CIS Controls v8.1 IG1 — cyberhygiène essentielle

CIS Controls v8.1 IG1 en langage clair —
la cyberhygiène essentielle pour une PME québécoise

Le Center for Internet Security publie depuis 2008 un référentiel reconnu mondialement de mesures prioritaires de cybersécurité. La version actuelle, v8.1 (juin 2024), structure 56 mesures essentielles dans son Implementation Group 1 (IG1) — explicitement conçu pour les organisations aux ressources de cybersécurité limitées. Pour une PME québécoise, c'est l'un des cadres les plus actionnables et l'un des mieux alignés avec l'article 10 de la Loi 25 sur les mesures de sécurité raisonnables.

Contenu informatif. Ne constitue pas un avis juridique — pour des conseils personnalisés, consultez un juriste qualifié.

Comprendre les CIS Controls v8.1 IG1 — guide pratique pour PME québécoises

Les CIS Controls sont l'un des rares référentiels de cybersécurité dont le contenu est publié gratuitement, accessible en ligne et conçu pour être appliqué sans armée de consultants. Pour une PME québécoise, c'est une excellente porte d'entrée vers une posture défendable.

Préalable conseillé : avant d'aborder cette page, parcourir la Formation Numérique de base et Loi 25 qui couvre les pratiques numériques fondamentales (cartographie des outils, accès, sauvegardes, comptes). Le présent guide approfondit le cadre CIS qui structure ces pratiques.

Qu'est-ce que les CIS Controls et pourquoi c'est différent

Définition : Les CIS Critical Security Controls sont une liste prioritaire de mesures de cybersécurité publiée par le Center for Internet Security, une organisation à but non lucratif américaine fondée en 2000. La version actuelle est v8.1, publiée en juin 2024. Le référentiel comprend 18 contrôles déclinés en 153 Safeguards (mesures concrètes).

Ce qui distingue les CIS Controls des autres référentiels (NIST CSF, ISO 27001, OWASP) :

  • Priorisation explicite — l'ordre des contrôles n'est pas alphabétique ou logique : il reflète l'impact relatif observé. Adopter le contrôle 1 a plus d'impact qu'adopter le contrôle 18.
  • Trois niveaux de maturité (Implementation Groups) — IG1 pour les PME aux ressources limitées, IG2 pour les organisations avec données sensibles, IG3 pour les organisations matures faisant face à des menaces ciblées. La même grille couvre tout le spectre.
  • Mesures concrètes plutôt qu'objectifs abstraits — chaque Safeguard est formulé comme une action vérifiable, pas comme un principe général. C'est ce qui rend le cadre actionnable sans expertise approfondie.
  • Mises à jour régulières — v8 publiée en mai 2021, v8.1 en juin 2024 (clarifications + meilleur alignement avec d'autres standards). Les ajustements suivent l'évolution des menaces réelles.
  • Gratuité — le référentiel et plusieurs outils d'accompagnement sont en accès libre. Le téléchargement demande seulement un courriel.

À retenir

Pour une PME québécoise, les CIS Controls offrent ce que peu d'autres cadres offrent : une feuille de route concrète, priorisée par impact, et conçue pour les organisations sans équipe sécurité dédiée. C'est probablement le meilleur point d'entrée vers une cybersécurité structurée.

Les Implementation Groups — IG1, IG2, IG3

Stratégie d'adoption : chaque Safeguard est étiqueté pour préciser à quel Implementation Group il s'applique. Une PME commence par IG1 (les 56 Safeguards de base), puis monte vers IG2 si le contexte le justifie. La majorité des PME québécoises restent en IG1 — et c'est une posture défendable.

IG1 — Implementation Group 1 (cyberhygiène essentielle) :

  • 56 Safeguards couvrant 15 des 18 Controls.
  • Conçu pour les organisations « with limited cybersecurity expertise » — explicitement à la portée d'une PME sans équipe sécurité dédiée.
  • Vise à contrer les attaques génériques non ciblées — les robots automatisés, le phishing de masse, les exploitations de vulnérabilités connues.
  • Représente le minimum standard reconnu pour démontrer une diligence raisonnable.

IG2 — Implementation Group 2 (organisations avec données sensibles) :

  • Tous les Safeguards d'IG1, plus des Safeguards additionnels.
  • Pour les organisations qui traitent des données sensibles (santé, financier, juridique) ou qui ont une équipe TI plus mature.
  • Niveau attendu pour les organisations soumises à des cadres réglementaires sectoriels (PCI DSS pour les paiements, HIPAA aux États-Unis, etc.).

