CIS Controls : un cadre de sécurité pratique pour les équipes informatiques et les MSP

27avril, 2026
George Rouse
CEI, Cadre / Normes, Conformité réglementaire

Selon le rapport Kaseya 2026 sur la situation des MSP, 71 % des MSP ont fait état d'une croissance de leur chiffre d'affaires d'une année sur l'autre dans le domaine de la cybersécurité, mais près de la moitié d'entre eux citent la complexité des produits de sécurité comme principal obstacle à leur croissance.

Lorsque les organisations se demandent « par où commencer en matière de cybersécurité ? », la réponse est rarement simple. Il existe des dizaines de référentiels, des centaines de documents d’orientation et une multitude de mesures de sécurité à prendre en compte. Les CIS Controls simplifient cette complexité en proposant une réponse résolument pratique : voici les 18 mesures de sécurité les plus importantes, classées par ordre de priorité, accompagnées de conseils de mise en œuvre spécifiques pour les organisations de différentes tailles.

C'est cette hiérarchisation des priorités qui fait la particularité des contrôles CIS. Plutôt que de constituer un catalogue exhaustif de toutes les mesures qu'une organisation devrait mettre en œuvre à terme, ces contrôles se concentrent sur les actions fondamentales qui permettent de contrer les vecteurs d'attaque les plus courants et d'obtenir la plus forte réduction des risques par unité d'effort.

Mettre en œuvre et suivre les contrôles CIS avec Compliance Manager GRC

Compliance Manager GRC des modèles spécialement conçus pour les trois groupes de mise en œuvre de la norme CIS v8.1 ; il permet de suivre la mise en place des mesures de protection, d'identifier les lacunes et de générer automatiquement des rapports de preuves prêts pour l'audit.

Découvrez Compliance Manager GRC

Que sont les contrôles CIS ?

Les « CIS Controls » constituent un ensemble hiérarchisé de bonnes pratiques en matière de cybersécurité, élaboré et mis à jour par le Center for Internet Security, une organisation à but non lucratif. Initialement publiés sous le nom de « SANS Top 20 », puis adoptés et développés par le CIS, ces contrôles reflètent un consensus sur les mesures défensives les plus efficaces contre les attaques les plus courantes.

Ce référentiel est largement cité par les organismes de réglementation et les normes de conformité. Le NIST, la loi HIPAA, la norme PCI DSS et de nombreuses réglementations en matière de cybersécurité au niveau des États font référence aux contrôles CIS ou s'alignent sur ceux-ci. Pour les organisations soumises à de multiples exigences de conformité, la mise en œuvre des contrôles CIS permet souvent de couvrir simultanément plusieurs référentiels.

Les contrôles sont gratuits et accessibles au public ; ils s'accompagnent d'une documentation comprenant des conseils de mise en œuvre, des correspondances avec d'autres cadres de référence et des critères de référence pour des technologies spécifiques. Les critères de référence CIS fournissent des conseils de renforcement de la sécurité pour les systèmes d'exploitation, les applications et les services cloud.

CIS Controls v8.1 : le cadre actuel

CIS Controls v8.1 est la version actuelle du framework. La version 8 a été lancée en 2021 et constituait la plus importante évolution depuis des années ; la version 8.1 a quant à elle affiné et mis à jour les détails des mesures de protection. Principales modifications par rapport à la version 7 :

Priorité au cloud et au mobile. La version 8 a été repensée pour tenir compte du fait que les environnements informatiques s'étendent désormais aux infrastructures sur site, aux services cloud, aux appareils mobiles et au télétravail, et ne se limitent plus au périmètre traditionnel de l'entreprise.

Le nombre de contrôles a été ramené de 20 à 18. Plusieurs contrôles qui se recoupaient ont été fusionnés, et le cadre a été réorganisé autour de trois groupes de mise en œuvre (IG1, IG2 et IG3) qui permettent aux organisations d'adapter le cadre à leur taille et à leur profil de risque.

Modèle des mesures de protection. La version 8 a introduit le terme « mesures de protection » pour désigner les actions spécifiques au sein de chaque contrôle, remplaçant ainsi l'ancienne terminologie « sous-contrôles ». La version 8.1 des contrôles CIS comprend 153 mesures de protection réparties sur les 18 contrôles.

