CIS Controls v8.1 Module intro 2/3

Groupes de Mise en Œuvre — IG1, IG2 et IG3

Les Groupes de Mise en Œuvre (Implementation Groups) permettent à chaque organisation de prioriser les Safeguards CIS selon ses ressources, sa taille et son exposition aux risques. Comprendre votre IG est la première décision stratégique à prendre.

Pourquoi les groupes IG ?

Avant la version 7 des CIS Controls, toutes les organisations étaient censées implémenter l'ensemble des contrôles — ce qui était irréaliste pour une PME de 10 personnes sans équipe de sécurité. Les IG ont résolu ce problème en créant trois profils progressifs basés sur le risque et les capacités réelles.

Principe clé : Les IG sont cumulatifs. IG2 inclut tous les Safeguards IG1 + les Safeguards IG2. IG3 inclut tout IG1 + IG2 + IG3. Une organisation IG3 applique les 153 Safeguards.

Les trois groupes en détail

IG1 56 Safeguards

Hygiène essentielle — Toute organisation

L'IG1 est l'ensemble minimal pour toute organisation, quelle que soit sa taille. Il cible l'hygiène cyber de base et protège contre les attaques opportunistes (les plus fréquentes). Un attaquant qui cible au hasard ne vaut généralement pas l'investissement supplémentaire pour dépasser ce niveau de défense.

Profil typique IG1 :
  • Petite PME, OBNL, cabinet professionnel
  • Données commerciales limitées
  • Pas d'équipe TI dédiée — responsabilité partagée
  • Tolérance aux interruptions faible mais gérable
  • Ressources limitées pour la cybersécurité
IG2 +74 Safeguards

Défense avancée — Avec équipe TI

L'IG2 s'adresse aux organisations qui gèrent des informations sensibles de clients ou qui fournissent des services critiques. Le 74 Safeguards additionnels requièrent une expertise TI en interne ou un partenaire MSSP. L'objectif est de contrer les attaquants ciblés, pas seulement opportunistes.

Profil typique IG2 :
  • PME moyennes ou grandes (50–500 employés)
  • Données clients sensibles, PI, données financières importantes
  • Équipe TI dédiée (au moins 1 personne)
  • Impact significatif en cas d'interruption
  • Obligations réglementaires sectorielles
IG3 +23 Safeguards

Sécurité experte — Organisations critiques

L'IG3 concerne les organisations dont une brèche aurait des conséquences graves sur la santé publique, la sécurité nationale ou des infrastructures critiques. Les 23 Safeguards IG3 nécessitent des experts en sécurité offensifs et défensifs, des outils avancés et des processus matures.

Profil typique IG3 :
  • Grandes entreprises, institutions gouvernementales
  • Données hautement confidentielles ou classifiées
  • SOC (Security Operations Center) dédié
  • Cibles d'attaquants sophistiqués (APT, États)
  • Infrastructure critique (énergie, santé, finance)

Distribution IG par contrôle — Vue PME

Pour chaque contrôle, le tableau indique combien de Safeguards s'appliquent à chaque IG. Une PME québécoise typique (IG1) n'a qu'à implémenter les Safeguards IG1.

Contrôle IG1 IG2 IG3 Total
C1 — Actifs informatiques2215
C2 — Inventaire logiciels3317
C3 — Protection des données66214
C4 — Configuration sécurisée74112
C5 — Gestion des comptes4206
C6 — Contrôle des accès5218
C7 — Vulnérabilités4307
C8 — Journaux d'audit36312
C9 — Email & navigateurs3407
C10 — Anti-malware5207
C11 — Récupération données5207
C12 — Infrastructure réseau4408
C13 — Surveillance réseau28010
C14 — Sensibilisation3609
C15 — Prestataires1517
C16 — Sécurité applicative08614
C17 — Gestion incidents3407
C18 — Tests de pénétration0257
Total567423153

Recommandation pour les PME québécoises

La très grande majorité des PME québécoises (moins de 100 employés, sans équipe de sécurité dédiée) devraient cibler l'IG1 complet en priorité. Les 56 Safeguards IG1 représentent environ 6–12 mois de travail selon votre point de départ, mais éliminent l'essentiel des vecteurs d'attaque opportunistes qui causent 80% des incidents en PME.

Feuille de route recommandée
1 0–6 mois : IG1 priorité haute — C1, C2, C4, C5, C6 (actifs, logiciels, configs, comptes, accès)
2 6–12 mois : IG1 complément — C3, C7, C9, C10, C11, C14 (données, vulnérabilités, email, malware, sauvegardes, formation)
3 12–24 mois : IG2 sélectif selon secteur — si vous gérez des données clients sensibles ou des obligations RPRP Loi 25
Lien Loi 25 : La Loi 25 exige des mesures de sécurité « raisonnables » sans prescrire de standard technique. Les 56 Safeguards IG1 constituent un référentiel reconnu internationalement pour démontrer cette raisonnabilité lors d'un audit ou d'une ÉFVP.

Quiz de validation — 5 questions

1. Combien de Safeguards contient le groupe IG1 ?

2. Une organisation IG2 doit implémenter combien de Safeguards au total ?

3. Quel IG est recommandé pour une PME québécoise de 15 employés sans équipe TI ?

4. Les groupes IG sont-ils cumulatifs ou exclusifs ?

5. Quel contrôle CIS ne contient aucun Safeguard IG1 ?

Voir aussi

Vue d'ensemble CIS v8.1 Feuille de route PME C1 — Actifs informatiques