Contrôle 4 — Configuration sécurisée des actifs et des logiciels
Les configurations par défaut des systèmes d'exploitation et des applications sont rarement sécurisées. Ce contrôle impose d'établir des configurations de référence (hardening) et de maintenir les paramètres critiques : pare-feux, verrouillage automatique, comptes par défaut.
Pourquoi ce contrôle est critique ?
Le CIS publie des benchmarks de configuration pour plus de 100 systèmes (Windows, Linux, macOS, navigateurs, cloud). Pour une PME, appliquer les recommandations IG1 du CIS Benchmark Windows élimine la majorité des vecteurs d'attaque automatisés.
Procédures & outils recommandés
Télécharger le CIS Benchmark pour votre OS sur cisecurity.org (gratuit). Utiliser CIS-CAT Lite pour évaluer votre conformité. Prioriser : verrouillage automatique, pare-feux actifs, désactivation des comptes par défaut, changement des mots de passe d'usine.
- CIS Benchmarks (gratuit) — guides hardening pour 100+ systèmes
- CIS-CAT Lite (gratuit) — outil d'évaluation de conformité
- Microsoft Security Compliance Toolkit — GPO pré-configurées
- HardeningKitty (open source) — hardening automatisé Windows via PowerShell
- Lynis (open source) — audit sécurité Linux/macOS
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 4.1 | Établir et maintenir un processus de gestion de la configuration sécurisée (hardening). Documenter les configurations de référence. | IG1 | Appareils |
| 4.2 | Établir une configuration sécurisée pour l'infrastructure réseau (routeurs, commutateurs, Wi-Fi). S'appuyer sur les CIS Benchmarks. | IG1 | Réseau |
| 4.3 | Configurer le verrouillage automatique des sessions après 15 minutes d'inactivité. Exiger la ré-authentification. | IG1 | Utilisateurs |
| 4.4 | Implémenter un pare-feu sur tous les serveurs avec règle de refus par défaut. | IG1 | Réseau |
| 4.5 | Implémenter un pare-feu sur tous les postes de travail et portables. Activer le pare-feu Windows/macOS. | IG1 | Appareils |
| 4.6 | Désactiver les services inutiles, supprimer les comptes par défaut non nécessaires, désactiver les protocoles non chiffrés. | IG1 | Applications |
| 4.7 | Renommer ou désactiver les comptes par défaut (admin, administrator, guest). Changer tous les mots de passe d'usine. | IG1 | Utilisateurs |
| 4.8 | Désinstaller ou désactiver les services, protocoles et applications non nécessaires (Telnet, FTP, SMBv1, RDP non utilisé). | IG2 | Applications |
| 4.9 | Configurer des serveurs DNS de confiance sur tous les actifs (Quad9, Cloudflare 1.1.1.1, ou DNS filtrant). | IG2 | Réseau |
| 4.10 | Appliquer un verrouillage après 10 tentatives échouées sur les appareils portables. | IG2 | Appareils |
| 4.11 | Activer la capacité d'effacement à distance (remote wipe) sur les appareils portables contenant des données d'entreprise. | IG2 | Appareils |
| 4.12 | Séparer les espaces de travail entreprise et personnels sur les appareils BYOD via conteneurs MDM. | IG3 | Appareils |
Application pour les PME québécoises
Priorité immédiate : Safeguard 4.7 — changer tous les mots de passe par défaut sur les routeurs, NAS, imprimantes et switches. Beaucoup de brèches en PME exploitent des équipements réseau avec leurs identifiants d'usine. Deuxième action : 4.5 (pare-feu Windows activé) et 4.3 (verrouillage auto). Ces trois actions prennent moins de 2h.
Quiz de validation — 5 questions
1. Que sont les CIS Benchmarks ?
2. Délai maximum d'inactivité avant verrouillage automatique (Safeguard 4.3) ?
3. Quelle est la priorité IG1 la plus impactante du Contrôle 4 pour une PME ?
4. Pourquoi désactiver SMBv1 (Safeguard 4.8) ?
5. Combien de Safeguards IG1 contient le Contrôle 4 ?
Voir aussi