IG3 — Implementation Group 3 (menaces ciblées) :

  • Tous les Safeguards d'IG1 + IG2, plus les Safeguards les plus avancés.
  • Pour les organisations qui font face à des menaces ciblées (groupes APT, attaques étatiques) ou qui détiennent des renseignements hautement sensibles.
  • Suppose une équipe de sécurité dédiée et un budget conséquent.

Pour une PME québécoise typique (moins de 100 employés, sans données médicales ou financières lourdes), IG1 est la cible. Couvrir IG1 proprement est plus utile que de couvrir partiellement IG2 ou IG3.

À retenir

IG1 = 56 Safeguards qui couvrent les fondations. C'est l'objectif réaliste pour une PME québécoise. Atteindre IG1 prend typiquement 6 à 18 mois selon la taille et la maturité de départ — mais ça se fait par paliers, pas en bloc.

Les 18 Controls — vue d'ensemble structurée

Lecture : les 18 contrôles sont organisés en familles fonctionnelles. Voici la liste avec le niveau d'attention attendu en IG1 — certains contrôles sont entièrement en IG2 ou IG3 et n'apparaissent pas en IG1.

Inventaire et configuration (Controls 1–4) — fondations :

  • Control 1 — Inventory and Control of Enterprise Assets. Savoir quels appareils existent (ordinateurs, serveurs, mobiles, IoT). On ne protège pas ce qu'on ne connaît pas.
  • Control 2 — Inventory and Control of Software Assets. Savoir quels logiciels sont autorisés. Les logiciels non autorisés sont un vecteur d'attaque majeur.
  • Control 3 — Data Protection. Identifier les données sensibles, les classifier, encadrer leur traitement. Pour la Loi 25, c'est central.
  • Control 4 — Secure Configuration of Enterprise Assets and Software. Configurations sécurisées par défaut (mots de passe non par défaut, services inutiles désactivés, mises à jour appliquées).

Gestion des accès et identités (Controls 5–6) — qui fait quoi :

  • Control 5 — Account Management. Création, modification, suppression des comptes utilisateurs. Désactiver les comptes des employés partis.
  • Control 6 — Access Control Management. Principe du moindre privilège. MFA sur les comptes administrateur. Révision périodique des accès.

Surveillance et défense (Controls 7–10) — détecter et contenir :

  • Control 7 — Continuous Vulnerability Management. Identifier et corriger les vulnérabilités sur une base régulière (mises à jour, scanners de vulnérabilité).
  • Control 8 — Audit Log Management. Activer la journalisation, conserver les logs, les surveiller. Sans logs, l'organisation ne sait pas ce qui s'est passé en cas d'incident.
  • Control 9 — Email and Web Browser Protections. Filtres anti-phishing, blocage de pièces jointes dangereuses, navigateurs à jour. Le courriel reste le vecteur n°1 d'incidents.
  • Control 10 — Malware Defenses. Antivirus moderne (EDR), protection contre les rançongiciels, isolation des postes infectés.

Récupération et infrastructure (Controls 11–13) — résilience :

  • Control 11 — Data Recovery. Sauvegardes régulières, testées, stockées à un endroit séparé (idéalement avec une copie hors ligne). C'est la pierre angulaire face aux rançongiciels.
  • Control 12 — Network Infrastructure Management. Configuration sécurisée des réseaux, segmentation, mises à jour des routeurs et pare-feux.
  • Control 13 — Network Monitoring and Defense. Surveillance du trafic réseau, détection d'anomalies. Plutôt IG2 — ne fait pas partie d'IG1 dans toutes ses dimensions.

Humain et fournisseurs (Controls 14–15) — facteurs externes :

  • Control 14 — Security Awareness and Skills Training. Formation des employés sur les risques (phishing, mots de passe, ingénierie sociale). La majorité des incidents ont une composante humaine.
  • Control 15 — Service Provider Management. Évaluation et encadrement des fournisseurs. Pour la Loi 25, c'est l'équivalent du DPA (article 18.3).

Avancé (Controls 16–18) — surtout en IG2 et IG3 :

  • Control 16 — Application Software Security. Sécurité des logiciels développés en interne. Plutôt IG2.
  • Control 17 — Incident Response Management. Plan de réponse aux incidents documenté, équipe identifiée, exercices. IG1 inclut les bases.
  • Control 18 — Penetration Testing. Tests d'intrusion réguliers. Plutôt IG2 et IG3.

