Les benchmarks CIS sont des feuilles de route de sécurité accessibles au public qui proposent des recommandations de base pour guider les organisations dans le renforcement de leurs systèmes informatiques contre les cybermenaces. Ils ont été créés par le Centre pour la sécurité Internet (CIS), une organisation communautaire à but non lucratif qui s’efforce de « créer la confiance dans le monde connecté ».
Plus de 140 benchmarks CIS, répartis en huit catégories principales, ont été créés à ce jour grâce à un consensus communautaire de professionnels de l’informatique du monde entier. Ceux-ci sont mappés à la Contrôles de sécurité critiques CIS et peut également être aligné avec d’autres Cadres normalisés tels que NIST, PCI-DSS, HIPAA et autres.
Les indices de référence de la CEI ont été conçus pour être un facteur central de Préparation d’un programme complet de cybersécurité. Alors que CIS met ses directives de référence à la disposition des professionnels de la sécurité sous forme de téléchargements PDF gratuits pour un usage non commercial, l’organisation gagne également de l’argent grâce à l’adhésion commerciale et aux services complémentaires.
Free Cloud Security Risk Assessment
Connect with a Wiz expert for a personal walkthrough of the critical risks in each layer of your environment.
Learn more
Comment les indices de référence CIS rendent-ils votre organisation plus sûre ?
Parce que les benchmarks CIS sont créés par consensus par les professionnels de l’informatique du monde entier, ils sont bien connus et largement acceptés. Ces professionnels ont rassemblé un large éventail de leçons apprises et de meilleures pratiques qui peuvent donner à toute organisation une longueur d’avance sur les cyberadversaires.
Le respect des benchmarks CIS offre à votre organisation de nombreux avantages :
Réduction de la surface d’attaque en minimisant les faiblesses exploitables
Une sécurité de base renforcée avec une base solide
Alignement sur les normes de l’industrie, ce qui peut réduire les risques d’audit tout en simplifiant la conformité et la posture de sécurité globale
Réduction des erreurs de configuration grâce à des directives de configuration claires
Une meilleure résilience face aux menaces connues les plus courantes, selon le consensus de l’industrie
Les benchmarks CIS sont également indépendants des fournisseurs, fournissant des informations combinées de la communauté informatique mondiale. Au-delà du renforcement de la sécurité sur un large éventail de systèmes et d’appareils, le suivi des remédiations de référence CIS peut également améliorer les performances et la durabilité du système.
Cloud Security Controls: Framework, Checklist, and Best Practices for Implementation
En savoir plus
8 catégories d’indices de référence CIS
Pour aider les organisations à déterminer quels points de référence CIS sont les plus pertinents pour leur programme de sécurité, ils sont divisés en huit catégories générales.
Fournisseur de cloud : Offre les meilleures pratiques pour la configuration des contrôles d’identité et d’accès (IAM), des mécanismes de journalisation du système, des paramètres de sécurité réseau et des mesures de protection alignées sur la conformité. inclut Amazon Web Services (AWS, par exemple, AWS Compute Services), Alibaba Cloud, Microsoft 365 et d’autres
Logiciel de bureau : Fournit des conseils de configuration sécurisés pour les applications de bureau populaires, notamment la sécurité des e-mails, la gestion des appareils mobiles, la navigation Web et l’atténuation des risques liés aux logiciels tiers. Il contient des sous-catégories qui incluent les logiciels de productivité (par exemple, Microsoft Office, Zoom) et les navigateurs Web (par exemple, Mozilla Firefox, Safari)
Outils DevSecOps : Aide les équipes de sécurité à sécuriser le pipeline DevSecOps, en fournissant les meilleures pratiques pour configurer les contrôles de sécurité dans les outils de développement et d’intégration ; inclut des mesures de sécurité de la chaîne d’approvisionnement logicielle pour GitHub et GitLab
Appareils mobiles : Aide les équipes à se concentrer sur l’optimisation des paramètres du développeur, des configurations de confidentialité du système d’exploitation, des paramètres de navigation Web sécurisée et des contrôles granulaires des autorisations des applications. comprend des sous-catégories pour Apple iOS et Android
Périphériques d’impression : Ne contient actuellement qu’un seul benchmark, CIS Multi-Function Device ; se concentre sur le renforcement des appareils vulnérables, y compris les mises à jour du micrologiciel, les configurations réseau, l’accès sans fil, la gestion des utilisateurs et les contrôles de partage de fichiers
Périphériques réseau : Offre des conseils de renforcement de la sécurité englobant à la fois les meilleures pratiques générales et les configurations spécifiques au fournisseur, garantissant une sécurité optimale pour un matériel spécifique ; comprend des dispositifs de sécurité réseau de Cisco et Palo Alto Networks
Systèmes d’exploitation : Couvre les contrôles pour l’accès local et à distance, la gestion des comptes utilisateurs, les protocoles d’installation des pilotes et les paramètres sécurisés du navigateur Web ; les sous-catégories comprennent Linux (par exemple, Debian, Ubuntu), Microsoft Windows et Unix (par exemple, IBM AIX, Apple macOS)
Logiciel serveur : Fournit des recommandations englobant les contrôles administratifs, les politiques de réseau virtuel, les limitations d’accès au stockage et les configurations sécurisées pour Kubernetes, y compris les certificats PKI et les paramètres du serveur API ; plusieurs sous-catégories incluent les serveurs Web (par exemple, Microsoft IIS), les serveurs de bases de données (par exemple, MongoDB) et les serveurs virtualisés (par exemple, Kubernetes)
Anatomie d’un repère CIS
Chaque référence CIS contient une liste de recommandations pour un produit particulier, le nombre de recommandations dépendant de la complexité du produit.
