Avec la multiplication des violations de données, les organisations doivent plus que jamais s’assurer de disposer de tous les contrôles de sécurité nécessaires pour protéger leurs données. Pour répondre aux menaces croissantes envers la sécurité, le SANS Institute, en collaboration avec le Center for Internet Security (CIS) et d’autres organisations, a développé les 20 contrôles de sécurité critiques (CSC) pour une cyberdéfense efficace. Ces contrôles fournissent aux professionnels de l’informatique un ensemble d’actions hiérarchisées et ciblées qui leur permet de stopper les cyberattaques les plus dangereuses et d’assurer la sécurité de leurs données.
Cet article de blog explique ces 20 contrôles et pourquoi chacun d’entre eux est essentiel, puis propose 5 étapes pour les mettre en œuvre de manière pragmatique.
Liste complète des contrôles de sécurité critiques du CIS, version 6.1
Les CSC du CIS sont un ensemble de 20 contrôles (parfois appelés le SANS Top 20) conçus pour aider les organisations à protéger leurs systèmes et leurs données contre les vecteurs d’attaque connus. Ils constituent également un guide efficace pour les entreprises qui ne disposent pas encore d’un programme de sécurité cohérent. Même si les contrôles du CIS ne remplacent pas un programme de conformité, ils s’inscrivent dans plusieurs cadres de conformité (par exemple, le cadre de cybersécurité du NIST) et réglementations (par exemple, PCI DSS et HIPAA).
Ces 20 contrôles sont basés sur les informations les plus récentes relatives aux attaques courantes et reflètent les connaissances combinées des experts en criminalité commerciale, des testeurs de pénétration individuels et des représentants d’agences gouvernementales américaines.
1. Inventaire des appareils autorisés et non autorisés.
Les organisations doivent gérer activement tous les appareils du réseau, de sorte que seuls ceux qui sont autorisés puissent y accéder et que ceux qui ne le sont pas puissent être rapidement identifiés et déconnectés avant de causer des dommages.
Pourquoi est-ce essentiel ? Des agresseurs scrutent continuellement l’espace d’adressage des organisations, en attendant que de nouveaux systèmes non protégés soient connectés au réseau. Ce contrôle est particulièrement important pour les organisations qui autorisent l’utilisation d’appareils personnels (BYOD), car les pirates recherchent spécifiquement les appareils qui entrent et sortent du réseau de l’entreprise.
2. Inventaire des logiciels autorisés et non autorisés.
Les organisations doivent gérer activement tous les logiciels du réseau, afin que seuls les logiciels autorisés soient installés. Des mesures de sécurité telles qu’une liste blanche d’applications permettent aux organisations d’identifier rapidement les logiciels non autorisés avant qu’ils ne soient installés.
Pourquoi est-ce essentiel ? Les pirates recherchent des versions vulnérables de logiciels, qui peuvent être exploitées à distance. Ils peuvent diffuser des pages Web, des fichiers média et d’autres contenus hostiles, ou utiliser des exploits zero-day qui tirent profit de vulnérabilités inconnues. Pour cette raison, il est essentiel de bien connaître les logiciels qui ont été déployés dans votre organisation pour assurer la sécurité et la confidentialité des données.
3. Configurations sûres du matériel et des logiciels.
Les entreprises doivent définir, mettre en œuvre et gérer les configurations de sécurité des ordinateurs portables, des serveurs et des ordinateurs de bureau. Elles doivent appliquer une gestion stricte des configurations et mettre en place des processus de contrôle des modifications afin d’empêcher les agresseurs d’exploiter les services et les paramètres vulnérables.
Pourquoi est-ce essentiel ? Les fabricants et les revendeurs conçoivent les configurations par défaut des systèmes d’exploitation et des applications pour faciliter le déploiement et l’utilisation, et non pour assurer une sécurité forte. Les services et les ports ouverts, ainsi que les comptes ou les mots de passe par défaut, peuvent être exploités dans leur état par défaut, c’est pourquoi les entreprises doivent développer des paramètres de configuration assortis de bonnes propriétés de sécurité.
4. Évaluation continue des vulnérabilités et remédiation.
Les organisations doivent continuellement acquérir, évaluer et gérer de nouvelles informations (par exemple, mises à jour de logiciels, correctifs, avis de sécurité et bulletins de menaces) afin d’identifier et de corriger les vulnérabilités que des attaquants pourraient autrement utiliser pour pénétrer leurs réseaux.
