Partager via


Critères du Centre pour la sécurité internet (CIS)

À propos des critères CIS

Le Centre pour la sécurité internet est une entité à but non lucratif dont la mission consiste à « identifier, développer, valider, promouvoir et soutenir les solutions recommandées pour la cyberdéfense ». Il s’appuie sur l’expertise de la cybersécurité et de professionnels de l’informatique du secteur public, des entreprises et du milieu scolaire dans le monde entier. Pour développer les normes et des pratiques recommandées, notamment les critères, les contrôles et les images renforcées de CIS, ils suivent un modèle décisionnel de consensus.

Les critères CIS sont des références de configuration et des pratiques recommandées pour configurer un système de façon sécurisée. Chacune des recommandations en matière d’orientation fait référence à un ou plusieurs contrôles CIS qui ont été développés pour aider les organisations à améliorer leurs capacités de cyberdéfense. Les contrôles CIS sont mis en correspondance avec de nombreuses normes et structures réglementaires établies, notamment la Cyber-sécurité Framework NIST (CSF) et le NIST SP 800-53, la série de normes ISO 27000, PCI DSS, HIPAA, etc.

Chaque critère subit deux phases d’examen du consensus. La première intervient au cours du développement initial, lorsque les experts se rassemblent pour discuter, créer et tester des ébauches de travail jusqu’à ce qu’ils aient un consensus sur le critère. Au cours de la deuxième phase, une fois le critère publié, l’équipe de consensus examine les commentaires de la communauté internet pour les intégrer dans ce critère.

Les critères CIS fournissent deux niveaux de paramètres de sécurité :

  • Leniveau 1 recommande des exigences de base en matière de sécurité qui peuvent être configurées sur un système quelconque et qui doivent provoquer peu ou pas d’interruption de service ou de fonctionnement réduit.
  • Leniveau 2 recommande des paramètres de sécurité pour les environnements nécessitant une sécurité accrue qui pourraient entraîner un fonctionnement réduit.

Les images renforcées de CIS sont des images de machines virtuelles configurées de façon sécurisée en se basant sur les critères CIS renforcés au niveau 1 ou niveau 2 du profil CIS. Le renforcement est un processus qui permet de se protéger contre l’accès non autorisé, le déni de service et d’autres cybermenaces en limitant les faiblesses potentielles qui rendent les systèmes vulnérables aux cyberattaques.

Microsoft et les critères CIS

Le centre pour la sécurité Internet (CIS) a publié des critères pour les produits et services Microsoft, notamment ceux de base pour Microsoft Azure et Microsoft 365, le critère Windows 10 et celui pour Windows Server 2016. Le Point de référence Microsoft Azure CIS est destiné aux clients qui prévoient de développer, déployer, évaluer ou sécuriser des solutions qui intègrent Azure. Le document fournit des instructions prescriptives pour l’établissement d’une configuration de base de référence sécurisée pour Azure.

Les critères CIS sont reconnus au niveau international comme normes de sécurité pour la protection des systèmes informatiques et des données contre les cyberattaques. Utilisés par des milliers d’entreprises, ils offrent une aide normative pour établir une configuration de référence sécurisée. Les administrateurs système et application, les spécialistes de la sécurité et autres personnes qui développent des solutions à l’aide de produits et de services Microsoft peuvent utiliser ces pratiques recommandées pour évaluer et améliorer la sécurité de leurs applications.

À l’instar de tous les critères CIS, ceux de Microsoft ont été créés à l’aide d’un processus d’examen par consensus basé sur les commentaires d’experts spécialisés venant de divers horizons tels que l’élaboration de logiciels, l’audit et la conformité, la sécurité, les opérations et la loi. Microsoft s’est entièrement associé à CIS dans ses efforts. Par exemple, Office 365 a été testé face à des services répertoriés et le critère de base Microsoft 365 qui en résulte couvre un large éventail de recommandations pour définir les stratégies de sécurité appropriées qui portent sur le compte et l’authentification, la gestion des données, les autorisations d’application, le stockage et d’autres domaines liés à la sécurité.

