CIS Controls v8.1 IG1 minimum

Contrôle 9 — Protection email et navigateurs

L'email et le navigateur web sont les deux principaux vecteurs d'attaque en PME : phishing, malwares, téléchargements malveillants. Ce contrôle durcit ces points d'entrée avec des protections techniques.

Pourquoi ce contrôle est critique ?

Risque sans ce contrôle : Le phishing représente l'origine de plus de 90% des compromissions initiales en PME. Un email malveillant cliqué sans protection peut compromettre toute l'organisation en quelques minutes.

Les attaquants ciblent prioritairement l'email et le navigateur car ce sont les outils les plus utilisés par les employés. Les filtres anti-spam, le filtrage DNS et les bloqueurs de pubs réduisent drastiquement la surface d'exposition aux sites malveillants et aux emails frauduleux.

Procédures & outils recommandés

Activer les protections anti-phishing intégrées à Microsoft 365 ou Google Workspace. Configurer SPF, DKIM et DMARC sur votre domaine email pour prévenir l'usurpation. Déployer un service DNS filtrant (Quad9, Cloudflare Gateway) pour bloquer les domaines malveillants connus.

Outils adaptés aux PME
  • Microsoft Defender for Office 365 — anti-phishing intégré M365
  • Quad9 / Cloudflare Gateway (gratuit) — DNS filtrant
  • uBlock Origin (gratuit) — bloqueur de publicités malveillantes
  • MXToolbox (gratuit) — vérification SPF/DKIM/DMARC
  • Proofpoint Essentials — filtrage email avancé PME

Tableau des Safeguards

#Action (Safeguard)IGClasse
9.1S'assurer que seuls les navigateurs et clients email approuvés et supportés sont utilisés.IG1Applications
9.2Utiliser des services de filtrage DNS (Quad9, Cloudflare Gateway) pour bloquer les domaines malveillants.IG1Réseau
9.3Maintenir les navigateurs et leurs extensions à jour. Supprimer les extensions non approuvées.IG1Applications
9.4Restreindre les extensions de navigateur aux seules approuvées par l'IT.IG2Applications
9.5Implémenter DMARC sur le domaine email de l'entreprise (policy=quarantine au minimum).IG2Applications
9.6Bloquer les types de fichiers non nécessaires dans les pièces jointes email (ex: .exe, .vbs, .bat).IG2Applications
9.7Déployer des capacités anti-phishing sur les serveurs email et proxies web.IG2Applications

Application pour les PME québécoises

Configuration prioritaire IG1 : (1) Activer la protection anti-phishing avancée dans Microsoft 365 ou Google Workspace ; (2) Configurer Quad9 comme DNS sur le routeur d'entreprise — bloque millions de domaines malveillants gratuitement ; (3) Vérifier et activer SPF/DKIM/DMARC sur votre domaine.

Lien Loi 25 : Le phishing est le principal vecteur de compromission des données personnelles. La Loi 25 exige des mesures pour prévenir les accès non autorisés. Des protections email et DNS constituent des mesures techniques raisonnables directement opposables.

Quiz de validation — 5 questions

1. Quel % des compromissions initiales en PME proviennent du phishing ?

2. Que signifie DMARC pour la sécurité email ?

3. Quel service DNS gratuit bloque les domaines malveillants connus ?

4. Combien de Safeguards IG1 contient le Contrôle 9 ?

5. Quel type de pièce jointe doit être bloqué par défaut (Safeguard 9.6) ?

Voir aussi

C10 — Anti-malwareC14 — SensibilisationM03 — Phishing