). L'application de la politique de mot de passe, l'utilisation de l'authentification multifactorielle (MFA), la désactivation du compte root, la rotation des clés d'accès tous les 90 jours et d'autres tactiques sont des directives d'identité distinctes, mais liées, pour améliorer la sécurité d'un compte AWS.
En adoptant les benchmarks CIS, votre organisation peut bénéficier de plusieurs avantages en matière de cybersécurité, tels que les suivants :
Directives expertes en matière de cybersécurité
Les benchmarks CIS fournissent aux organisations un cadre de configurations de sécurité qui sont contrôlées par des experts et qui ont fait leurs preuves. Les entreprises peuvent éviter les scénarios par tâtonnements, qui mettent la sécurité en danger, et bénéficier de l'expertise d'une communauté informatique et de cybersécurité diversifiée.
Normes de sécurité reconnues mondialement
Les benchmarks CIS sont les seuls guides de bonnes pratiques reconnus et acceptés au niveau mondial par les gouvernements, les entreprises, la recherche et les institutions académiques. Grâce à la communauté mondiale et diversifiée qui travaille sur un modèle décisionnel basé sur le consensus, les benchmarks CIS ont une applicabilité et une acceptabilité bien plus larges que les lois et les normes de sécurité régionales.
Prévention rentable des menaces
La documentation sur les benchmarks CIS est disponible gratuitement pour que chacun puisse la télécharger et la mettre en œuvre. Votre entreprise peut obtenir des instructions actualisées, étape par étape, pour toutes sortes de systèmes informatiques, et ce sans aucuns frais. Vous pouvez atteindre une gouvernance informatique et éviter les dommages financiers et de réputation causés par des cybermenaces évitables.
Conformité règlementaire
Les benchmarks CIS s'alignent sur les principaux cadres de sécurité et de confidentialité des données, tels que :
- le cadre de cybersécurité du NIST (National Institute of Standards and Technology) ;
- La Health Insurance Portability and Accountability Act (HIPAA) ;
- Les normes PCI DSS (Payment Card Industry Data Security Standard).
La mise en œuvre des benchmarks CIS est un grand pas vers la conformité pour les organisations qui opèrent dans des secteurs fortement réglementés. Ils peuvent prévenir les échecs de conformité dus à des systèmes informatiques mal configurés.
Quels types de systèmes informatiques les benchmarks CIS couvrent-ils ?
CIS a publié plus de 100 benchmarks couvrant plus de 25 familles de produits de fournisseurs. Lorsque vous appliquez et surveillez les benchmarks CIS au sein de tous les types de systèmes informatiques, vous créez un environnement informatique intrinsèquement sûr que vous pouvez défendre davantage à l'aide de solutions de sécurité. Les technologies couvertes par les benchmarks CIS peuvent être regroupées dans les sept catégories suivantes :
Systèmes d'exploitation
Les benchmarks CIS pour les systèmes d'exploitation fournissent des configurations de sécurité standard pour les systèmes d'exploitation populaires, y compris Amazon Linux. Ces repères comprennent les bonnes pratiques pour des fonctions telles que les suivantes :
- Contrôle d'accès au système d'exploitation
- Politiques de groupe
- Paramètres de navigateur Web
- Gestion des correctifs
Infrastructure cloud et services
Les benchmarks CIS pour l'infrastructure cloud fournissent des normes de sécurité que les entreprises peuvent utiliser pour configurer en toute sécurité les environnements cloud, tels que ceux fournis par AWS. Les directives comprennent des bonnes pratiques pour les paramètres de réseau virtuel, les configurations AWS Identity and Access Management (IAM), les contrôles de conformité et de sécurité, et plus encore.
Logiciel de serveur
Les benchmarks CIS pour les logiciels de serveur fournissent des bases de configuration et des recommandations pour les paramètres du serveur, les contrôles d'administration du serveur, les paramètres de stockage et les logiciels de serveur des fournisseurs les plus populaires.
Logiciels de bureau
Les benchmarks CIS couvrent la plupart des logiciels de bureau que les organisations utilisent généralement. Les directives comprennent les bonnes pratiques pour la gestion des fonctions des logiciels de bureau, telles que les suivantes :
- Logiciels de bureau tiers
- Paramètres de navigateur
- Privilèges d'accès
- Comptes utilisateurs
- IoT Device Management
Appareils mobiles
Les benchmarks CIS pour les appareils mobiles couvrent les configurations de sécurité pour les systèmes d'exploitation qui fonctionnent sur les téléphones mobiles, les tablettes et autres appareils portatifs. Ils fournissent des recommandations pour les paramètres du navigateur mobile, les autorisations des applications, les paramètres de confidentialité, et plus encore.
