CIS Controls v8.1 IG1 minimum

Contrôle 12 — Gestion de l'infrastructure réseau

Gérer et sécuriser l'infrastructure réseau : équipements à jour, architecture documentée, accès distants sécurisés et segmentation Wi-Fi. La base pour une surveillance efficace du réseau.

Pourquoi ce contrôle est critique ?

Risque sans ce contrôle : Un routeur ou un switch non mis à jour peut contenir des vulnérabilités critiques exploitables à distance. Un réseau Wi-Fi ouvert ou mal segmenté expose les données internes à tous les visiteurs.

L'infrastructure réseau est souvent négligée en PME : firmware de routeurs jamais mis à jour, Wi-Fi ouvert pour les clients sur le même réseau que les serveurs, accès VPN sans MFA. Ces failles permettent à un attaquant présent dans les locaux ou à distance de compromettre l'ensemble du réseau.

Procédures & outils recommandés

Inventorier tous les équipements réseau et vérifier les mises à jour firmware. Séparer le Wi-Fi invités du réseau interne (VLAN ou routeur séparé). Sécuriser l'accès VPN avec MFA. Documenter l'architecture réseau (même un schéma simple est précieux en cas d'incident).

Outils adaptés aux PME
  • Ubiquiti UniFi — infrastructure réseau PME gérée, abordable
  • pfSense (open source) — routeur/pare-feu professionnel gratuit
  • Mikrotik — équipements réseau abordables avec VLAN
  • Tailscale (freemium) — VPN mesh moderne sans infrastructure
  • draw.io (gratuit) — diagrammes réseau

Tableau des Safeguards

#Action (Safeguard)IGClasse
12.1S'assurer que l'infrastructure réseau est maintenue à jour (firmware, patchs des équipements).IG1Réseau
12.2Établir et maintenir une architecture réseau documentée (schéma à jour).IG1Réseau
12.3Gérer l'infrastructure réseau via un canal de gestion dédié et sécurisé.IG1Réseau
12.4Établir un réseau Wi-Fi séparé pour les invités et les appareils IoT (VLAN ou SSID séparé).IG1Réseau
12.5Centraliser la gestion des équipements réseau.IG2Réseau
12.6S'assurer que les équipements réseau n'utilisent pas d'adresses/ports/protocoles par défaut non nécessaires.IG2Réseau
12.7Gérer les équipements réseau en fin de vie (EOL) : remplacer ou isoler.IG2Réseau
12.8Établir des contrôles d'accès réseau (NAC) pour vérifier la conformité des appareils avant connexion.IG2Réseau

Application pour les PME québécoises

Priorité IG1 : (1) Mettre à jour le firmware de tous les routeurs et switches ; (2) Créer un réseau Wi-Fi séparé pour les invités (fonction disponible sur la plupart des routeurs modernes) ; (3) Activer le MFA sur l'accès VPN. Ces trois actions prennent moins de 2h.

Lien Loi 25 : La segmentation réseau (Wi-Fi invités séparé) prévient la propagation latérale d'une infection et protège les renseignements personnels traités sur le réseau interne — mesure de sécurité raisonnable au sens de la Loi 25.

Quiz de validation — 5 questions

1. Que permet la segmentation Wi-Fi (Safeguard 12.4) ?

2. Quel outil open source gratuit peut remplacer un routeur commercial par un pare-feu professionnel ?

3. Combien de Safeguards IG1 contient le Contrôle 12 ?

4. Pourquoi documenter l'architecture réseau (Safeguard 12.2) ?

5. Quel VPN moderne ne nécessite pas d'infrastructure serveur dédiée ?

Voir aussi

C6 — AccèsC13 — SurveillanceM08 — Wi-Fi & VPN