CIS Controls v8.1 Module intro 3/3

Auto-évaluation & feuille de route PME

Utilisez cette checklist interactive pour évaluer votre niveau de conformité aux 56 Safeguards IG1 et générer votre plan d'action prioritaire. Le mapping vers ISO 27001, NIST CSF 2.0 et Loi 25 vous permet d'aligner plusieurs référentiels en un seul effort.

Checklist IG1 — 56 Safeguards essentiels

Progression IG1 0 / 56

Cochez les Safeguards déjà en place dans votre organisation.

🗂️ C1 — Inventaire des actifs informatiques (2 Safeguards IG1)

1.1 — Établir et tenir à jour un inventaire de tous les actifs de l'entreprise (ordinateurs, serveurs, appareils mobiles, IoT). Classe : Appareils · IG1

1.2 — S'assurer que l'inventaire des actifs inclut les informations réseau de chaque appareil (adresse IP, nom d'hôte). Classe : Appareils · IG1

📦 C2 — Inventaire des logiciels (3 Safeguards IG1)

2.1 — Établir et tenir à jour un inventaire de tous les logiciels autorisés. Classe : Applications · IG1

2.2 — S'assurer que seuls les logiciels autorisés sont installés. Classe : Applications · IG1

2.3 — Supprimer les logiciels non autorisés ou inutilisés. Classe : Applications · IG1

🛡️ C3 — Protection des données (6 Safeguards IG1)

3.1 — Établir et tenir à jour un processus de gestion des données (classification, rétention, élimination). Classe : Données · IG1

3.2 — Établir et tenir à jour un inventaire des données sensibles. Classe : Données · IG1

3.3 — Configurer les listes de contrôle d'accès aux données selon le besoin d'en connaître. Classe : Données · IG1

3.4 — Chiffrer les données sensibles au repos sur les appareils (ordinateurs portables, disques externes). Classe : Appareils · IG1

3.5 — Chiffrer les données sensibles en transit (TLS, VPN). Classe : Réseau · IG1

3.6 — Chiffrer les données sensibles sur les appareils mobiles (téléphones, tablettes). Classe : Appareils · IG1

⚙️ C4 — Configuration sécurisée (7 Safeguards IG1)

4.1 — Établir et maintenir le processus de gestion de la configuration sécurisée. Classe : Appareils · IG1

4.2 — Établir et maintenir une configuration sécurisée pour les systèmes d'exploitation. Classe : Appareils · IG1

4.3 — Configurer l'auto-verrouillage des sessions après inactivité (15 minutes max). Classe : Utilisateurs · IG1

4.4 — Implémenter et gérer un pare-feu sur les serveurs. Classe : Réseau · IG1

4.5 — Implémenter et gérer un pare-feu sur les postes de travail. Classe : Appareils · IG1

4.6 — Gérer la sécurité du système d'exploitation et des applications (désactiver les fonctionnalités inutiles). Classe : Applications · IG1

4.7 — Gérer les configurations par défaut des comptes sur les systèmes d'exploitation et les applications. Classe : Utilisateurs · IG1

👤 C5 — Gestion des comptes (4 Safeguards IG1)

5.1 — Établir et tenir à jour un inventaire de tous les comptes. Classe : Utilisateurs · IG1

5.2 — Utiliser des mots de passe uniques et complexes pour tous les comptes. Classe : Utilisateurs · IG1

5.3 — Désactiver les comptes dormants (inactifs depuis 45 jours). Classe : Utilisateurs · IG1

5.4 — Restreindre les privilèges administrateurs aux seuls comptes en ayant besoin. Classe : Utilisateurs · IG1

🔑 C6 — Contrôle des accès (5 Safeguards IG1)

6.1 — Établir une politique de contrôle d'accès et s'assurer qu'elle est respectée. Classe : Utilisateurs · IG1

6.2 — Établir un processus d'octroi d'accès qui inclut l'autorisation du manager. Classe : Utilisateurs · IG1

6.3 — Établir un processus de révocation d'accès lors du départ d'un employé. Classe : Utilisateurs · IG1

6.4 — Exiger le MFA (authentification multi-facteurs) pour tous les accès administrateurs. Classe : Utilisateurs · IG1

6.5 — Exiger le MFA pour tous les accès distants (VPN, RDP, applications web sensibles). Classe : Réseau · IG1

🔎 C7 — Gestion des vulnérabilités (4 Safeguards IG1)

7.1 — Établir et tenir à jour un programme de gestion des vulnérabilités. Classe : Appareils · IG1

7.2 — Établir et maintenir un processus de correction des vulnérabilités (patching). Classe : Applications · IG1

7.3 — Effectuer des scans de vulnérabilités automatisés sur les systèmes exposés. Classe : Appareils · IG1

7.4 — Comparer les résultats des scans aux précédents pour mesurer la remédiation. Classe : Appareils · IG1

📋 C8 — Journaux d'audit (3 Safeguards IG1)

8.1 — Établir et tenir à jour une politique de journalisation des événements de sécurité. Classe : Réseau · IG1

8.2 — Collecter les journaux d'audit des systèmes critiques (serveurs, réseaux, applications). Classe : Réseau · IG1

8.3 — S'assurer que les journaux d'audit incluent les événements d'authentification (succès et échecs). Classe : Utilisateurs · IG1

✉️ C9 — Email & navigateurs (3 Safeguards IG1)

9.1 — S'assurer que seuls les navigateurs et clients email approuvés sont utilisés. Classe : Applications · IG1

9.2 — Utiliser des services de filtrage DNS (ex. Cisco Umbrella, Quad9) pour bloquer les domaines malveillants. Classe : Réseau · IG1

