ANSSI-Guide-hygiene-informatique-42-mesures - My Personal Knowledge Base

# Présentation du guide d'hygiène de l'ANSSI Les enjeux de sécurité numérique sont majeurs. Les risques cyber sont au centre des décisions stratégiques des organisations. Ce guide d’hygiène informatique est une **feuille de route opérationnelle** pour structurer une **démarche de sécurisation du système d’information (SI)**. ## Que contient ce guide ? Ce document de l'ANSSI est **destiné aux RSSI, DSI et responsables informatiques**. Il présente les **42 mesures d’hygiène informatique essentielles** constituant le **socle minimal de sécurité** pour protéger un système d’information. Il s’adresse à tout type d’organisation : PME, ETI, grandes entreprises et collectivités. Il met également à disposition, à la fin du guide, **un outil de suivi de maturité** sous forme d'auto-évaluation. Il vous aide à évaluer le niveau de conformité de l’organisation : non conforme, standard ou renforcé. > [!danger] Attention ! Ces 42 mesures sont **non exhaustives**. Elles représentent le **niveau minimal attendu** pour réduire significativement l’exposition aux risques cyber. ## Pourquoi ce guide est essentiel ? La majorité des incidents de cybersécurité ne résultent pas d’attaques sophistiquées, mais de **défaillances sur des mesures basiques** : - systèmes non mis à jour, - droits d’administration excessifs, - absence de segmentation réseau, - sauvegardes inexistantes ou non testées, - absence de supervision des journaux. Ce guide vise à **réduire significativement la surface d’attaque** du SI en s'appuyant sur des fondamentaux **techniques** et **organisationnels**. > [!info] À savoir ! Il constitue une **base indispensable** avant d’initier des démarches de **conformité RGPD** ou de **certification ISO 27001** par exemple. ## Comment utiliser ce guide ? > [!warning] Rappel ! La sécurité est un sujet stratégique qui doit être **sponsorisé par la direction générale (DG)**. Elle implique des choix structurants en fonction du **contexte métier** et des **objectifs stratégiques** de l’organisation. Pour utiliser ce guide, voici les recommandations à suivre pour chaque règle : 1. Lire chaque mesure et **identifier les points de contrôle**. 2. **Évaluer** le niveau de maturité via l’outil de suivi (non conforme, standard, renforcé). 3. Définir un **plan d’actions** prioritaire pour atteindre le niveau standard. 4. Structurer ensuite un **plan d’amélioration** continue vers le niveau renforcé. > [!info] À savoir ! L’évaluation doit être menée à la fois au **niveau stratégique (direction) et opérationnel (équipes techniques)**. Si les compétences internes sont insuffisantes, il est recommandé de faire appel à un prestataire spécialisé. # Présentation des mesures ## Catégorisation Les 42 mesures sont regroupées en 10 catégories : 1. **Sensibiliser et former** : formation des utilisateurs, gestion du risque humain, encadrement de l’infogérance. 2. **Connaître son système d'information** : cartographie, inventaire des actifs, documentation. 3. **Authentifier et contrôler les accès** : gestion des habilitations, politique de mot de passe, MFA, principe du moindre privilège. 4. **Sécuriser les postes** : durcissement, chiffrement, gestion centralisée, antivirus/EDR. 5. **Sécuriser le réseau** : segmentation, cloisonnement, filtrage, contrôle des accès physiques. 6. **Sécuriser l'administration** : comptes d’administration dédiés, réseau d’administration isolé, suppression des accès Internet directs. 7. **Gérer le nomadisme** : chiffrement des postes, VPN sécurisé, sensibilisation aux risques. 8. **Maintenir à jour le SI** : politique de patch management, gestion des vulnérabilités, cycle de vie des actifs. 9. **Superviser, auditer, réagir** : centralisation des logs, sauvegardes testées, gestion des incidents, plan de réponse. 10. **Aller plus loin** : analyse de risque (EBIOS), produits qualifiés ou certifiés ANSSI. ## Mon top 5 des mesures à appliquer dès le départ D'expérience voici les 5 règles à appliquer en priorité car elles corrigent les vulnérabilités les plus exploitables et elles préparent le SI à une démarche plus structurée (audit, conformité, normes). ### Règle 1 : Sensibiliser et former les utilisateurs aux bonnes pratiques Former tous les collaborateurs aux principes de base de la cybersécurité (gestion des mots de passe, phishing, bonnes pratiques élémentaires). Le facteur humain est souvent le maillon le plus vulnérable. ### Règle 10 : Définir et vérifier (l'application de) la politique de mots de passe Cela implique de définir une **politique de mots de passe** avec des règles strictes : - Règles de complexité / durée / blocage des comptes après échecs. - Authentification forte (MFA) sur les accès critiques. > [!info] À savoir ! L'**authentification forte** est basée sur **au moins deux facteurs** de nature différente parmi : **ce que je sais** (password), **ce que je possède** (smartphone), **ce que je suis** (empreinte digitale). ### Règle 9 : Gérer rigoureusement les droits d’accès Appliquer le principe du moindre privilège, définir clairement qui peut accéder à quoi, et auditer les comptes sensibles. Cela réduit significativement la surface d’attaque en respectant notamment l'**approche basées sur les rôles ([[def-RBAC|RBAC]])**. Par exemple [[def-agdlp|AGLDP]] est une implémentation de type RBAC dans Active Directory. ### Règle 14 : Mettre en place un niveau de sécurité minimal Durcir le niveau de sécurité des terminaux de façon homogène sur tout le parc : EPP, EDR, XDR, contrôle des supports amovibles, etc. ### Règle 37 : Définir et appliquer une politique de sauvegarde (et de restauration) Formaliser une politique claire pour les sauvegardes des composants critiques, stocker en lieu sûr et tester régulièrement les restaurations en respectant la [[def-3-2-1-1-0-Rule|politique du 3-2-1-1-0]] pour une approche complète. # Points clés à retenir Ce guide ne traite pas de cybersécurité avancée. Il impose la mise en œuvre rigoureuse des fondamentaux. - La sécurité doit être **pilotée par la direction**, pas uniquement par l’IT. - La majorité des attaques exploitent des **manquements élémentaires**. - Les 42 mesures constituent le **socle minimal de sécurité** recommandé par l’ANSSI. - L’objectif prioritaire est d’atteindre le niveau **standard**, puis d’évoluer vers le niveau renforcé. Les 42 mesures posent les fondamentaux techniques et organisationnels nécessaires pour engager une démarche de conformité RGPD ou de certification ISO 27001. ## Consulter le guide complet Ci-dessous le guide complet en PDF, version 2.0 de septembre 2017 téléchargé depuis le site [messervices.cyber.gouv.fr](https://messervices.cyber.gouv.fr/guides/guide-dhygiene-informatique) : ![[_asset-ANSSI-Guide-hygiene-informatique-42-mesures.pdf#height=600]]