🔐 Le guide d'hygiène informatique de l'ANSSI :
42 mesures concrètes pour mieux protéger votre organisation
Un guide référence de l’ANSSI à découvrir, sélectionné pour vous par Kercy
Propriétaire de PME, de collectivité, ou de TPE, vous avez déjà sûrement mis en place quelques bonnes pratiques pour protéger votre système informatique : antivirus, mots de passe, sauvegardes... Mais êtes-vous sûr d'avoir pensé à tout ?
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) publie un guide référence pour la sécurité de votre SI, destiné aux structures de toutes tailles, pour mettre en place une véritable "hygiène informatique". Objectif : réduire drastiquement les risques cyber sans exploser son budget ni mobiliser une équipe d'experts.
Ce guide, principalement adressé aux équipes informatiques et leur direction, présente 42 mesures concrètes que toute organisation doivent mettre en œuvre, comme socle initial de sécurisation de leur SI. Elles ont été nommées mesures d'hygiène car elles sont la transposition numérique de règles élémentaires de sécurité sanitaire.
Voyez le comme un prérequis, un bon début à la sécurisation de votre SI.
📘 Que contient ce guide ?
42 mesures organisées en 8 thématiques
Le guide est dense, mais clair. Il repose sur 42 recommandations concrètes, réparties en 8 grands axes. Voici la présentation synthétique de ces 42 mesures techniques et organisationnelles pour une primo-sécurisation de votre SI.
Sensibiliser et former vos utilisateurs
1. Former les équipes opérationnelles à la sécurité des systèmes d’information
2. Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique
3. Maîtriser les risques de l’infogérance
Connaître votre système d’information
4. Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau
5. Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour
6. Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs
7. Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés
Authentifier et contrôler les accès
8. Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur
9. Attribuer les bons droits sur les ressources sensibles du système d’information
10. Définir et vérifier des règles de choix et de dimensionnement des mots de passe
11. Protéger les mots de passe stockés sur les systèmes
12. Changer les éléments d’authentification par défaut sur les équipements et services
13. Privilégier lorsque c’est possible une authentification forte
Sécuriser vos postes de travail
14. Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique
15. Se protéger des menaces relatives à l’utilisation de supports amovibles
16. Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité
17. Activer et configurer le parefeu local des postes de travail
18. Chiffrer les données sensibles transmises par voie Internet
Sécuriser votre réseau
19. Segmenter le réseau et mettre en place un cloisonnement entre ces zones
20. S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages
21. Utiliser des protocoles réseaux sécurisés dès qu’ils existent
22. Mettre en place une passerelle d’accès sécurisé à Internet
23. Cloisonner les services visibles depuis Internet du reste du système d’information
24. Protéger sa messagerie professionnelle
25. Sécuriser les interconnexions réseau dédiées avec les partenaires
26. Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques
Sécuriser l’administration de votre SI
27. Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information
28. Utiliser un réseau dédié et cloisonné pour l’administration du système d’information
29. Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail
Gérer le nomadisme
30. Prendre des mesures de sécurisation physique des terminaux nomades
31. Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable
32. Sécuriser la connexion réseau des postes utilisés en situation de nomadisme
33. Adopter des politiques de sécurité dédiées aux terminaux mobiles
Maintenir le système d’information à jour
34. Définir une politique de mise à jour des composants du système d’information
35. Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles
Superviser, auditer, réagir
36. Activer et configurer les journaux des composants les plus importants
37. Définir et appliquer une politique de sauvegarde des composants critiques
38. Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées
39. Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel
40. Définir une procédure de gestion des incidents de sécurité
Pour aller plus loin
41. Mener une analyse de risques formelle
42. Privilégier l’usage de produits et de services qualifiés par l’ANSSI
Et concrètement, comment l'appliquer ?
Impossible de tout faire en même temps ni d'avoir un DSI à plein temps. L'idéal est de s'en servir comme d'un référentiel, pour créer sa propre feuille de route, hiérarchisée par priorité décroissante des mesures à mettre en place :
- Qu'avons-nous déjà mis en place ?
- Quelles priorités à court terme (les mesures simples et à fort impact) ?
- Quelles actions planifier sur l'année à venir ?
C'est un dispositif itératif. Un bon début pour prendre les habitudes de gérer la cybersécurité comme un actif de valeur de votre organisation, vertueux. KERCY accompagne les dirigeants du Morbihan et d'ailleurs dans cette démarche, avec des solutions adaptées à leur taille, leur budget et leur réalité du terrain.
💡 Pourquoi c’est important ?
En 2024, une entreprise sur deux a été ciblée par une cyberattaque. Dans la majorité des cas, les mesures de base faisaient défaut. Une simple campagne de phishing, un mot de passe trop faible ou un PC mal protégé peuvent avoir des conséquences lourdes : perte d'activité, vol de données, responsabilité juridique...
Adopter une hygiène informatique, c'est comme se laver les mains en milieu hospitalier : ce n'est pas suffisant pour éliminer tous les risques, mais c'est indispensable pour éviter le pire.
📎 Accédez au guide
➡️ Voir la présentation complète sur le site de l'ANSSI
👋 Besoin d’un coup de main pour appliquer ces mesures ?
Chez Kercy, nous accompagnons les entreprises et les collectivités dans la mise en œuvre de ces mesures, grâce à l'élaboration d'une feuille de route hiérarchisée.
Commençons déjà par un premier diagnostic, celui de l'ANSSI là aussi, pour lequel nous sommes référencé : Diagnostic Mon CyberDépart
Contactez-nous pour en parler !