Deux référentiels — approches différentes
Lorsque les organisations doivent structurer leur démarche sécurité, deux noms reviennent souvent : CIS Controls et ISO 27001. Tous deux sont reconnus, mais ils ont des origines, des approches et des domaines d’application différents.
Version courte : CIS Controls répond à « que devons-nous faire techniquement ? ». ISO 27001 répond à « comment devons-nous gouverner et piloter la sécurité de l’information ? ».
CIS Controls en résumé
Qu’est-ce que CIS Controls ? Les Center for Internet Security (CIS) Controls sont une liste de 18 mesures de sécurité prioritaires, développées par des experts sécurité basées sur des patterns d’attaque réels.
Caractéristiques clés :
- Focus technique — actions concrètes
- Ordre de priorité — le plus important en premier
- Implementation Groups (IG1-IG3) — adapté selon la maturité
- Gratuit à utiliser
- Pas de certification — bonnes pratiques
Les 18 contrôles :
- Inventaire des actifs de l’entreprise
- Inventaire des actifs logiciels
- Protection des données
- Configuration sécurisée
- Gestion des comptes
- Gestion du contrôle d’accès
- Gestion continue des vulnérabilités
- Gestion des journaux
- Protection email et navigateur web
- Protection contre les logiciels malveillants
- Récupération de données
- Gestion de l’infrastructure réseau
- Surveillance et défense réseau
- Sensibilisation à la sécurité
- Gestion des prestataires de services
- Sécurité applicative
- Gestion des incidents
- Tests de pénétration
ISO 27001 en résumé
Qu’est-ce qu’ISO 27001 ? ISO/IEC 27001 est une norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Elle spécifie les exigences pour établir, implémenter, maintenir et améliorer continuellement un SMSI.
Caractéristiques clés :
- Focus système de management — processus et gouvernance
- Approche basée sur les risques
- Certifiable — audit tierce partie
- Exige documentation et politiques
- Annexe A avec 93 contrôles (ISO 27001:2022)
Structure :
- Clauses 4-10 : Exigences du système de management (exigences obligatoires)
- Annexe A : 93 contrôles répartis en 4 thèmes :
- Contrôles organisationnels (37)
- Contrôles humains (8)
- Contrôles physiques (14)
- Contrôles techniques (34)
Comparaison
| Aspect | CIS Controls | ISO 27001 |
|---|---|---|
| Focus | Implémentation technique | Système de management |
| Approche | Liste priorisée | Basée sur les risques |
| Certification | Non | Oui |
| Coût | Référentiel gratuit | Certification payante |
| Documentation | Minimale | Importante |
| Public cible | Équipes IT/sécurité | Toute l’organisation |
| Mise à jour | v8 (2021) | Version 2022 |
| Contrôles | 18 + 153 mesures de protection | 93 contrôles Annexe A |
Implementation Groups (CIS)
56 mesures de protection. Pour petites organisations avec ressources IT limitées. Protège contre les attaques courantes et peu sophistiquées.
74 mesures de protection (incluant IG1). Pour organisations avec personnel IT et environnements plus complexes. Protège contre des menaces plus sophistiquées.
Toutes les 153 mesures de protection. Pour organisations avec équipes sécurité dédiées et exigences élevées. Protège contre les menaces avancées.
Quand choisir CIS Controls ?
Choisissez CIS Controls quand :
- Vous voulez des mesures concrètes et techniques
- Vous devez prioriser — quoi en premier ?
- Vous avez des ressources limitées
- La certification n’est pas une exigence
- Vous voulez compléter ISO 27001 avec des orientations pratiques
Utilisateurs typiques :
- Startups construisant la sécurité depuis zéro
- PME voulant élever rapidement le niveau
- Directions IT nécessitant un plan d’action
- Organisations complétant ISO 27001
Quand choisir ISO 27001 ?