Pourquoi est-ce essentiel ? Dès que les chercheurs signalent de nouvelles vulnérabilités, une course s’engage entre toutes les parties concernées : les malfaiteurs s’efforcent d’utiliser ces vulnérabilités pour une attaque, les fournisseurs développent des correctifs ou des mises à jour, et les responsables de la sécurité informatique commencent à effectuer des évaluations des risques ou des tests de régression. Les pirates ont accès aux mêmes informations que tout un chacun, et peuvent profiter des intervalles entre l’apparition de nouvelles connaissances et les mesures correctives.
5. Utilisation contrôlée des privilèges administratifs.
Dans le cadre de ce contrôle, les entreprises doivent utiliser des outils automatisés pour surveiller le comportement des utilisateurs et suivre la manière dont les privilèges administratifs sont attribués et utilisés. Ceci afin d’empêcher tout accès non autorisé aux systèmes essentiels.
Pourquoi est-ce essentiel ? L’usurpation de privilèges administratifs est l’une des méthodes les plus utilisées par les attaquants pour pénétrer le réseau d’une entreprise. Pour obtenir des identifiants d’administrateur, ils peuvent utiliser des techniques d’hameçonnage, craquer ou deviner le mot de passe d’un utilisateur administrateur, ou élever les privilèges d’un compte d’utilisateur normal au rang de compte administratif. Si les organisations ne disposent pas des ressources nécessaires pour surveiller ce qui se passe dans leur environnement informatique, les agresseurs peuvent plus facilement prendre le contrôle total de leurs systèmes.
6. Maintenance, suivi et analyse des journaux d’audit.
Les organisations doivent collecter, gérer et analyser les journaux d’événements en vue de détecter les activités anormales et d’enquêter sur les incidents de sécurité.
Pourquoi est-ce essentiel ? L’absence de journalisation et d’analyse des événements de sécurité permet aux attaquants de cacher leur emplacement et leurs activités dans le réseau. Même si l’organisation victime sait quels systèmes ont été compromis, sans journaux complets, il lui sera difficile de comprendre ce qu’un agresseur a fait jusqu’à présent et de réagir efficacement.
7. Protection des e-mails et des navigateurs Web.
Pour minimiser leur surface d’attaque, les organisations doivent veiller à ce que seuls des navigateurs Web et des clients de messagerie électronique entièrement pris en charge soient utilisés.
Pourquoi est-ce essentiel ? Les navigateurs Web et les clients de messagerie électronique constituent des points d’entrée dont les pirates sont friands, en raison de leur grande complexité technique et de leur flexibilité. Les malfaiteurs peuvent créer des contenus et inciter les utilisateurs à effectuer des actions susceptibles d’introduire des codes malveillants et d’entraîner la perte de données précieuses.
8. Défenses contre les logiciels malveillants.
Les organisations doivent s’assurer qu’elles peuvent contrôler l’installation et l’exécution de codes malveillants en différents endroits de l’entreprise. Ce contrôle recommande d’utiliser des outils automatisés pour surveiller en permanence les ordinateurs de bureau, les serveurs et les appareils mobiles avec un antivirus, un antispyware, des pare-feux personnels et une fonctionnalité IPS basée sur l’hôte.
Pourquoi est-ce essentiel ? Les logiciels malveillants actuels circulent et évoluent rapidement, et ils peuvent pénétrer par plusieurs points. Les défenses contre les logiciels malveillants doivent donc être efficaces dans cet environnement dynamique grâce à l’automatisation à grande échelle, aux mises à jour et à l’intégration avec des processus tels que la réponse aux incidents.
9. Restriction et contrôle des ports, protocoles et services réseau.
Les organisations doivent surveiller et gérer l’utilisation des ports, des protocoles et des services sur les équipements réseau, afin de réduire au minimum les vulnérabilités que peuvent exploiter les attaquants.
Pourquoi est-ce essentiel ? Les pirates recherchent des services réseau accessibles à distance et vulnérables. Exemples courants : serveurs Web, serveurs de messagerie et services de fichiers et d’impression mal configurés, serveurs de système de noms de domaine (DNS) installés par défaut sur divers appareils. Il est donc impératif de s’assurer que seuls les ports, protocoles et services répondant à un besoin métier confirmé fonctionnent sur chaque système.
10. Сapacité de récupération des données.
Les entreprises doivent veiller à sauvegarder correctement les systèmes et les données critiques au moins une fois par semaine. Elles doivent également disposer d’une méthodologie éprouvée pour pouvoir récupérer les données en temps opportun.
Pourquoi est-ce essentiel ? Les malfaiteurs apportent souvent des modifications importantes aux données, aux configurations et aux logiciels. Sans une sauvegarde et une récupération fiables, les organisations auront du mal à se remettre d’une attaque.