À retenir

Les Controls 1, 4, 5, 6, 8, 11 et 14 forment le noyau d'IG1. Les couvrir proprement règle déjà la majorité des risques pour une PME. Les autres contrôles complètent mais ne remplacent pas ce noyau.

Articulation avec la Loi 25 et les autres référentiels

Convergence : les CIS Controls ne sont pas un cadre légal, mais ils sont reconnus comme l'un des moyens valides de démontrer une diligence raisonnable au titre de l'article 10 de la Loi 25 (« mesures de sécurité propres à assurer la protection »). Plusieurs Safeguards correspondent directement à des exigences de la Loi 25.

Correspondances directes Loi 25 ↔ CIS Controls v8.1 :

  • Loi 25 article 10 (mesures de sécurité raisonnables) → ensemble des Controls IG1, particulièrement Controls 4, 5, 6, 11.
  • Loi 25 article 3.2 (registre des traitements) → Controls 1, 2, 3 (inventaires des actifs, logiciels, données).
  • Loi 25 article 3.3 (EFVP) → Control 3 (Data Protection) et Control 17 (Incident Response).
  • Loi 25 article 18.3 (DPA pour sous-traitants) → Control 15 (Service Provider Management).
  • Loi 25 obligations de notification d'incident (72 h à la CAI) → Control 8 (journalisation) et Control 17 (Incident Response).

Articulation avec les autres référentiels couverts dans le hub :

  • vs OWASP Top 10 — OWASP cible les vulnérabilités web spécifiques. CIS Controls couvre toute la posture cybersécurité de l'organisation. Les deux sont complémentaires : OWASP pour le site, CIS pour l'ensemble.
  • vs NIST CSF 2.0 — NIST CSF est plus stratégique (six fonctions Govern/Identify/Protect/Detect/Respond/Recover). CIS Controls est plus tactique (mesures concrètes à implémenter). Les deux se complètent : NIST pour structurer la gouvernance, CIS pour les actions.
  • vs ISO 27001 — ISO 27001 est un système de management certifiable. CIS Controls est une checklist de mesures. ISO 27001 inclut typiquement des Safeguards CIS dans son Annexe A.

À retenir

Couvrir IG1 des CIS Controls est l'une des meilleures façons concrètes de démontrer la diligence raisonnable de l'article 10 de la Loi 25. Le cadre est reconnu, gratuit, et s'aligne naturellement avec l'évolution vers ISO 27001 si l'organisation va dans cette direction plus tard.

Démarche d'adoption progressive — par où commencer

Posture pragmatique : personne n'implémente les 56 Safeguards d'IG1 en un seul projet. La démarche réaliste pour une PME : par phases de 3 mois, en commençant par les fondations qui ont le plus d'impact.

Phase 1 (3 premiers mois) — connaître son terrain :

  • Control 1 — Inventaire des appareils (ordinateurs, mobiles, serveurs).
  • Control 2 — Inventaire des logiciels et des services cloud utilisés.
  • Control 3 — Identification des données sensibles (renseignements clients, employés, financiers).
  • Control 15 — Liste des fournisseurs avec accès aux données.

Phase 2 (mois 4–6) — verrouiller les accès :

  • Control 4 — Configurations sécurisées (mots de passe forts, services inutiles désactivés).
  • Control 5 — Gestion des comptes (procédures création/désactivation, désactivation des comptes des employés partis).
  • Control 6 — MFA obligatoire sur les comptes administrateur de toutes les plateformes.

Phase 3 (mois 7–9) — résilience et journalisation :

  • Control 11 — Sauvegardes régulières, testées, séparées.
  • Control 8 — Activation et conservation des journaux d'accès et d'événements.
  • Control 7 — Plan de mises à jour pour les logiciels critiques.

Phase 4 (mois 10–12) — humain et défense :

  • Control 14 — Formation de sensibilisation pour tous les employés (phishing, mots de passe, ingénierie sociale).
  • Control 9 — Filtrage du courriel (anti-phishing, anti-spam).
  • Control 10 — Antivirus moderne (EDR) sur les postes critiques.
  • Control 17 — Plan de réponse aux incidents documenté.

Cette séquence couvre IG1 sur 12 mois pour une PME typique. Pour les organisations qui partent de zéro, prévoir 18 mois. Pour celles qui ont déjà des bases TI solides, 6 mois peuvent suffire.

