What are CIS Benchmarks?

Un référentiel CIS contient des conseils du Center for Internet Security (CIS) sur les meilleures pratiques en matière de configuration des systèmes informatiques, des réseaux et des logiciels. Le CIS a publié plus de 140 critères de référence avec le soutien de professionnels de la cybersécurité et d'experts en la matière dans des communautés du monde entier.

Demander une démo Download the Security Report

What are CIS Benchmarks?

Les catégories de critères d'évaluation de l'ECI

Les critères de référence de l'ECI sont répartis en sept groupes, à savoir

  1. Benchmarks des systèmes d'exploitation : Ces critères décrivent comment configurer en toute sécurité Microsoft Windows, Linux, Apple OSX et d'autres systèmes d'exploitation. Les conseils portent sur la gestion des accès, l'installation des pilotes, la configuration des navigateurs et d'autres paramètres ayant une incidence sur la sécurité.
  2. Benchmarks pour les logiciels de serveurs : Ces critères couvrent la configuration sécurisée de Microsoft Windows Server, KubernetesSQL Server et d'autres logiciels de serveur. Les certificats PKI de Kubernetes, les paramètres du serveur API et les contrôles administratifs du serveur sont quelques-uns des sujets abordés.
  3. cloud Critères de référence pour les fournisseurs : Ces critères décrivent les meilleures pratiques en matière de sécurité pour la configuration des sites publics cloud tels que Amazon Web Services (AWS), Microsoft Azure et Google cloud Platform. Les thèmes abordés comprennent la gestion des identités et des accès, la journalisation, la conformité réglementaire et la mise en réseau.
  4. Appareil mobile Benchmarks : Ces critères de référence portent sur les configurations des appareils mobiles. Parmi les meilleures pratiques, citons les paramètres des développeurs, les autorisations des applications et les configurations de confidentialité du système d'exploitation.
  5. Appareil de réseau Benchmarks : Ces critères décrivent comment configurer en toute sécurité un appareil réseau. Les orientations sont neutres par rapport aux fournisseurs et s'appliquent généralement aux systèmes des différents fournisseurs.
  6. Benchmarks des logiciels de bureau : Ces critères décrivent les meilleures pratiques en matière de sécurité pour les sites application largement utilisés, tels que Microsoft Office et les navigateurs courants. Parmi les sujets abordés, citons la confidentialité des courriels, les paramètres du navigateur et Gestion des appareils mobiles (MDM).
  7. Appareil d'impression multifonction Benchmarks : Ces critères décrivent les meilleures pratiques pour configurer et sécuriser les imprimantes multifonctions, telles que la gestion des mises à jour des microprogrammes, les configurations d'accès au réseau sans fil, etc.

Benchmark CIS Kubernetes

Le buzz autour de K8s ne montre aucun signe de relâchement, et bien que Kubernetes soit une plateforme fantastique pour les conteneurs et microservice, il y a eu des points d'interrogation sur sa sécurité globale, en particulier dans ses premiers jours. Le CIS travaille sur la sécurisation de Kubernetes depuis 2017, et le référentiel du Center for Internet Security est déjà à la version 1.23.

Le benchmark CIS de Kubernetes, comme les autres benchmarks CIS, fournit gestion de la posture de sécurité les meilleures pratiques adaptées aux besoins uniques de Kubernetes et de ses conteneurs. Le CIS Benchmarks for Kubernetes fournit des conseils de sécurité détaillés répartis en deux domaines : Configuration de la sécurité du nœud maître - couvrant le planificateur, le gestionnaire de contrôle, les fichiers de configuration, etcd, et PodSecurityPolicies - et Configuration de la sécurité du nœud travailleur - ciblant Kubelet et les fichiers de configuration.

pare-feu CIS Benchmark

Les critères de référence du SID sont un ensemble de normes de meilleures pratiques en matière de cybersécurité pour toute une série de systèmes et de produits informatiques, notamment pare-feux. Le référentiel de pare-feu fournit une configuration de base pour assurer la conformité avec les normes de cybersécurité approuvées par l'industrie. Il est développé par le CIS en collaboration avec des communautés d'experts en cybersécurité au sein de l'industrie et des instituts de recherche. Les administrateurs de systèmes et de application, les spécialistes de la sécurité, les auditeurs, le service d'assistance et le personnel chargé du déploiement des plates-formes peuvent utiliser le référentiel pour développer, déployer, évaluer ou sécuriser leur infrastructure de sécurité.