9.3 — Maintenir et appliquer les mises à jour des navigateurs et plugins. Classe : Applications · IG1

🐛 C10 — Anti-malware (5 Safeguards IG1)

10.1 — Déployer et maintenir des outils anti-malware sur tous les appareils. Classe : Appareils · IG1

10.2 — Configurer les outils anti-malware pour une analyse automatique des médias amovibles. Classe : Appareils · IG1

10.3 — Activer les mises à jour automatiques des signatures anti-malware. Classe : Appareils · IG1

10.4 — Activer la protection anti-hameçonnage et anti-spam dans les solutions email. Classe : Applications · IG1

10.5 — Activer les fonctionnalités anti-exploitation (ex. DEP, ASLR) sur les systèmes. Classe : Appareils · IG1

💾 C11 — Récupération des données (5 Safeguards IG1)

11.1 — Établir et tenir à jour une politique de sauvegarde des données. Classe : Données · IG1

11.2 — Effectuer des sauvegardes automatisées (quotidiennes minimum) des données critiques. Classe : Données · IG1

11.3 — Protéger les sauvegardes (chiffrement, accès limité, stockage séparé). Classe : Données · IG1

11.4 — Tester la restauration des sauvegardes au moins une fois par trimestre. Classe : Données · IG1

11.5 — S'assurer que les sauvegardes sont stockées hors site ou dans le cloud. Classe : Données · IG1

🌐 C12 — Infrastructure réseau (4 Safeguards IG1)

12.1 — S'assurer que l'infrastructure réseau est tenue à jour (firmware, patchs). Classe : Réseau · IG1

12.2 — Établir et maintenir une architecture réseau documentée. Classe : Réseau · IG1

12.3 — Sécuriser les accès à distance (VPN avec MFA, accès minimal). Classe : Réseau · IG1

12.4 — Établir un réseau Wi-Fi séparé pour les invités et les appareils IoT. Classe : Réseau · IG1

📡 C13 — Surveillance réseau (2 Safeguards IG1)

13.1 — Centraliser la collecte et la gestion des alertes de sécurité réseau. Classe : Réseau · IG1

13.2 — Déployer une solution de détection des intrusions sur le réseau. Classe : Réseau · IG1

🎓 C14 — Sensibilisation & formation (3 Safeguards IG1)

14.1 — Établir et tenir à jour un programme de sensibilisation à la sécurité. Classe : Utilisateurs · IG1

14.2 — Former les employés à la sécurité au moins une fois par an. Classe : Utilisateurs · IG1

14.3 — Former les employés à reconnaître et signaler les tentatives d'hameçonnage. Classe : Utilisateurs · IG1

🤝 C15 — Prestataires (1 Safeguard IG1)

15.1 — Établir et tenir à jour un inventaire des prestataires de services tiers ayant accès aux données ou aux systèmes. Classe : Données · IG1

🚨 C17 — Gestion des incidents (3 Safeguards IG1)

17.1 — Établir un programme de gestion des incidents avec des rôles et responsabilités définis. Classe : N/A · IG1

17.2 — Définir les contacts et procédures de signalement des incidents (internes et externes). Classe : N/A · IG1

17.3 — Effectuer des exercices de simulation d'incident au moins une fois par an. Classe : N/A · IG1

Mapping CIS ↔ ISO 27001 ↔ NIST CSF 2.0 ↔ Loi 25

Chaque groupe de contrôles CIS correspond à des clauses spécifiques dans les autres référentiels. Ce tableau vous permet d'aligner plusieurs audits en un seul effort.

CIS Control	ISO 27001:2022	NIST CSF 2.0	Loi 25 (Québec)
C1 — Actifs	A.5.9, A.5.10	ID.AM-1, ID.AM-2	Art. 3.1 — Inventaire des renseignements
C2 — Logiciels	A.8.8, A.8.19	ID.AM-2, PR.PS-1	Art. 3.1 — Mesures de sécurité
C3 — Données	A.5.12, A.5.33, A.8.10	PR.DS-1, PR.DS-2	Art. 12–16 — Protection des renseignements personnels
C4 — Configuration	A.8.8, A.8.9	PR.PS-1, PR.PS-2	Art. 3.1 — Mesures techniques raisonnables
C5 — Comptes	A.5.15, A.5.16, A.5.17	PR.AA-1, PR.AA-2	Art. 10 — Accès aux renseignements
C6 — Accès	A.5.15, A.8.3, A.8.5	PR.AA-3, PR.AA-5	Art. 10 — Minimisation des accès
C7 — Vulnérabilités	A.8.8	ID.RA-1, PR.MA-1	Art. 3.1 — Mise à jour des mesures
C8 — Journaux	A.8.15, A.8.17	DE.CM-3, DE.AE-2	Art. 3.1 — Traçabilité
C9 — Email/Web	A.8.23	PR.PS-5, DE.CM-5	Art. 3.1 — Sécurité des communications
C10 — Anti-malware	A.8.7	DE.CM-5, PR.PS-1	Art. 3.1 — Protection contre les logiciels malveillants
C11 — Sauvegardes	A.8.13	PR.DS-11, RC.RP-1	Art. 3.1 — Continuité de la protection
C14 — Formation	A.6.3, A.6.4	PR.AT-1, PR.AT-2	Art. 3.1 — Sensibilisation du personnel
C17 — Incidents	A.5.24, A.5.25, A.5.26	RS.CO-2, RC.RP-1	Art. 3.5 — Notification des incidents

Voir aussi

Groupes IG1 / IG2 / IG3 C1 — Actifs informatiques Guide Loi 25 — 15 chapitres