CIS Controls v8 — Priorités PME Mis à jour : Juin 2026

Les CIS Controls (Center for Internet Security) sont 18 bonnes pratiques prioritaires. Version 8 (2021) reorganise en : 5 contrôles de base (1-5), 6 contrôles fondamentaux (6-11), 7 contrôles organisationnels (12-18). Ils couvrent 85% des vecteurs d'attaque courants selon les statistiques d'incidents réels.

IG1 = 56 sous-contrôles sur 153 total. Conçu pour les organisations avec des ressources IT limitées. Si vous implémentez uniquement IG1, vous bloquez les attaques les plus courantes. C'est le minimum recommandé pour toute organisation, quelle que soit sa taille. IG2 et IG3 sont pour les organisations plus matures.

CIS 1 : Inventaire et contrôle des actifs matériels (tous les appareils sur le réseau). CIS 2 : Inventaire et contrôle des actifs logiciels (tous les logiciels installés). Principe : on ne peut pas protéger ce qu'on ne connaît pas. Outils gratuits : Spiceworks, OCS Inventory, Nmap. Mettre à jour trimestriellement.

CIS 5 : Gestion des comptes (inventaire, suppression des comptes inactifs, politique MFA). CIS 6 : Gestion des accès (moindre privilège, revue trimestrielle, pas de comptes partagés). En PME : activer MFA sur tous les comptes cloud (Microsoft 365, Google Workspace), supprimer les anciens comptes dans les 24h du départ d'un employé.

Processus : scanner les vulnérabilités mensuellement, prioriser par score CVSS, corriger les critiques sous 15 jours, les hautes sous 30 jours. Outils gratuits : OpenVAS, Microsoft Defender Vulnerability Management (inclus M365). Ne pas oublier les équipements réseau (routeurs, switches) souvent négligés.

Collecter les logs de : authentifications (succès et échecs), modifications de comptes, accès aux données critiques, activité réseau. Durée de rétention : 90 jours minimum, 1 an recommandé. Outils PME : Graylog (gratuit), Wazuh (gratuit), Microsoft Sentinel. Les logs sont essentiels pour investiguer un incident.

Email : activer SPF, DKIM, DMARC sur votre domaine, utiliser un filtre anti-phishing (Microsoft Defender, Proofpoint Essentials). Navigateur : politique de mise à jour automatique, bloquer les extensions non approuvées, filtrage de contenu web. Ces deux vecteurs représentent 90% des points d'entrée initiaux.