11. Configurations sûres pour les équipements réseau.
Les organisations doivent définir, mettre en œuvre et gérer activement la configuration de sécurité des équipements d’infrastructure réseau, tels que les routeurs, les pare-feux et les commutateurs.
Pourquoi est-ce essentiel ? Comme pour les systèmes d’exploitation et les applications (voir Contrôle de sécurité critique 3), les configurations par défaut des équipements d’infrastructure réseau sont conçues pour faciliter le déploiement, et non pour assurer la sécurité. De plus, la configuration des équipements réseau devient souvent moins sûre avec le temps. Les agresseurs exploitent ces défauts de configuration pour accéder aux réseaux ou utilisent une machine compromise pour se faire passer pour un système de confiance.
12. Défense périmétrique.
Les organisations doivent détecter et corriger le flux d’informations entre les réseaux de différents niveaux de confiance, en se concentrant sur les données qui pourraient nuire à la sécurité. Les technologies qui offrent une visibilité et un contrôle approfondis du flux de données dans l’environnement, notamment les systèmes de détection et de prévention des intrusions, constituent la meilleure défense.
Pourquoi est-ce essentiel ? Pour obtenir un accès initial au réseau d’une organisation, les malfaiteurs utilisent souvent les faiblesses de configuration et d’architecture des systèmes périmétriques, des équipements réseau et des machines clientes ayant accès à Internet.
13. Protection des données.
Les organisations doivent utiliser des processus et des outils appropriés pour atténuer le risque d’exfiltration de données et garantir l’intégrité des informations sensibles. La meilleure façon de protéger les données est de combiner le chiffrement, la protection de l’intégrité et les techniques de prévention des pertes de données.
Pourquoi est-ce essentiel ? Si de nombreuses fuites de données relèvent d’un vol délibéré, d’autres cas de perte ou de détérioration de données sont le résultat de mauvaises pratiques de sécurité ou d’erreurs humaines. Pour minimiser ces risques, les organisations doivent mettre en œuvre des solutions qui contribuent à détecter l’exfiltration de données et à atténuer les effets d’une éventuelle compromission des données.
14. Contrôle des accès basé sur le besoin de savoir.
Les organisations doivent pouvoir suivre, contrôler et sécuriser l’accès à leurs ressources essentielles, et déterminer facilement quelles personnes, quels ordinateurs ou quelles applications ont le droit d’accéder à ces ressources.
Pourquoi est-ce essentiel ? Certaines organisations n’identifient pas précisément et ne séparent pas leurs ressources les plus critiques des données moins sensibles, et les utilisateurs ont accès à des données plus sensibles que ce dont ils ont besoin pour faire leur travail. Il est donc plus facile pour un utilisateur interne malveillant – ou pour un pirate ou un logiciel malveillant qui s’empare d’un compte – de voler des informations importantes ou de perturber les opérations.
15. Contrôle des accès sans fil.
Les organisations doivent disposer de processus et d’outils permettant de surveiller et de contrôler l’utilisation des réseaux locaux (LAN) sans fil, des points d’accès et des systèmes clients sans fil. Elles doivent utiliser des outils d’analyse de la vulnérabilité du réseau et s’assurer que tous les appareils sans fil connectés au réseau présentent une configuration et un profil de sécurité autorisés.
Pourquoi est-ce essentiel ? Les appareils sans fil permettent aux attaquants de maintenir en toute commodité un accès à long terme à l’environnement informatique, car ils ne nécessitent pas de connexion physique directe. Par exemple, les clients sans fil utilisés par les employés lors de leurs déplacements sont fréquemment infectés et servent ensuite de portes dérobées lorsqu’ils sont reconnectés au réseau de l’organisation.
16. Surveillance et contrôle des comptes.
Les organisations doivent absolument gérer activement le cycle de vie des comptes d’utilisateur (création, utilisation et suppression) afin de minimiser les possibilités pour les attaquants de les exploiter. Tous les comptes système doivent être régulièrement vérifiés, et les comptes des anciens sous-traitants et employés doivent être désactivés dès que la personne quitte l’entreprise.
Pourquoi est-ce essentiel ? Les malfaiteurs exploitent fréquemment des comptes d’utilisateur inactifs pour obtenir un accès légitime aux systèmes et aux données de l’organisation, ce qui rend la détection de l’attaque plus difficile.
17. Évaluation des compétences en matière de sécurité et formation adéquate pour remédier aux lacunes.
Les organisations doivent identifier les connaissances et les compétences spécifiques dont elles ont besoin pour renforcer la sécurité. Cela nécessite d’élaborer et d’exécuter un plan pour identifier les lacunes et y remédier par des politiques, une planification et des programmes de formation.