Périphériques réseau
Les benchmarks CIS fournissent également des configurations de sécurité pour les périphériques réseau tels que les pare-feu, les routeurs, les commutateurs et les réseaux privés virtuels (VPN). Ils contiennent à la fois des recommandations neutres et spécifiques aux fournisseurs pour assurer la configuration et la gestion sécurisées de ces périphériques réseau.
Périphériques d'impression multifonctions
Les benchmarks CIS pour les périphériques réseau tels que les imprimantes multifonctions, les scanners et les photocopieurs couvrent les bonnes pratiques de configuration sécurisée telles que les paramètres de partage de fichiers, les restrictions d'accès et les mises à jour de micrologiciels.
Quels sont les niveaux de benchmarks CIS ?
Pour aider les organisations à atteindre leurs objectifs de sécurité uniques, le CIS attribue un niveau de profil à chaque ligne directrice des benchmarks CIS. Chaque profil CIS comprend des recommandations qui offrent un niveau de sécurité différent. Les organisations peuvent choisir un profil en fonction de leurs besoins en matière de sécurité et de conformité.
Profil de niveau 1
Les recommandations de configuration pour le profil de niveau 1 sont des recommandations de sécurité de base pour la configuration des systèmes informatiques. Elles sont faciles à suivre et n'ont pas d'impact sur les fonctionnalités ou le temps d'activité de l'entreprise. Ces recommandations réduisent le nombre de points d'entrée dans vos systèmes informatiques, diminuant ainsi vos risques en matière de cybersécurité.
Profil de niveau 2
Les recommandations de configuration du profil de niveau 2 fonctionnent mieux pour les données hautement sensibles où la sécurité est une priorité. La mise en œuvre de ces recommandations nécessite une expertise professionnelle et une planification minutieuse pour obtenir une sécurité complète avec un minimum de perturbations. La mise en œuvre des recommandations de profil de niveau 2 aide également à atteindre une conformité réglementaire.
Profile STIG
Le Security Technical Implementation Guide (STIG) est un ensemble de lignes de base de configuration de la Defense Information Systems Agency (DISA). Le ministère américain de la Défense publie et maintient ces normes de sécurité. Les STIG sont spécifiquement rédigées pour répondre aux exigences du gouvernement américain.
Les benchmarks CIS spécifient également un profil STIG de niveau 3 qui est conçu pour aider les organisations à se conformer à la STIG. Le profil STIG contient des recommandations de niveau 1 et de niveau 2 qui sont spécifiques aux STIG et fournit davantage de recommandations que les deux autres profils ne couvrent pas, mais qui sont requises par les STIG de la DISA.
Lorsque vous configurez vos systèmes conformément aux benchmarks CIS STIG, votre environnement informatique sera à la fois conforme aux normes CIS et STIG.
Comment les benchmarks CIS sont-ils développés ?
Les communautés CIS suivent un processus unique basé sur le consensus pour développer, approuver et maintenir les benchmarks CIS pour différents systèmes cibles. Dans l'ensemble, le processus de développement des benchmarks CIS se présente comme suit :
- La communauté identifie le besoin d'un benchmark spécifique.
- Ils établissent le champ d'application du benchmark.
- Les bénévoles créent des fils de discussion sur le site Web de la communauté CIS WorkBench.
- Les experts de la communauté CIS du système informatique spécifique examinent le projet de travail et en discutent.
- Les experts créent, discutent et testent leurs recommandations jusqu'à ce qu'ils parviennent à un consensus.
- Ils finalisent le benchmark et le publient sur le site Internet du CIS.
- D'autres volontaires de la communauté participent à la discussion sur les benchmarks CIS.
- L'équipe de consensus tient compte des commentaires de ceux qui mettent en œuvre le benchmark.
- Ils effectuent des révisions et des mises à jour des nouvelles versions du benchmark CIS.
La publication de nouvelles versions des benchmarks CIS dépend également des changements ou des mises à niveau des systèmes informatiques correspondants.
Comment pouvez-vous mettre en œuvre les benchmarks CIS ?
Chaque Benchmarks CIS comprend une description de la recommandation, la raison de cette dernière et les instructions que les administrateurs système peuvent suivre pour l'implémenter correctement. Chaque benchmark peut comporter plusieurs centaines de pages car il couvre chaque domaine du système informatique cible.
L'implémentation des benchmarks CIS et la mise à jour de toutes les versions deviennent compliquées si vous le faites manuellement. C'est pourquoi de nombreuses organisations utilisent des outils automatisés pour contrôler la conformité du CIS. Le CIS propose également des outils gratuits et payants que vous pouvez utiliser pour analyser les systèmes informatiques et générer des rapports de conformité au CIS. Ces outils alertent les administrateurs système si les configurations existantes ne répondent pas aux recommandations des benchmarks CIS.
