Les 20 contrôles de sécurité critiques

Des spécialistes sont parvenus à définir un ensemble de 20 contrôles de sécurité chargés de constituer le coeur d’un programme de sécurité à la fois pertinent et facile à décrire.

Les entreprises déploient des programmes de sécurité informatique pour protéger leurs transactions, leur propriété intellectuelle et leur savoir-faire. Mais les normes de sécurité informatique actuelles, notamment ISO 2700x et NIST 800-53, sont particulièrement indigestes. Pour preuve, la toute dernière version de la norme NIST 800-53 compte 450 pages et décrit, à elle seule, plus de 1 200 contrôles de sécurité… La complexité de ces normes exige donc un grand savoir-faire pour concevoir un programme de sécurité et pose également un défi pour décrire l’étendue d’un déploiement. Pour remédier à cette situation, un groupe d’experts en sécurité s’est mis en quête d’une alternative en 2008. Ils ont décidé de s’en tenir à « ce qui fonctionne concrètement » pour définir un ensemble de contrôles de sécurité pragmatique et compréhensible qui servira de guide pratique pour la sécurité informatique. Ces spécialistes sont parvenus à réunir un ensemble de 20 contrôles de sécurité chargés de constituer le cœur d’un programme de sécurité à la fois pertinent et facile à décrire.

Ce groupe a également mis en place un classement basé sur le niveau de performance de chacun de ces contrôles. Il a attribué le niveau le plus élevé, « très efficace », aux premiers cinq contrôles de la liste, à savoir :

1- La réalisation d’un inventaire matériel pour connaître le nombre de systèmes présents sur le réseau.

2- La compilation d’un inventaire des logiciels pour identifier les différents systèmes d’exploitation et logiciels utilisés.

3- La définition de configurations standards fiables qui servent de référence à ces systèmes.

4- La mise en place d’un processus de gestion des vulnérabilités et de remédiation pour les logiciels référencés.

5- Le déploiement de solutions de protection contre les codes malveillants. 

Des avantages supplémentaires

La priorisation selon le niveau de performance est une recommandation qui s’impose de manière naturelle pour réussir un déploiement. Toutefois, lors d’une récente conférence consacrée à la sécurité informatique, des RSSI qui ont utilisé ces 20 contrôles dans les programmes de sécurité de leur entreprise, ont expliqué que ceux-ci offraient d’autres avantages, à savoir :

Si vous êtes chargés du déploiement ou de la mise à niveau d’un programme de sécurité informatique, n’hésitez pas à vous intéresser aux 20 contrôles de sécurité critiques et à consulter ce livre blanc. En effet, ces derniers offrent une approche à la fois dynamique et pratique et ils n’ont à ce jour récolté que des éloges de la part des entreprises qui les ont déployés.