Groupes de mise en œuvre : adapter les contrôles à votre organisation

L'une des fonctionnalités les plus utiles sur le plan pratique des CIS Controls est le modèle des groupes de mise en œuvre, qui permet aux organisations d'adapter le cadre à leur taille, à leurs ressources et à leur profil de risque, plutôt que de considérer les 153 mesures de protection comme une liste indifférenciée.

IG1, Hygiène informatique de base (56 mesures de protection) : Conçu pour les petites organisations disposant d'un personnel informatique et de cybersécurité limité. L'IG1 représente le niveau de base que toute organisation devrait atteindre, quelle que soit sa taille ; il s'agit des mesures de contrôle permettant de contrer les attaques les plus courantes et les moins sophistiquées qui touchent la grande majorité des organisations. Même si une organisation ne met en œuvre aucune autre mesure, le simple fait d'atteindre le niveau IG1 améliore considérablement son niveau de sécurité.

IG2 (130 mesures de protection, incluant toutes celles de l'IG1) : Convient aux organisations qui gèrent des données sensibles et disposent d'un personnel informatique et de sécurité dédié. L'IG2 ajoute 74 mesures de protection supplémentaires pour faire face à des menaces plus sophistiquées, à des exigences de conformité et à des environnements plus complexes. Certaines mesures de protection de ce niveau nécessitent une technologie de niveau entreprise et une expertise spécialisée.

IG3 (les 153 mesures de sécurité, y compris IG1 et IG2) : Convient aux grandes organisations ou à celles disposant d'équipes de sécurité expérimentées chargées de gérer des actifs de grande valeur ou des infrastructures critiques. L'IG3 ajoute 23 mesures de sécurité destinées à lutter contre les menaces avancées et nécessite une expertise spécifique en matière de sécurité pour être pleinement mis en œuvre.

Pour la plupart des PME et des clients des MSP, les niveaux IG1 et IG2 constituent les objectifs pertinents. Une conformité totale au niveau IG1 permet de contrer la grande majorité des vecteurs d'attaque réels auxquels sont confrontées les PME.

Compliance Manager GRC comprend des modèles distincts pour chaque groupe de mise en œuvre, chargeant automatiquement les mesures de protection spécifiques requises pour le niveau sélectionné.

Les 18 contrôles CIS

Mesure de contrôle n° 1 : Inventaire et contrôle des actifs de l'entreprise. Identifiez chaque appareil présent dans l'environnement. On ne peut pas protéger ce que l'on ne connaît pas.

Mesure 2 : Inventaire et contrôle des actifs logiciels. Recensez tous les logiciels et n'autorisez l'exécution que des logiciels autorisés. Les logiciels non autorisés constituent un point d'entrée privilégié pour les logiciels malveillants.

Mesure de contrôle n° 3 : Protection des données. Mettre en place des procédures et des mesures techniques permettant d'identifier, de classer, de sécuriser, de conserver et d'éliminer les données. Cela inclut le chiffrement et la prévention des pertes de données.

Contrôle 4 : Configuration sécurisée des ressources et des logiciels de l'entreprise. Mettre en place et maintenir des configurations sécurisées pour l'ensemble du matériel et des logiciels. Les configurations par défaut sont souvent peu sûres.

Contrôle n° 5 : Gestion des comptes. Utiliser des processus et des outils pour attribuer et gérer les identifiants de tous les comptes, y compris les comptes administrateur, de service et d'application, en respectant les principes du principe du moindre privilège.

Mesure de contrôle n° 6 : Gestion du contrôle d'accès. Créer et gérer les identifiants d'accès selon les principes du « besoin d'en connaître » et du « besoin d'utiliser ». Cela couvre la mise en œuvre de l'authentification multifactorielle (MFA), la gestion des privilèges et les contrôles d'accès.

Mesure de contrôle n° 7 : Gestion continue des vulnérabilités. Recueillir, évaluer et exploiter en permanence les nouvelles informations relatives aux menaces et aux vulnérabilités afin d'identifier et de corriger les failles, et de réduire au minimum la fenêtre d'opportunité dont disposent les attaquants.

Mesure de contrôle n° 8 : Gestion des journaux d'audit. Collecter, signaler, examiner et conserver les journaux d'audit afin de faciliter la détection des incidents et l'analyse post-incident.

Mesure de contrôle n° 9 : Protection des messageries électroniques et des navigateurs Web. Renforcez la protection contre les menaces véhiculées par les messageries électroniques et les navigateurs Web, qui constituent les deux vecteurs d'accès initiaux les plus courants.