Avantages des critères d'évaluation de l'ECI

Les critères de référence de l'ECI offrent de nombreux avantages à une organisation, notamment

  • Connaissances et expertise rassemblées : Les critères de référence du CIS sont élaborés avec l'aide de la communauté de la cybersécurité et des technologies de l'information, ce qui permet de bénéficier de l'ensemble de leur expertise.
  • Sécurité améliorée : Les critères de référence du CIS décrivent les meilleures pratiques de sécurité pour les systèmes cibles, qui, si elles sont mises en œuvre, peuvent contribuer à combler les failles et à limiter la vulnérabilité d'une organisation aux attaques.
  • Des orientations actualisées : Les référentiels CIS sont régulièrement mis à jour, ce qui garantit que les instructions étape par étape restent pertinentes au fur et à mesure que les solutions changent et évoluent.
  • Une sécurité cohérente : Les référentiels CIS décrivent les meilleures pratiques pour sécuriser les différentes technologies, permettant à une organisation d'atteindre la maturité en matière de sécurité dans l'ensemble de l'infrastructure informatique.
  • Facilité d'utilisation : Les critères de référence du CIS sont conçus pour être mis en œuvre, ce qui facilite le déploiement des configurations et des contrôles recommandés.

Critères de référence CIS et conformité réglementaire

Les entreprises doivent atteindre, maintenir et démontrer leur conformité à un nombre croissant de réglementations. Le paysage réglementaire devenant de plus en plus complexe, il peut être difficile pour une organisation de s'assurer qu'elle est conforme à toutes les exigences applicables.

Les critères de référence du Center for Internet Security sont conçus pour faciliter les efforts de conformité en décrivant les meilleures pratiques qui s'alignent sur les principales réglementations et s'y conforment. Par exemple, les critères de référence du CIS sont étroitement liés au cadre de cybersécurité du NIST, à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la loi sur la portabilité et l'accessibilité de l'assurance maladie (HIPAA) et ISO 27001.

En plus de fournir des conseils sur les meilleures pratiques, le Center for Internet Security propose également des contrôles CIS et des images CIS renforcées, qui sont des images préconfigurées de systèmes configurés de manière sécurisée. Ces ressources peuvent également rationaliser le processus de conformité en permettant aux organisations d'accéder à des systèmes conçus pour être conformes aux réglementations applicables.

Comment obtenir la conformité CIS

Une organisation peut obtenir la Conformité SID en mettant en œuvre les meilleures pratiques décrites dans les critères de référence SID. Ces ressources sont disponibles gratuitement et contiennent des conseils étape par étape pour sécuriser une série de systèmes. Une autre solution consiste à déployer des images renforcées CIS, qui contiennent des versions préconstruites de différents systèmes d'exploitation configurés pour être conformes aux exigences CIS.

Toutefois, s'il est possible d'atteindre manuellement la conformité avec les critères de référence CIS, il peut être difficile de le faire à grande échelle. Logiciel de gestion de la conformité peut aider une organisation à atteindre et à maintenir la conformité avec les critères CIS en identifiant et en mettant en évidence les configurations non conformes pour y remédier.

CIS Benchmarks et Point de contrôle

Maintenir la conformité réglementaire et la sécurité des systèmes pour tous les actifs informatiques d'une organisation peut s'avérer difficile, en particulier lorsque l'infrastructure de l'entreprise s'étend au site cloud. Environnements multi-cloudavec leur visibilité limitée et leurs paramètres de configuration peu familiers, sont une cause fréquente d'atteintes à la protection des données et d'incidents de sécurité.

Check Point CloudGuard automatise la gestion de la conformité, y compris la conformité aux critères CIS et à d'autres réglementations et normes de sécurité importantes. Les organisations peuvent même l'utiliser pour gérer la configuration du Point de contrôle pare-feu sur la base du système de gestion de la sécurité de l'entreprise. CIS Point de contrôle pare-feu Benchmark. Pour en savoir plus sur les capacités du Point de contrôle pare-feu, demandez un devis. free demo. Pour en savoir plus sur les capacités de CloudGuard et sur la manière dont il peut aider votre organisation à améliorer la Sécurité du cloud et à simplifier la Conformité réglementaire, inscrivez-vous pour un démo gratuit aujourd'hui.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d’analyse et de marketing. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies. Pour plus d’informations, veuillez lire notre Avis sur les cookies.
OK