En plus des points de référence pour les produits et services Microsoft, CIS a publié des Images CIS renforcés sur Azure configurés pour répondre aux critères CIS et disponibles à partir de la Place de marché Microsoft Azure. Ces images incluent les images CIS renforcés pour Windows Server 2016 et Windows Server 2019, ainsi que de nombreuses versions de Linux. Toutes les images CIS renforcés qui sont disponibles sur la Place de marché Azure sont certifiées pour s’exécuter sur Microsoft Azure. Comme indiqué par CIS, « ils ont été pré-testés pour la préparation et la compatibilité avec le cloud public Microsoft Azure, la plateforme Cloud Microsoft hébergée par les fournisseurs de services via le réseau de système d’exploitation cloud et les déploiements Windows Server Hyper-V de cloud privé locaux gérés par les clients ».

Les images renforcées de CIS sont des images de machines virtuelles configurées de façon sécurisée en se basant sur les critères CIS renforcés au niveau 1 ou niveau 2 du profil de point de référence CIS. Le renforcement est un processus qui permet de se protéger contre l’accès non autorisé, le déni de service et d’autres cybermenaces en limitant les faiblesses potentielles qui rendent les systèmes vulnérables aux cyberattaques. Les images CIS renforcés sont disponibles sur Azure et Azure Government.

Pour obtenir une assistance supplémentaire, Microsoft fournit Azure Blueprints, qui est un service qui vous permet de déployer et de mettre à jour des environnements cloud de manière reproductible à l’aide d’artefacts composables tels que des modèles Azure Resource Manager pour provisionner des ressources, des contrôles d’accès en fonction du rôle et des stratégies. Les ressources approvisionnées via Azure Blueprints respectent les normes, les modèles et les exigences de conformité d’une organisation. L’objectif global d’Azure Blueprints est d’automatiser la gestion des risques de conformité et de cybersécurité dans les environnements cloud. Pour vous aider à déployer un ensemble de stratégies de base pour toute architecture Azure qui doit implémenter des recommandations de référence de base CIS Azure, Microsoft a publié le Azure Blueprint pour les points de référence CIS Microsoft Azure. Lorsqu’elles sont affectées à une architecture, les ressources sont évaluées par Azure Policy pour la conformité avec les définitions de stratégie attribuées.

Plateformes cloud et services Microsoft dans l’étendue

Audits, rapports et certificats

Obtenez une liste complète des critères CIS pour les produits et services Microsoft.

Modalités de mise en œuvre

Foire aux questions

Est-ce que les paramètres du critère CIS garantissent la sécurité de mes applications ?

Les critères CIS déterminent le niveau de sécurité de base pour les personnes qui adoptent les produits et services Microsoft du champ d’application. Toutefois, elles ne doivent pas être considérées comme une liste exhaustive de toutes les configurations et architectures de sécurité possibles, mais comme un point de départ. Chaque organisation doit toutefois évaluer sa situation, ses charges de travail et ses exigences de conformité spécifiques et adapter son environnement en conséquence.

Quelle est la fréquence de mise à jour des critères CIS ?

La publication de critères CIS révisés change en fonction de la communauté de professionnels de l’informatique qui les ont développés et du calendrier de publications de la technologie que ces critères prennent en charge. CIS diffuse des rapports mensuels annonçant de nouveaux critères et la mise à jour de critères existants. Pour les recevoir, inscrivez-vous au CIS Workbench gratuit et cochez la case dans votre profil pour recevoir la lettre d’informations.

Qui a participé au développement des critères CIS de Microsoft ?

CIS note que ses « critères sont développés par le biais de nombreux efforts volontaires d’experts en la matière, de fournisseurs de technologie, de membres privés et publics de la communauté des critères CIS ainsi que de l’équipe de développement du critère CIS ». Vous trouverez par exemple une liste de contributeurs Azure sur CIS Microsoft Azure Foundations benchmarking v RE1.0.0 désormais disponible.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources