16 juillet 2026MDM & Endpoints

Compliance endpoints : règles CIS L1 pour macOS, Windows et Linux

Un audit de parc révèle en moyenne 30 à 40 % d'endpoints hors conformité CIS L1 dès la première passe — souvent sur des postes déployés depuis plus de 18 mois sans rebaseline. Voici comment appliquer les contrôles critiques sur les trois OS principaux dans une PME romande.

Par ZRS-Holding Sàrl·10 min de lecture·10 lectures
Partager

Un écart de configuration, pas une faille logicielle

La majorité des incidents endpoint documentés par le NCSC en 2023–2024 ne reposaient pas sur un zero-day : ils exploitaient des configurations par défaut laissées intactes — SMBv1 actif, guest account non désactivé, écran de veille sans mot de passe. Les CIS Benchmarks Level 1 ciblent précisément cet écart : pas de dégradation de l'expérience utilisateur, mais suppression des vecteurs triviaux. Pour une PME de 20 à 150 endpoints, appliquer le niveau L1 représente 80 % du gain sécuritaire pour environ 20 % de l'effort total.

Ce que signifie réellement « CIS L1 »

Les CIS Benchmarks distinguent deux profils :

  • Level 1 : recommandations applicables sans impact opérationnel significatif. Adapté à la grande majorité des postes de travail.
  • Level 2 : contrôles plus restrictifs, souvent pertinents pour les serveurs ou les environnements régulés (FINMA, laboratoires, défense). Peut nécessiter des exceptions métier.

Le benchmark est publié par OS et par version majeure : CIS Microsoft Windows 11 Enterprise Benchmark v3.0, CIS Apple macOS 14 Sonoma Benchmark v2.0, CIS Ubuntu Linux 22.04 LTS Benchmark v2.0. Les versions sont mises à jour en décalage de 3 à 6 mois par rapport aux sorties OS — vérifier la version active avant tout déploiement.

Chaque contrôle comporte : un identifiant (ex. 1.1.1), un niveau, une description, la commande d'audit, la commande de remédiation, et la justification. La structure est identique sur les trois OS, ce qui facilite la traçabilité dans un ISMS ISO 27001.

Contrôles L1 critiques par OS

macOS 14 Sonoma — points de friction fréquents

Les 20 à 30 contrôles L1 les plus souvent échoués dans un parc Apple Business Manager (ABM) non durci :

  • 1.1 — FileVault activé : contrôlable via MDM (profil com.apple.MCX.FileVault2). Vérifier que la clé de récupération est escrowée côté MDM, pas stockée localement.
  • 2.1 — Écran de veille avec délai ≤ 20 min + mot de passe immédiat : la valeur par défaut macOS est 5 min sans demande de mot de passe. Payload com.apple.screensaver, clé askForPasswordDelay = 0.
  • 2.6 — Bluetooth désactivé si non requis : à cibler sur les postes fixes et les serveurs macOS.
  • 3.1 — Firewall applicatif activé : payload com.apple.security.firewall, EnableFirewall = true, BlockAllIncoming = false (L1), true (L2).
  • 5.2.3 — Complexité du mot de passe local : longueur minimale 15 caractères (L1), pas de réutilisation sur 15 cycles. Pertinent uniquement si l'authentification locale n'est pas entièrement remplacée par SSO + FIDO2.
  • 6.1.4 — Désactivation du compte Guest : dscl . -delete /Users/Guest ou payload MDM com.apple.loginwindow, GuestEnabled = false.
  • 7.x — Mises à jour automatiques : activer AutomaticCheckEnabled, AutomaticDownload, AutomaticallyInstallMacOSUpdates via le profil Software Update.

Un parc géré via ABM avec supervision MDM activée permet d'appliquer la quasi-totalité de ces contrôles en push, sans toucher à chaque poste individuellement. Les contrôles non gérables par MDM (quelques paramètres noyau, audit BSD) requièrent un script de remédiation déployé via la console.

Windows 11 23H2 — GPO vs Intune vs scripts

Le benchmark CIS Windows 11 Enterprise v3.0 couvre environ 300 paramètres L1. Les vecteurs les plus souvent non conformes dans une PME sans Active Directory durci :

  • 1.1.1 — Historique des mots de passe ≥ 24, longueur minimale 14 caractères, âge maximum 365 jours.
  • 2.3.1.3 — Comptes : renommer le compte Administrateur et désactiver le compte Guest (Computer Configuration > Windows Settings > Security Settings > Local Policies).
  • 2.3.7.x — Accès réseau : désactiver le partage anonyme des partages SAM (RestrictAnonymousSAM = 1), désactiver LM et NTLMv1 (LmCompatibilityLevel = 5).
  • 17.x — Audit Policy : activer l'audit avancé sur Logon/Logoff, Account Logon, Object Access. Configurer une taille minimale de journal de sécurité de 196 608 KB.
  • 18.9.x — Windows Defender / Microsoft Defender : activer le cloud protection, le comportement PUA (Potentially Unwanted Applications), désactiver l'accès aux dossiers non autorisés en mode audit minimum.
  • 19.7.x — Windows Update : délai de qualité ≤ 3 jours, délai de features ≤ 180 jours via CSP Update/DeferQualityUpdatesPeriodInDays.

Avec Windows Autopilot + Intune, ces paramètres s'appliquent via des profils de configuration (Settings Catalog) ou des scripts PowerShell idempotents. La migration depuis GPO on-prem vers Intune nécessite une analyse de conflit : certains GPO locaux écrasent les CSP Intune si la priorité n'est pas correctement définie.

Ubuntu 22.04 LTS — postes dev et serveurs légers

Les Linux en PME sont souvent des postes développeur ou des serveurs de fichiers/NAS internes. Les contrôles L1 les plus souvent ignorés :

  • 1.1.x — Partitions séparées : /tmp, /var, /var/log, /var/log/audit montées avec options nodev,nosuid,noexec selon la partition.
  • 1.3.x — AIDE ou similaire : integrity checking, base initialisée après durcissement.
  • 1.6.x — SELinux ou AppArmor : AppArmor activé par défaut sur Ubuntu, vérifier que les profils sont en mode enforce et non complain.
  • 2.2.x — Désactivation des services inutiles : avahi-daemon, cups, isc-dhcp-server, slapd, nfs-server — chacun représente une surface d'attaque si non requis.
  • 3.1.x — Paramètres réseau noyau : net.ipv4.ip_forward = 0 si le poste n'est pas un routeur, net.ipv4.conf.all.send_redirects = 0, net.ipv4.tcp_syncookies = 1 — à appliquer via /etc/sysctl.d/99-cis.conf.
  • 5.2.x — SSH hardening : Protocol 2, PermitRootLogin no, PermitEmptyPasswords no, MaxAuthTries 4, délai d'inactivité ClientAliveInterval 300.
  • 6.2.x — Permissions fichiers sensibles : /etc/passwd en 644, /etc/shadow en 000 ou 640, propriétaire root.

FleetDM (ou osquery autonome) permet d'auditer ces contrôles en continu via des requêtes SQL sur l'état du système, sans agent supplémentaire. Le score de conformité CIS est calculable par host avec les packs de requêtes officiels.

Outillage et automatisation : ce qui fonctionne en PME

Appliquer manuellement 300 contrôles sur 80 endpoints n'est pas viable. Les approches retenues selon la taille du parc :

  • 1 à 20 endpoints : scripts de remédiation idempotents (Bash/PowerShell) + vérification manuelle trimestrielle avec un outil d'audit CIS (CIS-CAT Lite, gratuit).
  • 20 à 80 endpoints : MDM (ABM + MDM iOS/macOS, Intune pour Windows) avec profils de configuration alignés CIS + FleetDM pour l'audit continu Linux. Tableau de bord conformité hebdomadaire.
  • 80 à 150 endpoints : MDM + SIEM léger pour collecter les logs d'audit (Windows Event Forwarding, syslog Linux). Alertes sur écarts critiques (ex. FileVault désactivé, LM auth détecté).

La norme NIST Cybersecurity Framework (fonctions Identify / Protect / Detect) fournit le cadre pour prioriser : les contrôles CIS L1 couvrent principalement Protect. L'audit continu couvre Detect. Un plan de remédiation dans les 30 jours couvre Respond.

Sur le plan légal suisse, la nLPD (nouvelle Loi fédérale sur la protection des données) en vigueur depuis le 01.09.2023 impose des mesures techniques et organisationnelles appropriées pour la protection des données personnelles. Un parc non conforme CIS L1 constitue une faiblesse documentable en cas de violation — avec obligation de notification au PFPDT dans les 72 heures pour les incidents à risque élevé.

Cas pratique : fiduciaire vaudoise, 45 endpoints

Contexte : Fiduciaire basée à Lausanne, 45 collaborateurs, parc composé de 32 MacBook Pro (macOS 14 Sonoma), 10 PC Windows 11 23H2 (comptabilité, gestion de paie), 3 serveurs Ubuntu 22.04 LTS (partage de fichiers NFS, sauvegarde, outil de gestion interne). Aucun MDM en place avant l'audit. Données clients sensibles : bilans, déclarations fiscales, données salariales.

Audit initial (CIS-CAT Pro, licence CHF 1 500/an pour PME) :

  • macOS : score moyen 41 % — FileVault désactivé sur 9 postes, Guest account actif sur 18 postes, mises à jour automatiques désactivées sur 27 postes.
  • Windows 11 : score moyen 38 % — NTLMv1 actif, LmCompatibilityLevel = 3, audit avancé non configuré, journaux sécurité à 20 480 KB (défaut Windows).
  • Ubuntu 22.04 : score moyen 52 % — AppArmor en mode complain, SSH PermitRootLogin yes, sysctl non durci.

Plan de remédiation en 5 étapes (exécuté sur 6 semaines) :

  1. Semaine 1 — DSI + RSSI externe : déploiement MDM (enrôlement ABM pour les Mac, Intune pour Windows). Création des profils de configuration de base (FileVault, pare-feu, veille). Inscription des 3 serveurs Ubuntu dans FleetDM.
  2. Semaine 2 — DSI : activation FileVault sur les 9 Mac non conformes via MDM push. Escrow des clés de récupération. Déploiement du profil screensaver (délai 15 min, askForPasswordDelay = 0). Désactivation compte Guest via payload MDM.
  3. Semaine 3 — DSI : Windows — GPO de sécurité déployée via Intune (Settings Catalog) : LmCompatibilityLevel = 5, historique mots de passe = 24, taille journal sécurité = 196 608 KB, audit avancé activé (Logon, Account Logon, Object Access). Renommage compte Administrateur local.
  4. Semaine 4 — DSI + sysadmin : Ubuntu — script Bash de durcissement CIS L1 (sysctl, AppArmor enforce, SSH hardening, désactivation avahi-daemon et cups). Vérification AIDE installé et base initialisée. Test SSH depuis poste externe : PermitRootLogin refusé, MaxAuthTries 4.
  5. Semaines 5–6 — RSSI externe : second passage CIS-CAT. Scores post-remédiation : macOS 78 %, Windows 74 %, Ubuntu 81 %. Exceptions documentées (3 contrôles macOS L1 incompatibles avec un outil métier de comptabilité, waiver justifié). Rapport de conformité transmis à la direction, archivé dans l'ISMS.

Coût total estimé : CHF 3 200 en jours/homme externe (2 jours × CHF 1 200 + 0,5 jour juriste interne) + CHF 1 500 licence CIS-CAT + CHF 800 MDM première année. Soit CHF 5 500 pour passer de ~43 % à ~78 % de conformité CIS L1 sur 45 endpoints. Coût marginal des années suivantes : CHF 2 300/an (licences + audit annuel demi-journée).

SynGuard accompagne des PME romandes dans ce type de démarche — audit initial, déploiement MDM, et maintien en condition opérationnelle du score CIS.

Récapitulatif opérationnel

  1. Télécharger les benchmarks CIS correspondant à vos versions OS actives (macOS 14, Windows 11 23H2, Ubuntu 22.04) depuis cisecurity.org — gratuits après inscription.
  2. Lancer CIS-CAT Lite (gratuit) ou Pro sur un échantillon de 5 endpoints représentatifs pour établir le score baseline avant toute remédiation.
  3. Prioriser les contrôles L1 à risque élevé : chiffrement disque (FileVault / BitLocker / LUKS), authentification forte (désactivation NTLMv1/LM, complexité mots de passe), désactivation comptes invités, pare-feu OS activé.
  4. Déployer via MDM pour macOS et Windows : profils de configuration idempotents plutôt que scripts one-shot. Vérifier l'absence de conflit GPO/CSP sur Windows.
  5. Pour Linux : scripts Bash de durcissement versionés (Git), applicables en idempotence, testés en environnement de recette avant production.
  6. Documenter les exceptions (waivers) : contrôle incompatible avec un outil métier → justification écrite, approbation RSSI, date de révision ≤ 12 mois.
  7. Planifier un audit CIS-CAT trimestriel minimum, mensuel si le parc dépasse 50 endpoints ou si des données nLPD sensibles sont traitées.
  8. Conserver les rapports d'audit au moins 3 ans dans l'ISMS — constitue une preuve de mesures techniques appropriées en cas de contrôle PFPDT ou d'incident.
  9. Rebaseline obligatoire à chaque upgrade OS majeur (ex. passage macOS 14 → 15, Windows 11 24H2) : les benchmarks changent et de nouveaux contrôles apparaissent.
  10. Signaler tout incident lié à un écart de configuration exploité au NCSC via le formulaire de signalement NCSC — et notifier le PFPDT dans les 72 heures si des données personnelles sont compromises.

Sources

Noter cet article

Pas encore de note