Les cinq contrôles techniques
Cyber Essentials est construit autour de cinq contrôles techniques fondamentaux. Ces contrôles adressent les vecteurs d'attaque les plus courants et, lorsqu'ils sont correctement implémentés, fournissent une protection efficace contre la majorité des cyberattaques de masse ciblant les organisations britanniques.
Points clés
| Point | Résumé |
|---|---|
| 5 contrôles | Pare-feu, Configuration sécurisée, Gestion des mises à jour de sécurité, Contrôle d'accès utilisateur, Protection contre les malwares |
| Pare-feu | Protègent les frontières réseau ; toutes les connexions Internet doivent avoir une protection pare-feu |
| Configuration sécurisée | Supprimer les mots de passe par défaut, désactiver les fonctionnalités inutiles, durcir les systèmes |
| Mises à jour de sécurité | Appliquer les patches sous 14 jours pour les vulnérabilités hautes/critiques |
| Contrôle d'accès utilisateur | Comptes uniques, moindre privilège, MFA pour les services cloud, restrictions comptes admin |
| Protection malware | Logiciel anti-malware, liste blanche d'applications, ou sandboxing sur tous les appareils |
Réponse rapide : Les 5 contrôles Cyber Essentials sont : (1) Pare-feu protégeant toutes les connexions Internet, (2) Configuration sécurisée supprimant les défauts et fonctionnalités inutiles, (3) Mises à jour de sécurité sous 14 jours pour les patches critiques, (4) Contrôle d'accès utilisateur avec moindre privilège, (5) Protection malware sur tous les appareils.
Comprendre les cinq contrôles
Le NCSC a sélectionné ces cinq contrôles sur la base de recherches sur les méthodes de cyberattaque les plus courantes. Chaque contrôle adresse des vecteurs d'attaque spécifiques :
| Méthode d'attaque | Contrôle qui l'adresse |
|---|---|
| Intrusion réseau | Pare-feu |
| Exploitation des paramètres par défaut | Configuration sécurisée |
| Exploitation des vulnérabilités connues | Gestion des mises à jour de sécurité |
| Vol/abus de credentials | Contrôle d'accès utilisateur |
| Infection malware | Protection malware |
Ensemble, ces contrôles créent des couches de défense. Si un attaquant passe un contrôle, d'autres sont en place pour limiter les dégâts.
Contrôle 1 : Pare-feu
Les pare-feu créent une barrière entre votre réseau interne et les menaces externes, contrôlant quel trafic peut entrer et sortir.
Ce qui est requis
| Exigence | Détails |
|---|---|
| Protection des frontières | Tous les réseaux connectés à Internet doivent avoir un pare-feu |
| Refus par défaut | Bloquer toutes les connexions entrantes par défaut |
| Changer les défauts | Modifier tous les mots de passe pare-feu par défaut |
| Documentation des règles | Documenter les règles pare-feu et leurs objectifs |
| Supprimer les règles inutiles | Désactiver les règles qui ne sont pas nécessaires |
Considérations clés
Trafic entrant : Le défaut devrait être de refuser toutes les connexions entrantes, n'autorisant que les services explicitement requis pour les besoins business.
Trafic sortant : Peut être moins restrictif que l'entrant, mais considérez des restrictions où approprié et documentez les politiques.
Accès administratif : Changez tous les mots de passe par défaut, limitez l'accès admin au personnel autorisé, utilisez une authentification forte, et journalisez les actions administratives.
Types de pare-feu dont vous pourriez avoir besoin
| Type | Cas d'usage courant |
|---|---|
| Pare-feu matériel | Protection du périmètre réseau |
| Pare-feu logiciel | Protection d'appareil individuel |
| Pare-feu cloud | Protection d'infrastructure cloud |
| Pare-feu routeur | Bureau à domicile/petit bureau (souvent intégré) |
Contrôle 2 : Configuration sécurisée
Les ordinateurs et équipements réseau devraient être configurés pour minimiser les vulnérabilités. Les paramètres par défaut sont typiquement conçus pour la facilité d'utilisation lors de l'installation, pas pour la sécurité.
