CIS Controls v8.1 Module intro 1/3

Vue d'ensemble — CIS Critical Security Controls v8.1

Comprendre l'origine, la structure et la philosophie des CIS Controls : le référentiel de cybersécurité le plus adopté dans le monde pour les organisations de toute taille.

Historique et origine

Les CIS Controls (anciennement SANS Top 20 ou Critical Security Controls) sont nés d'une collaboration entre experts de la NSA, du DoD américain et du secteur privé après une série de brèches gouvernementales majeures en 2008. L'idée centrale : identifier les actions de défense ayant le plus grand impact réel contre les attaques observées, plutôt que de produire des listes de contrôle théoriques.

2008
Origine : brèches dans les systèmes du DoD US. Le projet SANS/NSA regroupe des experts pour définir les contrôles les plus efficaces.
2009
Première publication des Consensus Audit Guidelines — 20 contrôles prioritaires basés sur les attaques réelles observées.
2015
Le CIS (Center for Internet Security) reprend la gouvernance. Le référentiel s'appelle désormais CIS Critical Security Controls.
2018
Version 7 : introduction des Groupes de Mise en Œuvre (IG1/IG2/IG3) pour adapter les contrôles à la taille et aux ressources de l'organisation.
2021
Version 8 : restructuration majeure. Les 20 contrôles passent à 18. Alignement avec le travail hybride et le cloud. Chaque contrôle est associé à des Safeguards (actions spécifiques).
2025
Version 8.1.2 (mars 2025) : clarifications sur les définitions, mise à jour du mapping MITRE ATT&CK v16, révision du Safeguard 4.7, ajout d'un guide d'implémentation IG1 dédié aux petites organisations.

Structure : 18 contrôles, 153 Safeguards

Chaque CIS Control est une catégorie thématique (ex. « Inventaire des actifs logiciels ») qui regroupe des Safeguards — des actions précises et mesurables à implémenter. Au total, la version 8.1 compte 153 Safeguards répartis ainsi :

56
Safeguards IG1
Hygiène essentielle
Toute organisation
74
Safeguards IG2
+IG1 · Avec équipe TI
PME et moyennes org.
23
Safeguards IG3
+IG1+IG2 · Experts sécu
Grandes organisations

Les 18 contrôles sont regroupés en 5 grandes familles :

  1. Inventaire & Configuration — C1 Actifs, C2 Logiciels, C3 Données, C4 Configuration
  2. Identité & Accès — C5 Comptes, C6 Accès
  3. Détection & Défense — C7 Vulnérabilités, C8 Journaux, C9 Email/Web, C10 Anti-malware
  4. Infrastructure réseau — C11 Récupération, C12 Infrastructure, C13 Surveillance réseau
  5. Maturité & Gouvernance — C14 Sensibilisation, C15 Prestataires, C16 Applicatif, C17 Incidents, C18 Tests

Modèle CDM et lien avec MITRE ATT&CK

Cyber Defense Matrix (CDM) : Les CIS Controls sont organisés selon deux axes — les types d'actifs à protéger (appareils, logiciels, données, réseau, utilisateurs) et les fonctions de sécurité (identifier, protéger, détecter, répondre, récupérer). Cette grille s'aligne avec le NIST CSF.

Chaque Safeguard est mappé à une ou plusieurs techniques d'attaque du référentiel MITRE ATT&CK v16. Ce mapping permet de :

  • Identifier les lacunes de défense face aux tactiques réelles des attaquants
  • Prioriser les Safeguards selon la probabilité d'une attaque donnée dans votre secteur
  • Justifier l'investissement en sécurité auprès de la direction avec des données concrètes

Par exemple, le Safeguard 1.1 (inventaire des actifs) contrecarre directement la technique ATT&CK T1592 — Gather Victim Host Information. Sans inventaire, vous ne savez même pas ce qu'il faut défendre.

Nouveautés de la version 8.1.2 (mars 2025)

1
Safeguard 4.7 révisé — La gestion des configurations via un système centralisé est clarifiée. L'utilisation d'outils MDM (Mobile Device Management) est explicitement incluse.
2
Mapping ATT&CK v16 — Mise à jour complète des correspondances entre Safeguards et techniques d'attaque MITRE, incluant les nouvelles tactiques sur les environnements cloud.
3
Guide IG1 autonome — Les 56 Safeguards IG1 sont désormais disponibles dans un document séparé, pensé pour les petites organisations sans équipe TI dédiée.
4
Clarifications IG — Les définitions des Groupes de Mise en Œuvre sont précisées pour éviter les ambiguïtés lors des audits de conformité.
Pour les PME québécoises : La version 8.1 s'aligne naturellement avec les obligations de la Loi 25 (mesures de sécurité raisonnables, gestion des incidents) et peut servir de référence technique lors d'une Évaluation des Facteurs relatifs à la Vie Privée (ÉFVP).

Quiz de validation — 5 questions

1. En quelle année les CIS Controls ont-ils été créés dans leur forme initiale ?

2. Combien de Safeguards contient la version 8.1 des CIS Controls ?

3. Combien de contrôles (catégories) compte la version 8 des CIS Controls ?

4. Quel référentiel d'attaques est utilisé pour mapper les Safeguards CIS ?

5. Quelle est la principale nouveauté de la version 8.1.2 (mars 2025) ?

Voir aussi

Groupes IG1 / IG2 / IG3 Feuille de route PME Hub — 18 contrôles