Choisissez ISO 27001 quand :
- Clients ou partenaires exigent la certification
- Vous avez besoin d’une gouvernance structurée de la sécurité de l’information
- La direction doit être impliquée
- Vous voulez une norme internationalement reconnue
- NIS2 est applicable (ISO 27001 couvre beaucoup d’exigences)
Utilisateurs typiques :
- Entreprises B2B avec exigences de certification
- Organisations traitant des données sensibles
- Entreprises voulant démontrer un travail sécurité sérieux
- Organisations sous NIS2
Mapping entre les référentiels
CIS Controls et ISO 27001 Annexe A ont un recouvrement significatif. Voici des exemples de mapping :
| CIS Control | ISO 27001 Annexe A |
|---|---|
| 1. Inventaire des actifs | A.5.9 Inventory of assets |
| 3. Protection des données | A.5.12-A.5.14 Data classification |
| 5. Gestion des comptes | A.5.16-A.5.18 Identity management |
| 7. Gestion des vulnérabilités | A.8.8 Vulnerability management |
| 8. Gestion des journaux | A.8.15-A.8.16 Logging |
| 14. Sensibilisation sécurité | A.6.3 Awareness training |
| 17. Gestion des incidents | A.5.24-A.5.28 Incident management |
Combiner les deux référentiels
- Commencer par CIS IG1 pour un effet rapide Implémenter les 56 mesures de protection de base pour établir une sécurité de référence. Cela apporte une réduction immédiate des risques.
- Construire la structure SMSI en parallèle Établir politiques, processus et documentation selon ISO 27001. L'implémentation CIS devient preuve pour de nombreux contrôles Annexe A.
- Mapper CIS vers Annexe A Documenter comment vos implémentations CIS satisfont les contrôles ISO 27001. Éviter les doublons de travail.
- Combler les écarts ISO 27001 exige plus que des contrôles techniques — système de management, gestion des risques, audit interne. Compléter ce que CIS ne couvre pas.
- Certifier si nécessaire Quand le SMSI est mature, procéder à l'audit de certification. L'implémentation CIS fournit une base technique solide.
Pièges courants
CIS sans support managérial devient un projet IT isolé. ISO 27001 sans implémentation technique devient un produit papier. Équilibrer.
La certification ISO 27001 est un moyen, pas un objectif. Se concentrer sur la sécurité réelle, pas seulement la conformité.
Ne pas essayer d'implémenter tous les contrôles CIS ou tout ISO 27001 simultanément. Prioriser basé sur le risque.
Les deux référentiels nécessitent un travail continu. CIS se met à jour, ISO 27001 exige une révision annuelle.
Synthèse
| Question | CIS Controls | ISO 27001 |
|---|---|---|
| Que devons-nous faire techniquement ? | ✓ Fort | Général |
| Comment prioriser ? | ✓ Ordre clair | Basé sur les risques |
| Avons-nous besoin de certification ? | Non | ✓ Oui |
| La direction veut-elle être impliquée ? | Optionnel | ✓ Exigence |
| Avons-nous des ressources limitées ? | ✓ IG1 | Plus exigeant |
Comment Securapilot peut aider
Securapilot supporte à la fois CIS Controls et ISO 27001 :
- Support multi-référentiels — Gérer les deux référentiels dans le même système
- Mapping de contrôles — Voir comment vos contrôles satisfont plusieurs référentiels
- Analyse d’écarts — Identifier ce qui manque
- Gestion des preuves — Collecter les évidences pour l’audit
- Tableau de bord — Vue d’ensemble du statut de conformité
Réserver une démo et voir comment nous pouvons soutenir votre choix de référentiel.
Questions fréquentes
Peut-on être certifié CIS ?
Non, CIS Controls n'a pas de certification formelle. C'est un référentiel de bonnes pratiques. ISO 27001 en revanche offre une certification tierce partie par des organismes de certification accrédités.
Lequel est le plus simple à implémenter ?
CIS Controls, particulièrement l'Implementation Group 1 (IG1), est conçu pour être pratique et rapidement implémentable. ISO 27001 nécessite plus de documentation et de processus mais permet la certification.
Fonctionnent-ils ensemble ?
Oui, ils se complètent parfaitement. CIS Controls fournit des mesures techniques concrètes qui peuvent être mappées avec les contrôles ISO 27001 Annexe A. Beaucoup d'organisations utilisent CIS pour l'implémentation technique et ISO 27001 pour le système de management.
Lequel est le plus souvent exigé par les clients ?
La certification ISO 27001 est la plus courante comme exigence client, particulièrement en B2B. CIS Controls est davantage utilisé en interne pour prioriser les mesures de sécurité et comme complément à ISO 27001.