De nombreux benchmarks contiennent des centaines de recommandations très détaillées. Pour chaque recommandation, son état d’évaluation indique si elle peut être automatisée ou si elle nécessite une configuration manuelle.
Chaque indice de référence CIS se voit attribuer l’un des deux profils suivants :
Niveau 1 : Directives de sécurité de base pour atteindre un niveau de sécurité adéquat pour les appareils non critiques ; Les actions de niveau 1 affecteront rarement les fonctionnalités du système.
Niveau 2 : Des directives de sécurité plus strictes pour les appareils critiques ; Ces actions peuvent avoir un impact sur la fonctionnalité du système, mais fourniront une sécurité beaucoup plus à toute épreuve.
Enfin, chaque recommandation comprend deux axes d’intervention :
Audit: Vous aide à déterminer votre niveau de sécurité dans une zone particulière
Remédiation: Étapes d’action avec des recommandations de configuration pour renforcer votre système dans ce domaine
Voici ce que vous verrez lorsque vous décompresserez une recommandation CIS typique :
CIS Foundations Benchmarks couvrir tous les aspects de la sécurité des fournisseurs de services cloud (CSP) pour des organisations telles qu’Amazon Web Services (AWS), Google Cloud Computing Platform, Microsoft Azure, Alibaba Cloud et plusieurs autres.
Les deux exemples suivants sont tirés de la CIS Foundations Benchmark pour AWS pour vous donner une meilleure idée de ce que vous verrez à l’intérieur d’une recommandation de référence typique. L’un est un exemple de niveau 1 (directives de sécurité de base), et l’autre est un exemple de niveau 2 (directives de sécurité renforcées).
| Number | 1.19 | 2.12 |
|---|---|---|
| Title | Ensure that all the expired SSL/TLS certificates stored in AWS IAM are removed | Ensure MFA delete is enabled on S3 buckets |
| Assessment status | Automated | Manual |
| Profile | Level 1 | Level 2 |
| Description | To enable HTTPS connections to your website or application in AWS, you need an SSL/TLS server certificate. You can use ACM or IAM to store and deploy server certificates. Use IAM as a certificate manager only when you must support HTTPS connections in a region that is not supported by ACM. IAM securely encrypts your private keys and stores the encrypted version in IAM SSL certificate storage. IAM supports deploying server certificates in all regions, but you must obtain your certificate from an external provider for use with AWS. You cannot upload an ACM certificate to IAM. Additionally, you cannot manage your certificates from the IAM Console. | Once MFA Delete is enabled on your sensitive and classified S3 bucket it requires the user to have two forms of authentication. |
| Rationale statement | Removing expired SSL/TLS certificates eliminates the risk that an invalid certificate will be deployed accidentally to a resource such as AWS Elastic Load Balancing (ELB), which can damage the credibility of the application/website behind the load balancer. As a best practice, it is recommended to delete expired certificates. | Adding MFA delete to an S3 bucket requires additional authentication when you change the version state of your bucket or you delete an object version adding another layer of security in the event your security credentials are compromised or unauthorized access is granted. |
| Impact statement | Deleting the certificate could have implications for your application if you are using an expired server certificate with ELB, CloudFront, etc. One has to make configurations at the respective services to ensure there is no interruption in application functionality. | Enabling MFA delete on an S3 bucket could require additional administrator oversight. Enabling MFA delete may impact other services that automate the creation and/or deletion of S3 buckets. |
| Audit procedure | Audit steps provided (console and command line) | Audit steps provided (console and command line) |
| Remediation procedure | Remediation steps provided (console and command line) | Remediation steps provided (command line only) |
| Default value | By default, expired certificates won't get deleted. | n/a |
| References | References provided | References provided |
| CIS Controls mapping | CIS v8 - 3.1 Establish and Maintain a Data Management Process CIS v7 - 13 Data Protection | CIS v8 - 3.3 Configure Data Access Control Lists 6.5 Require MFA for Administrative Access CIS v7 - 14.6 Protect Information through Access Control Lists |
Wiz: First agentless cloud security vendor to attain CIS SecureSuite Vendor Certification for cloud-managed Kubernetes
En savoir plus
Wiz : Premier sur le marché avec la certification de référence Kubernetes CIS intégrée
En tant que plate-forme intégrée de protection des applications cloud native (CNAPP), Wiz a été le premier fournisseur à être reconnu avec la certification CIS SecureSuite Vendor pour trois principaux benchmarks Kubernetes, simplifiant la conformité avec les derniers benchmarks CIS EKS, AKS et GKE tout en vous offrant un moyen natif du cloud de sécuriser vos environnements Kubernetes.
L’adoption de CIS Benchmarks aide vos équipes de sécurité à tirer des leçons des meilleures pratiques et à renforcer l’ensemble de votre organisation contre les principales menaces d’aujourd’hui. Et avec Wiz, vous pouvez faire une grande partie de cela à partir d’un seul écran, en agrégeant les données de tous vos outils pour obtenir des informations exploitables et hiérarchisées basées sur «combinaisons toxiques« ... un score de vulnérabilité unique basé sur le risque réel pour votre organisation. Et comme il est sans agent, il est facile à déployer dans l’ensemble de votre organisation, quelle que soit sa taille.
Wiz vous permet d’identifier de manière proactive les vulnérabilités, avec des conseils de remédiation clairs, en gardant une longueur d’avance sur les attaquants pour sécuriser vos environnements cloud.
Obtenez une démo dès aujourd’hui pour commencer à simplifier la conformité Kubernetes et à améliorer l’ensemble de votre posture de sécurité avec Wiz.
100+ Built-In Compliance Frameworks
See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.