Mesure de contrôle n° 10 : Protection contre les logiciels malveillants. Utiliser des outils automatisés pour empêcher ou contrôler l'installation et l'exécution de code malveillant sur les terminaux.

Mesure de contrôle n° 11 : Récupération des données. Mettre en place et maintenir des procédures de récupération des données permettant de rétablir les données concernées dans leur état antérieur à l'incident, dans le respect des objectifs RTO et RPO définis.

Contrôle 12 : Gestion de l'infrastructure réseau. Mettre en place, déployer et gérer l'infrastructure réseau afin d'empêcher les pirates d'exploiter les vulnérabilités des services et des configurations réseau.

Mesure de contrôle n° 13 : Surveillance et protection du réseau. Surveiller le réseau afin de détecter toute activité anormale ou malveillante et mettre en place des mécanismes permettant de détecter ces activités et d'y répondre.

Mesure de contrôle n° 14 : Sensibilisation à la sécurité et formation aux compétences. Mettre en place et maintenir un programme de sensibilisation à la sécurité qui traite du facteur humain en matière de risques par le biais de formations et de simulations d'hameçonnage.

Mesure de contrôle n° 15 : Gestion des prestataires de services. Mettre en place un processus permettant d'évaluer et de gérer les prestataires de services (y compris les MSP) en fonction des risques qu'ils présentent pour les données et les systèmes de l'organisation.

Mesure de contrôle n° 16 : Sécurité des logiciels d'application. Gérer le cycle de vie de la sécurité des logiciels développés en interne, hébergés ou acquis afin de prévenir, détecter et corriger les failles de sécurité.

Mesure de contrôle n° 17 : Gestion des interventions en cas d'incident. Mettre en place un programme visant à développer et à maintenir une capacité d'intervention en cas d'incident, comprenant des guides d'intervention bien définis et des procédures testées.

Mesure de contrôle n° 18 : Tests d'intrusion. Tester l'efficacité des défenses au moyen d'attaques simulées contrôlées afin d'identifier les vulnérabilités exploitables avant que les attaquants ne le fassent.

Contrôles CIS et autres référentiels

Les contrôles CIS ne sont pas isolés. Ils s'inscrivent directement dans d'autres référentiels auxquels les organisations doivent se conformer, ce qui constitue l'une des principales raisons pour lesquelles leur mise en œuvre justifie l'investissement, même pour les organisations qui ne sont pas spécifiquement tenues de suivre la norme CIS.

NIST CSF : Les contrôles CIS correspondent largement aux fonctions du NIST CSF (Identifier, Protéger, Détecter, Réagir, Restaurer). Les organisations qui utilisent le NIST CSF constatent que les contrôles CIS fournissent les détails opérationnels dont les fonctions plus abstraites du CSF ont besoin.

PCI DSS : les mesures de contrôle n° 1 à 7 et n° 10 à 12 correspondent étroitement aux exigences de la norme PCI DSS. La mise en œuvre des mesures de contrôle CIS réduit considérablement l'effort de préparation aux audits PCI DSS.

HIPAA : Les contrôles CIS répondent à bon nombre des exigences en matière de mesures de protection administratives, physiques et techniques prévues par la règle de sécurité HIPAA.

ISO 27001 : Il existe une forte convergence entre les contrôles CIS et ceux de l'annexe A de la norme ISO 27001. Les organisations qui souhaitent obtenir la certification ISO 27001 tirent parti de la mise en œuvre des contrôles CIS existants, qui constituent une preuve de la maturité de leurs systèmes de contrôle.

C'est précisément grâce à cette couverture multi-référentiels que les contrôles CIS constituent un point de départ pratique pour la plupart des organisations : leur mise en œuvre permet de démontrer la conformité à plusieurs référentiels simultanément, ce qui réduit la charge administrative liée à la gestion indépendante de chaque référentiel.

Mise en œuvre des contrôles CIS avec Kaseya

La plateforme Kaseya offre une assistance technique directe pour la mise en œuvre de la plupart des contrôles CIS dans les environnements gérés :

Contrôles 1 et 2 (inventaire des actifs) : la détection automatisée des périphériques et l'inventaire des logiciels de VSA permettent de créer et de tenir à jour les registres d'actifs requis par les contrôles 1 et 2. IT Glue la couche documentaire nécessaire au suivi des actifs et à la gestion des enregistrements de configuration.