À retenir

L'adoption d'IG1 n'est pas un sprint — c'est un programme. Le succès vient de la régularité, pas de l'intensité. Trois Safeguards bien implémentés valent mieux que dix Safeguards survolés.

Erreurs fréquentes et pièges à éviter

Constat de terrain : les manquements observés en PME viennent rarement de la complexité des CIS Controls — ils viennent de l'absence d'inventaire de départ, de l'isolement de la cybersécurité de la gouvernance générale, ou d'une approche « tout ou rien ». Voici les pièges récurrents.
  • Sauter l'inventaire (Controls 1–3) — beaucoup d'organisations veulent commencer par le MFA ou les sauvegardes. Sans inventaire, on protège des choses qu'on connaît mal et on rate ce qu'on ne sait pas qu'on a.
  • Confondre achat d'outils et adoption des contrôles — souscrire à un EDR ne ferme pas le Control 10 si les alertes ne sont pas surveillées. Un Safeguard est implémenté quand le processus tourne, pas quand l'outil est acheté.
  • Vouloir IG2 ou IG3 trop tôt — couvrir IG1 proprement vaut mieux que survoler IG2. Les attaques contre les PME exploitent presque toujours des Safeguards IG1 manquants, pas des Safeguards IG2 ou IG3.
  • Ignorer la formation (Control 14) — le facteur humain reste le vecteur principal d'incidents. Les meilleurs contrôles techniques ne tiennent pas si les employés cliquent sur un lien de phishing convaincant.
  • Pas de sauvegarde testée (Control 11) — les sauvegardes qui ne sont jamais restaurées ne servent à rien. Test annuel minimum de la procédure de restauration complète.
  • MFA partiel (Control 6) — activer MFA sur l'admin Microsoft 365 mais pas sur le CRM, le compte bancaire en ligne, l'admin du site web. Un seul compte sans MFA suffit à compromettre l'organisation.
  • Cloisonnement entre TI et direction — les CIS Controls demandent des décisions qui dépassent la TI (politiques d'usage, formation, plan d'incident). Sans implication de la direction, les Safeguards les plus stratégiques restent papier.

L'erreur la plus structurelle : traiter les CIS Controls comme un projet ponctuel plutôt qu'un programme continu. Les Safeguards doivent être maintenus — un inventaire qui n'est jamais mis à jour devient progressivement faux, des sauvegardes qui ne sont jamais testées peuvent ne pas fonctionner le jour où on en a besoin.

À retenir

Les CIS Controls sont un programme, pas un projet. La vraie maturité se mesure à la régularité de l'entretien (revue trimestrielle des inventaires, test annuel des sauvegardes, formation continue des employés) plutôt qu'au statut binaire « implémenté / pas implémenté ».

En résumé

Les CIS Controls v8.1 (Center for Internet Security, juin 2024) sont une liste de référence internationale de mesures de cybersécurité, organisée en 18 Controls et 153 Safeguards, répartis en trois Implementation Groups (IG1, IG2, IG3) selon la maturité. Pour une PME québécoise, l'objectif réaliste est l'IG1 (56 Safeguards sur 15 Controls) — explicitement conçu pour des organisations aux ressources de cybersécurité limitées. Le cadre est reconnu pour démontrer la diligence raisonnable au titre de l'article 10 de la Loi 25 sur les mesures de sécurité raisonnables. La démarche d'adoption progressive sur 12 mois couvre l'essentiel : inventaires (Controls 1-3), accès et MFA (Controls 4-6), résilience (Controls 8, 11), facteur humain (Controls 14, 9, 10).

Réponse rapide

Combien de Safeguards dans IG1? 56 Safeguards répartis sur 15 des 18 Controls (CIS v8.1, juin 2024). C'est le standard minimum reconnu pour les PME aux ressources limitées.

Combien de temps pour atteindre IG1? Typiquement 12 mois pour une PME qui débute, 6 mois pour une PME avec des bases TI solides. La démarche est progressive — pas un sprint.

Évaluer où votre PME se situe par rapport à IG1?

Pour les organisations qui veulent faire un état des lieux structuré par rapport aux 56 Safeguards d'IG1, un contrôle qualité numérique fournit une lecture priorisée et un plan d'action adapté à vos ressources. Réservez un appel d'orientation gratuit pour discuter de votre situation.

Planifier un appel d'orientation →