Quelles autres ressources de sécurité sont incluses dans les Benchmarks CIS ?
Le CIS publie également d'autres ressources visant à améliorer la sécurité Internet d'une organisation, y compris les deux ressources principales suivantes :
Contrôles CIS
Les contrôles CIS (anciennement appelés CIS Critical Security Controls) forment une autre ressource que le CIS publie comme un guide complet des bonnes pratiques en matière de sécurité des systèmes et des réseaux. Le guide contient une liste de contrôle de 20 mesures de protection et d'action qui sont hautement prioritaires et qui ont prouvé leur efficacité contre les menaces de cybersécurité les plus répandues et les plus destructrices pour les systèmes informatiques.
Les contrôles CIS correspondent à la plupart des normes et cadres réglementaires majeurs, tels que :
- le cadre de cybersécurité du NIST (National Institute of Standards and Technology) ;
- NIST 800-53 ;
- la Health Insurance Portability and Accountability Act (HIPAA), les Payment Card Industry Data Security Standard (PCI DSS), la Federal Information Security Management Act (FISMA) et d'autres normes de la série ISO 27000.
Les CIS Controls vous donnent un point de départ pour suivre n'importe lequel des cadres de conformité suivants :
Benchmark CIS ou Contrôles CIS
Les contrôles CIS sont des directives plutôt génériques pour sécuriser des systèmes et des réseaux entiers, mais les benchmarks CIS sont des recommandations très spécifiques pour des configurations de systèmes sécurisées. Les benchmarks CIS constituent une étape critique pour la mise en œuvre des contrôles CIS car chaque recommandation des benchmarks CIS fait référence à un ou plusieurs des contrôles CIS.
Par exemple, le contrôle CIS 3 suggère des configurations matérielles et logicielles sécurisées pour les systèmes informatiques. Les benchmarks CIS fournissent des conseils neutres et spécifiques aux fournisseurs ainsi que des instructions détaillées que les administrateurs peuvent suivre pour mettre en œuvre le contrôle CIS 3.
Images renforcées CIS
Une machine virtuelle (VM) est un environnement informatique virtuel qui émule le matériel informatique dédié. Les images VM sont des modèles que les administrateurs système utilisent pour créer rapidement plusieurs VM avec des configurations de système d'exploitation similaires. Toutefois, si l'image VM est mal configurée, les instances VM créées à partir de celle-ci seront également mal configurées et vulnérables.
Le CIS propose des images renforcées CIS, qui sont des images VM déjà configurées selon les normes des benchmarks CIS.
Avantages de l'utilisation des images renforcées CIS
Les images renforcées CIS sont utiles car elles offrent les fonctions suivantes :
- Préconfiguré selon les lignes de base des benchmarks CIS
- Déploiement et gestion simplifiés
- Mis à jour et corrigé par CIS
En fonction de vos besoins en matière de sécurité et de conformité, vous pouvez choisir des images renforcées CIS qui sont configurées selon un profil de niveau 1 ou de niveau 2.
Comment utiliser les benchmarks CIS sur AWS ?
CIS est un fournisseur indépendant de logiciels (ISV) partenaire AWS, et AWS est une société membre de CIS Security Benchmarks. Les benchmarks CIS comprennent des directives pour des configurations sécurisées pour un sous-ensemble de services cloud AWS et des paramètres de niveau de compte.
Par exemple, CIS décrit les paramètres de configuration des bonnes pratiques pour AWS in CIS Benchmarks, tels que :
- CIS AWS Foundations Benchmark
- CIS Amazon Linux 2 Benchmark
- CIS Amazon Elastic Kubernetes Service (EKS) Benchmark
- AWS End User Compute Benchmark (Benchmarks Informatique pour l'utilisateur final sur AWS)
Vous pouvez également accéder à des images Amazon Elastic Compute Cloud (EC2) renforcées par le CIS sur AWS Marketplace. Vous pouvez ainsi être sûr que vos images Amazon EC2 répondent aux benchmarks CIS.
De même, vous pouvez automatiser les contrôles pour vous assurer que votre déploiement AWS répond aux recommandations définies dans la norme CIS AWS Foundations Benchmark. AWS Security Hub prend en charge la norme CIS AWS Foundations Benchmark, qui consiste en 43 contrôles et 32 exigences de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) sur 14 services AWS. Une fois que AWS Security Hub est activé, il commence immédiatement à exécuter des vérifications de sécurité continues et automatisées par rapport à chaque contrôle et à chaque ressource pertinente employée avec le contrôle.
Assurez la conformité de votre infrastructure cloud avec le CIS et démarrez avec AWS en créant un compte AWS gratuit dès aujourd'hui.
Prochaines étapes des benchmarks CIS avec AWS
Commencez à créer avec AWS dans la Console de gestion AWS.