L'hygiène informatique désigne un ensemble de pratiques élémentaires que toutes les organisations, qu'elles soient publiques ou privées, doivent mettre en œuvre pour protéger leurs SI. Pour accompagner les entreprises dans leur transformation numérique tout en renforçant leur résilience face aux cyberattaques, l'ANSSI propose un guide de l’hygiène informatique, regroupant toutes les mesures de sécurité à appliquer en entreprise. Nous vous présentons 10 recommandations de l’ANSSI à adopter sans tarder pour une meilleure hygiène cyber.
Le guide hygiène informatique de l’ANSSI1 regroupe 42 mesures pratiques destinées à renforcer la sécurité des systèmes d'information. Ces recommandations couvrent un large éventail de sujets allant de la gestion des mots de passe à la protection des données sensibles, en passant par la sécurisation des accès et la sauvegarde des informations critiques. Voici un aperçu des 42 mesures recommandées par l'ANSSI pour une bonne hygiène informatique, classées par catégories :
|
CATÉGORIES |
MESURES |
|
Sensibiliser et former |
1. Former les équipes opérationnelles à la sécurité des systèmes d’information |
|
2. Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique |
|
|
3. Maîtriser les risques de l’infogérance |
|
|
Connaître le système d’information |
4. Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau |
|
5. Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour |
|
|
6. Organiser les procédures d’arrivée, de départ et de changement de fonction des utilisateurs |
|
|
7. Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés |
|
|
Authentifier et contrôler |
8. Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur |
|
9. Attribuer les bons droits sur les ressources sensibles du système d’information |
|
|
10. Définir et vérifier des règles de choix et de dimensionnement des mots de passe |
|
|
11. Protéger les mots de passe stockés sur les systèmes |
|
|
12. Changer les éléments d’authentification par défaut sur les équipements et services |
|
|
13. Privilégier lorsque c’est possible une authentification forte |
|
|
Sécuriser les postes |
14. Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique |
|
15. Se protéger des menaces relatives à l’utilisation de supports amovibles |
|
|
16. Utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité |
|
|
17. Activer et configurer le pare-feu local des postes de travail |
|
|
18. Chiffrer les données sensibles transmises par voie Internet |
|
|
Sécuriser le réseau |
19. Segmenter le réseau et mettre en place un cloisonnement entre ces zones |
|
20. S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages |
|
|
21. Utiliser des protocoles réseaux sécurisés dès qu’ils existent |
|
|
22. Mettre en place une passerelle d’accès sécurisé à Internet |
|
|
23. Cloisonner les services visibles depuis Internet du reste du système d’information |
|
|
24. Protéger sa messagerie professionnelle |
|
|
25. Sécuriser les interconnexions réseau dédiées avec les partenaires |
|
|
26. Contrôler et protéger l’accès aux salles serveurs et aux locaux techniques |
|
|
Sécuriser l’administration |
27. Interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information |
|
28. Utiliser un réseau dédié et cloisonné pour l’administration du système d’information |
|
|
29. Limiter au strict besoin opérationnel les droits d’administration sur les postes de travail |
|
|
Gérer le nomadisme |
30. Prendre des mesures de sécurisation physique des terminaux nomades |
|
31. Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable |
|
|
32. Sécuriser la connexion réseau des postes utilisés en situation de nomadisme |
|
|
33. Adopter des politiques de sécurité dédiées aux terminaux mobiles |
|
|
Maintenir le système d’information à jour |
34. Définir une politique de mise à jour des composants du système d’information |
|
35. Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles |
|
|
Superviser, auditer, réagir |
36. Activer et configurer les journaux des composants les plus importants |
|
37. Définir et appliquer une politique de sauvegarde des composants critiques |
|
|
38. Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées |
|
|
39. Désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel |
|
|
40. Définir une procédure de gestion des incidents de sécurité |
|
|
Pour aller plus loin |
41. Mener une analyse de risques formelle |
|
42. Privilégier l’usage de produits et de services qualifiés par l’ANSSI |
Parmi les 42 mesures préconisées par l’ANSSI dans son guide, 10 d’entre elles doivent être appliquées en priorité pour améliorer rapidement l’hygiène cyber d’une organisation.