Pourquoi est-ce essentiel ? Il est tentant de considérer la cyberdéfense comme un défi essentiellement technique. Pourtant, les actions des employés sont également essentielles au succès d’un programme de sécurité. Les agresseurs utilisent souvent le facteur humain pour planifier leurs méfaits, par exemple, en élaborant avec soin des messages d’hameçonnage qui ressemblent à des e-mails normaux, ou en agissant dans le délai d’installation de correctifs ou d’examen des journaux.
18. Sécurité des logiciels d’application.
Les organisations doivent gérer le cycle de vie de sécurité de tous les logiciels qu’elles utilisent afin de détecter et de corriger les faiblesses de sécurité. Elles doivent notamment vérifier régulièrement qu’elles n’utilisent que les versions les plus récentes de chaque application et que tous les correctifs pertinents sont installés sans délai.
Pourquoi est-ce essentiel ? Les agresseurs profitent souvent des vulnérabilités des applications Web et d’autres logiciels. Ils peuvent y injecter des exploits spécifiques, par exemple des dépassements de mémoire tampon, des attaques par injection SQL, des scripts intersites et des détournements de clics, afin de prendre le contrôle de machines vulnérables.
19. Réponse aux incidents et gestion de ceux-ci.
Les organisations doivent concevoir et appliquer une réponse appropriée aux incidents, ce qui comprend des plans, des rôles définis, une formation, une supervision de la gestion et d’autres mesures qui permettront de détecter les attaques et de limiter les dégâts plus efficacement.
Pourquoi est-ce essentiel ? Les incidents de sécurité font désormais partie de notre vie quotidienne. Même les grandes entreprises disposant de fonds importants ont du mal à suivre l’évolution du paysage des cybermenaces. Malheureusement, dans la plupart des cas, l’éventualité de réussite d’une cyber-attaque ne s’envisage pas en termes de « si » mais de « quand ». Sans plan de réponse aux incidents, il est possible que l’organisation ne détecte pas une attaque avant qu’elle n’ait causé de sérieux dommages, ou qu’elle ne puisse pas éradiquer la présence de l’agresseur et restaurer l’intégrité du réseau et des systèmes.
20. Tests de pénétration et exercices Red Team.
Ce dernier contrôle exige des organisations qu’elles évaluent la solidité globale de leurs défenses (la technologie, les processus et les personnes) en effectuant régulièrement des tests de pénétration externes et internes. Ceci leur permettra d’identifier les vulnérabilités et les vecteurs d’attaque qui peuvent être utilisés pour exploiter leurs systèmes.
Pourquoi est-ce essentiel ? Les agresseurs peuvent tirer parti du décalage entre les bonnes intentions défensives et leur mise en œuvre, par exemple le délai entre l’annonce d’une vulnérabilité, la disponibilité d’un correctif du fournisseur et l’installation de ce correctif. Dans un contexte complexe caractérisé par une technologie en constante évolution, les organisations doivent tester périodiquement leurs défenses pour identifier leurs lacunes et y remédier avant qu’une attaque ne se produise.
Application des contrôles : une approche pragmatique
Pour obtenir des bénéfices des contrôles de sécurité critiques du CIS, il n’est pas nécessaire de mettre en œuvre les 20 contrôles en même temps. Peu d’organisations disposent du budget, des ressources humaines et du temps nécessaires pour mettre en œuvre simultanément l’ensemble des contrôles. Une approche plus pragmatique de mise en œuvre des contrôles comprend les étapes suivantes :
- Identifiez vos ressources informationnelles et estimez leur valeur. Évaluez les risques et réfléchissez aux attaques possibles contre vos systèmes et vos données (y compris les points d’entrée initiaux, la propagation et les dommages). Hiérarchisez les contrôles du CIS autour de vos ressources les plus exposées aux risques.
- Comparez vos contrôles de sécurité actuels aux contrôles du CIS. Prenez note de chaque domaine pour lequel il n’existe pas de capacités de sécurité ou pour lequel un travail supplémentaire est nécessaire.
- Développez un plan pour adopter les nouveaux contrôles de sécurité les plus utiles et améliorer l’efficacité opérationnelle de vos contrôles existants.
- Obtenez l’aval de la direction et établissez des engagements par secteur d’activité pour le financement et le personnel nécessaires.
- Mettez en œuvre les contrôles. Surveillez les tendances qui pourraient présenter de nouveaux risques pour votre organisation. Mesurez les progrès et la réduction des risques, et communiquez vos conclusions.
Souhaitez-vous en savoir plus sur 20 contrôles de sécurité critiques ? Visitez le site Web officiel du CIS Center for Internet Security : https://www.cisecurity.org/controls/