Commandes 4 et 5 (Configuration sécurisée, Gestion des comptes) : la gestion de la configuration basée sur des politiques de VSA garantit le respect des normes de configuration sécurisée sur l'ensemble des terminaux gérés. Kaseya 365 prend en charge l'application de l'authentification multifactorielle (MFA) et la gestion des accès privilégiés.

Contrôle 7 (Gestion des vulnérabilités) : L'analyse des vulnérabilités et la gestion automatisée des correctifs de Kaseya répondent directement aux besoins en matière de gestion continue des vulnérabilités.

Mesures de contrôle n° 9 et 10 (protection des e-mails et des navigateurs, défense contre les logiciels malveillants) : Inky (sécurité des e-mails) et Datto EDR assurent la mise en œuvre des mesures de contrôle relatives à la protection des e-mails, des navigateurs et à la défense contre les logiciels malveillants.

Fonctionnalité 11 (Récupération des données) : Datto BCDR offre les capacités de sauvegarde et de restauration requises par la fonctionnalité 11, avec une vérification automatisée et un stockage cloud immuable.

Mesure de contrôle n° 14 (Sensibilisation à la sécurité) : BullPhish ID propose une formation à la sensibilisation à la sécurité et une simulation de phishing.

Mesure 17 (Réponse aux incidents): Le service MDR de Kaseya offre une surveillance et une capacité d'intervention 24 heures sur 24, 7 jours sur 7, qui viennent en soutien à un programme géré de réponse aux incidents.

Compliance Manager GRC est l'endroit où tout cela converge à des fins de conformité. Il comprend des modèles CIS Controls v8.1 spécialement conçus pour les trois groupes de mise en œuvre (IG), qui chargent automatiquement les mesures de protection spécifiques requises pour le niveau IG sélectionné. La plateforme suit l'avancement de la mise en œuvre des 153 mesures de protection, identifie les lacunes et génère automatiquement les manuels de conformité, les rapports de preuves et la documentation d'audit qui démontrent le respect des contrôles CIS aux clients, aux auditeurs et aux assureurs cyber.

Pour les MSP, les contrôles CIS ne sont plus seulement un cadre à examiner, mais un service de conformité géré à fournir. Découvrez Compliance Manager GRC.

Points clés à retenir

  • CIS Controls v8.1 propose 18 mesures de sécurité classées par ordre de priorité, regroupées en « groupes de mise en œuvre » adaptés à la taille de l'organisation. Le groupe IG1 (56 mesures de protection) constitue le niveau de base indispensable que toute organisation devrait atteindre.
  • Le modèle des groupes de mise en œuvre rend les contrôles CIS accessibles aux organisations de toutes tailles : les PME visent les groupes IG1 et IG2, tandis que les grandes entreprises visent le groupe IG3.
  • Les contrôles CIS correspondent aux normes NIST CSF, PCI DSS, HIPAA et ISO 27001, ce qui rend leur mise en œuvre particulièrement utile pour démontrer la conformité à plusieurs référentiels simultanément.
  • La plateforme Kaseya met directement en œuvre la plupart des contrôles CIS via VSA, Datto EDR, IT Glue, Inky, BullPhish ID et Datto BCDR.
  • Compliance Manager GRC des modèles CIS v8.1 spécialement conçus pour les trois groupes de mise en œuvre, permettant de suivre la mise en place des mesures de protection et de générer automatiquement des documents justificatifs prêts pour l'audit.

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

Qu'est-ce que la conformité NIST ? Un guide pratique destiné aux équipes informatiques et aux MSP

Le terme « NIST » est utilisé pour désigner plusieurs choses différentes, souvent de manière interchangeable et pas toujours avec précision. L'agence. Le cadre de cybersécurité.

Lire l'article de blog

Conformité informatique pour les MSP : comment développer une activité évolutive

La conformité est discrètement devenue l'une des compétences les plus importantes sur le plan commercial qu'un MSP puisse développer. La combinaison de la montée en puissance des réglementations

Lire l'article de blog

ISO 27001 : qu'est-ce que c'est, quelles sont les exigences de la certification et votre organisation en a-t-elle besoin ?

La norme ISO 27001 est la norme internationale relative aux systèmes de gestion de la sécurité de l'information. Il s'agit de la certification de sécurité la plus largement reconnue à l'échelle mondiale,

Lire l'article de blog