On ne vous apprend rien, les utilisateurs sont souvent le maillon le plus vulnérable de la chaîne de sécurité des systèmes d’information. Dès leur arrivée au sein d’une entreprise, chaque collaborateur doit être formé aux bases de la cybersécurité : gestion des mots de passe, identification des attaques de phishing, et adoption de bonnes pratiques cyber quotidiennes.
Les formations doivent être régulières, adaptées aux différents profils métiers, et accessibles aux collaborateurs non techniques. Selon le guide de l’ANSSI, elles doivent au minimum aborder les objectifs et les enjeux de sécurité de l’entité, la protection des informations sensibles, les réglementations en vigueur (RGPD, NIS2…) ainsi que les consignes de sécurité quotidiennes. Par exemple, il convient de rappeler des règles comme l’interdiction de connecter des appareils personnels au réseau de l’entreprise, ou de partager ses mots de passe via des canaux non sécurisés.
Pour renforcer cette démarche, fournir des outils adaptés aux collaborateurs est indispensable. Par exemple, l’utilisation d’un gestionnaire de mots de passe comme LockPass permet de simplifier la gestion des passwords tout en garantissant leur sécurité. En automatisant la création, le stockage et la protection des mots de passe, ce type d’outils aide à éviter des erreurs humaines courantes comme l’oubli ou la réutilisation. Ils permettent aussi de renforcer le respect des bonnes pratiques de sécurité sans alourdir le quotidien des utilisateurs.
Une gestion inadéquate des droits d'accès peut exposer les ressources sensibles de l'entreprise à des cyberattaques. Afin de limiter les risques, il est impératif de suivre le principe du moindre privilège, qui consiste à accorder aux utilisateurs uniquement les permissions nécessaires à l'exécution de leurs tâches. Cela réduit l'impact en cas de compromission d’un compte et empêche les attaques par escalade de privilèges.
Certaines ressources du système, comme les répertoires de données sensibles, les bases de données et les messageries électroniques sont des cibles privilégiées pour les attaquants. Il est donc recommandé de dresser une liste précise de ces ressources et de définir les populations autorisées à y accéder. Chaque accès doit être contrôlé, en s'assurant que seuls les utilisateurs authentifiés et ciblés peuvent y accéder.
Dans son guide d’hygiène informatique, l’ANSSI recommande également de procéder à des audits de sécurité réguliers pour vérifier la conformité des droits d'accès et détecter toute anomalie, comme des accès non autorisés ou des comptes fantômes.
Les mots de passe sont une porte d'entrée majeure pour les cybercriminels, surtout lorsqu'ils sont faibles ou réutilisés sur différents comptes. Pour garantir une protection optimale, l'entreprise doit mettre en place des règles strictes (déjà définies par la CNIL2) concernant la longueur, la complexité, et la durée de validité des mots de passe.
L'ANSSI préconise également une sensibilisation des utilisateurs aux risques liés aux mots de passe faciles à deviner ou réutilisés, notamment entre des comptes personnels et professionnels. Pour encadrer et vérifier l'application de ces règles, plusieurs mesures peuvent être mises en place, comme le blocage des comptes après plusieurs tentatives de connexion échouées, la désactivation des connexions anonymes et l’utilisation d’outils d'audit pour évaluer la robustesse des mots de passe.
Afin de faciliter la création de mots de passe robustes, il est fortement recommandé de fournir aux collaborateurs un générateur de mots de passe sécurisés comme celui de LockPass, qui permet de stocker et de générer des passwords complexes, et uniques pour chaque compte.
L’ANSSI recommande également de vérifier régulièrement si ces règles sont bien respectées dans l'entreprise. Pour ce faire, des outils d'audit peuvent être utilisés afin d'évaluer la solidité des mots de passe et de détecter toute fuite potentielle. En cas de violation de données, la surveillance des bases de données publiques qui répertorient les mots de passe compromis peut permettre d'identifier les comptes affectés et de procéder à la réinitialisation des mots de passe avant qu’ils ne soient exploités par des hackers.
Le stockage non sécurisé des mots de passe représente un risque majeur, surtout si ces derniers sont conservés en clair dans des fichiers ou sur des supports physiques. Dans son guide d’hygiène informatique, l'ANSSI met en garde contre cette pratique et souligne l'importance d'utiliser des solutions sécurisées pour protéger ces informations sensibles.