Ce qui est requis
| Exigence | Détails |
|---|---|
| Supprimer les logiciels inutiles | Désinstaller les applications qui ne sont pas nécessaires |
| Désactiver les services inutiles | Désactiver les fonctionnalités non utilisées |
| Changer les mots de passe par défaut | Ne jamais utiliser les défauts d'usine |
| Désactiver l'auto-exécution | Empêcher l'exécution automatique de logiciels |
| Activer le verrouillage écran | Configurer le verrouillage automatique |
Exigences de mot de passe
| Élément | Exigence |
|---|---|
| Longueur minimale | 8+ caractères (12+ recommandé) |
| Complexité | Mix de types de caractères ou phrase de passe |
| Mots de passe par défaut | Doivent être changés |
| Comptes de service | Mots de passe uniques et forts |
Domaines courants à adresser
Logiciels : Supprimer les applications inutilisées, désactiver les plugins navigateur inutiles, désinstaller les logiciels d'essai, supprimer le contenu d'exemple par défaut.
Services : Désactiver le bureau à distance si non nécessaire, désactiver le partage de fichiers si non requis, désactiver le Bluetooth si non utilisé.
Comptes : Changer tous les mots de passe par défaut, supprimer les comptes invités, désactiver l'administrateur intégré (utiliser des comptes nommés), supprimer les comptes inutilisés.
Fonctionnalités : Désactiver l'auto-exécution pour les médias amovibles, configurer le verrouillage automatique de l'écran (moins de 15 minutes), activer le pare-feu sur chaque appareil.
Contrôle 3 : Gestion des mises à jour de sécurité
Les vulnérabilités logicielles sont découvertes constamment. Les mises à jour régulières corrigent ces vulnérabilités avant que les attaquants puissent les exploiter.
Ce qui est requis
| Exigence | Détails |
|---|---|
| Logiciels supportés | Utiliser uniquement des logiciels licenciés et supportés par le fournisseur |
| Délai de patch | Appliquer les patches critiques/hauts sous 14 jours |
| Mises à jour automatiques | Activer où possible |
| Vérification des mises à jour | Confirmer que les mises à jour sont appliquées |
| Logiciels en fin de vie | Supprimer les logiciels qui ne sont plus supportés |
La règle des 14 jours
Les vulnérabilités critiques et de haute sévérité doivent être patchées sous 14 jours après la disponibilité d'un patch :
| Sévérité | Délai |
|---|---|
| Critique | Sous 14 jours (dès que pratique) |
| Haute | Sous 14 jours |
| Moyenne | Délai raisonnable |
| Basse | Prochaine fenêtre de maintenance |
Ce qui doit être mis à jour
Systèmes d'exploitation : Windows, macOS, distributions Linux, iOS, Android, systèmes d'exploitation serveurs.
Applications : Navigateurs web, clients email, suites bureautiques, lecteurs PDF, lecteurs média, applications business.
Infrastructure : Firmware BIOS/UEFI, firmware routeur, firmware pare-feu, firmware équipements réseau, firmware appareils IoT.
Contrôle 4 : Contrôle d'accès utilisateur
Ce contrôle assure que seuls les individus autorisés peuvent accéder à vos systèmes et données, et que leur accès est limité à ce dont ils ont réellement besoin.
Ce qui est requis
| Exigence | Détails |
|---|---|
| Comptes uniques | Chaque utilisateur doit avoir son propre compte |
| Privilèges appropriés | Les utilisateurs n'ont accès qu'à ce dont ils ont besoin |
| Limites comptes admin | Séparer comptes admin et comptes standards |
| Authentification | Mots de passe forts ou MFA |
| Gestion des comptes | Processus pour arrivées/départs |
Principes clés
Gestion des comptes : Comptes uniques pour chaque utilisateur, pas de comptes partagés, supprimer les comptes quand les gens partent, conduire des revues d'accès régulières.
Gestion des privilèges : Comptes utilisateur standards pour le travail quotidien, comptes admin séparés pour les tâches admin, comptes admin non utilisés pour l'email ou la navigation, principe du moindre privilège appliqué.
Authentification : Politique de mot de passe forte, MFA où possible (surtout pour les comptes admin), verrouillage de compte après tentatives échouées, processus de récupération de mot de passe sécurisé.
Bonnes pratiques comptes admin
| Pratique | Justification |
|---|---|
| Comptes séparés | Limite l'impact si un compte est compromis |
| Pas pour l'usage quotidien | Réduit l'exposition aux menaces |
| Comptes individuels | Fournit la traçabilité |
| MFA activé | Ajoute une couche de protection supplémentaire |
| Journalisation des activités | Crée une piste d'audit |
Contrôle 5 : Protection malware
Ce contrôle se concentre sur la prévention des logiciels malveillants infectant vos systèmes, la dernière ligne de défense quand les autres contrôles n'arrêtent pas une attaque.
