- Le cadre CIS Controls : origines et objectifs
- Les 18 contrôles en un coup d'oeil
- Logique de défense en profondeur
Le cadre CIS Controls : origines et objectifs
Le Center for Internet Security (CIS) publie depuis 2008 une liste de bonnes pratiques prioritaires, aujourd'hui dans sa version 8 (2021). Les CIS Controls ne sont pas une certification mais un guide prescriptif : 18 contrôles, 153 activités de protection, priorisées par impact décroissant sur le risque réel.
Les 18 contrôles en un coup d'oeil
Les 18 contrôles couvrent : inventaire des actifs (C1-C2), protection des données (C3), configuration sécurisée (C4), gestion des comptes (C5-C6), gestion des vulnérabilités (C7), logs et audit (C8), protection de la messagerie (C9), défense réseau (C12-C13), sécurité applicative (C16), gestion des incidents (C17), tests de pénétration (C18).
Logique de défense en profondeur
Les CIS Controls sont conçus pour se renforcer mutuellement. Sans inventaire des actifs (C1-C2), impossible de gérer les vullnérabilités (C7). Sans logs centralisés (C8), la détection est aveugle. La logique est séquentielle : chaque contrôle s'appuie sur les précédents pour créer une défense par couches.
Checklist pratique
Votre progression est sauvegardée localement dans votre navigateur.
Points clés à retenir
- CIS Controls v8 : 18 contrôles, 153 activités, priorisés par impact réel sur le risque
- La logique est séquentielle : chaque contrôle s'appuie sur les précédents
- Commencer par C1-C6 réduit la majorité des risques communs
- CIS n'est pas une certification : c'est un guide actionnable gratuit