Ce qui est requis
| Exigence | Détails |
|---|---|
| Anti-malware | Protection active sur tous les appareils |
| Mises à jour régulières | Définitions malware mises à jour régulièrement |
| Scan automatique | Configurer des scans automatiques |
| Protection en temps réel | Activer le scan à l'accès |
| Couverture | Tous les appareils dans le périmètre protégés |
Méthodes de protection acceptables
Option 1 : Logiciel anti-malware
Antivirus traditionnel, protection endpoint nouvelle génération, ou scan cloud. C'est l'approche la plus courante.
Option 2 : Liste blanche d'applications
Seules les applications approuvées peuvent s'exécuter. Plus restrictif mais efficace, avec une charge de gestion plus élevée.
Option 3 : Sandboxing d'applications
Les applications s'exécutent dans des environnements isolés, limitant les dégâts des malwares. Souvent combiné avec d'autres méthodes.
Approche combinée : Utiliser plusieurs méthodes ensemble fournit une défense en profondeur et compense les faiblesses individuelles.
Exigences de configuration
| Paramètre | Exigence |
|---|---|
| Protection en temps réel | Activée |
| Mises à jour automatiques | Activées |
| Scans programmés | Au moins hebdomadaires |
| Protection web | Activée |
| Scan email | Activé |
| Scan médias amovibles | Activé |
Comment les contrôles fonctionnent ensemble
Les cinq contrôles se complètent mutuellement, créant une défense en profondeur :
Scénario d'attaque externe :
- Pare-feu bloque l'accès non autorisé
- Si le pare-feu est contourné → Configuration sécurisée réduit la surface d'attaque
- Si une vulnérabilité est ciblée → Mises à jour de sécurité corrigent les vulnérabilités connues
- Si une attaque zero-day se produit → Contrôle d'accès utilisateur limite ce à quoi l'attaquant peut accéder
- Si un malware est déployé → Protection malware le détecte et le bloque
Aucun contrôle unique n'est censé arrêter toutes les attaques. La valeur vient d'avoir plusieurs couches qui adressent chacune différents aspects du paysage des menaces.
Priorités d'implémentation
Si vous partez de zéro, considérez cet ordre :
| Priorité | Contrôle | Justification |
|---|---|---|
| 1 | Pare-feu | Première ligne de défense |
| 2 | Mises à jour de sécurité | Fermer les vulnérabilités connues |
| 3 | Configuration sécurisée | Réduire la surface d'attaque |
| 4 | Contrôle d'accès utilisateur | Limiter les dégâts potentiels |
| 5 | Protection malware | Attraper ce qui passe à travers |
Quick wins pour chaque contrôle
| Contrôle | Quick Win |
|---|---|
| Pare-feu | Activer Windows Firewall sur tous les appareils |
| Config sécurisée | Supprimer les logiciels inutilisés |
| Mises à jour | Activer les mises à jour automatiques |
| Contrôle d'accès | Créer des comptes admin séparés |
| Malware | Activer Windows Defender ou installer un AV |
Comment Bastion peut aider
Implémenter efficacement les cinq contrôles nécessite de comprendre non seulement ce qui est requis, mais comment appliquer ces exigences à votre environnement spécifique.
| Défi | Comment nous aidons |
|---|---|
| Évaluation | Nous évaluons votre statut actuel sur les cinq domaines de contrôle |
| Implémentation | Notre équipe fournit des conseils techniques pour chaque contrôle, adaptés à votre environnement |
| Documentation | Nous aidons à rassembler les preuves pour la certification |
| Vérification | Nous vérifions vos contrôles avant la certification pour identifier les lacunes |
| Gestion continue | Nous aidons à maintenir les contrôles par une surveillance continue |
Travailler avec un partenaire de services managés signifie que vous n'implémentez pas ces contrôles par essais et erreurs. Nous apportons l'expérience de nombreuses implémentations, ce qui se traduit par faire les choses correctement du premier coup et éviter le retravail coûteux.
Besoin d'aide pour implémenter les cinq contrôles ? Parlez à notre équipe