En effet, la complexité, la diversité ou l'utilisation peu fréquente de certains mots de passe peuvent inciter les utilisateurs à les stocker de manière non sécurisée, que ce soit sur des supports physiques (post-it) ou numériques (fichiers de mots de passe, envoi par mail à soi-même, stockage dans le navigateur…)
Or, ces supports sont des cibles de choix pour les cyberattaquants, notamment en cas de vol ou de partage accidentel du support de stockage.
C'est pourquoi l’ANSSI recommande fortement de protéger les mots de passe au moyen de solutions sécurisées, comme les coffres-forts numériques et le recours au chiffrement.
Pour ce faire, le coffre-fort numérique LockPass permet de centraliser et chiffrer les mots de passe, rendant leur récupération impossible même en cas de compromission du système. Le chiffrement garantit qu’un attaquant, même ayant accès à la base de données des mots de passe, ne pourra pas les lire sans la clef de déchiffrement appropriée.
Il est également important de protéger ces coffres-forts numériques avec un mot de passe maître complexe, ajoutant une couche de sécurité supplémentaire. Enfin, il faut éviter de stocker les mots de passe dans des environnements non sécurisés, comme des services cloud non protégés ou des supports amovibles, car ils peuvent être facilement compromis.
L'authentification simple, basée uniquement sur un mot de passe, présente un risque important, notamment si ce dernier est compromis. Pour renforcer la sécurité des accès, l'ANSSI recommande vivement le déploiement de l’authentification multifacteurs, en utilisant deux facteurs distincts parmi les suivants :
L'intégration de la MFA dans les processus d'authentification permet de limiter les risques en cas de fuite de mot de passe, car l'attaquant devra également compromettre un second facteur d'authentification pour réussir à se connecter. Il est particulièrement important d’exiger l'activation de la MFA sur les accès sensibles, ainsi que pour les connexions distantes, afin de protéger les données critiques et les systèmes..
Internet est un réseau où il est difficile d’obtenir des garanties sur le trajet des données envoyées. Il est donc possible qu’un attaquant intercepte les données transitant entre deux correspondants. Cela concerne les informations envoyées par mail ou stockées via des services cloud, qui sont particulièrement vulnérables aux attaques de type man-in-the-middle.
Afin de protéger ces informations sensibles, le guide d’hygiène informatique de l’ANSSI recommande de les chiffrer systématiquement avant leur transmission ou hébergement. Le chiffrement garantit la confidentialité des données, même en cas d’interception. Lorsque la transmission d’un secret (mot de passe, clef de chiffrement...) est nécessaire pour le déchiffrement, elle doit impérativement se faire via un canal sécurisé, distinct de celui utilisé pour envoyer les données.
Utiliser des protocoles robustes comme SSL/TLS pour chiffrer les données en transit est recommandé. En complément, il s’agit d’auditer régulièrement les infrastructures de chiffrement pour s’assurer qu’elles sont à jour et sécurisées contre les vulnérabilités connues, comme celles exploitées par les attaques POODLE ou Heartbleed. Ce contrôle permet de garantir que les données sont protégées contre les interceptions et les écoutes non autorisées.
Côté outils dédiés, les solutions de transferts sécurisés par chiffrement comme LockTransfer peuvent être utilisées pour sécuriser les échanges de données sensibles entre serveurs et utilisateurs, en veillant à ce que seuls les destinataires autorisés puissent accéder aux informations envoyées.
La messagerie électronique est l’un des vecteurs d'attaque les plus utilisés par les cybercriminels, notamment par le biais de phishing, de malwares, et d’arnaques au président. Comme évoqué plus haut, l’ANSSI recommande de former les collaborateurs pour reconnaître les signes d'un mail suspect. En cas de doute, il est nécessaire de vérifier l’authenticité du message via un autre canal de communication, comme le téléphone ou un SMS, avant de procéder à toute action.
Afin de garantir la confidentialité des informations sensibles échangées par mail, le chiffrement des messages doit être systématiquement activé. Le chiffrement TLS (Transport Layer Security) doit être mis en place pour sécuriser les échanges entre les serveurs de messagerie et entre les postes utilisateurs et les serveurs hébergeant les boîtes de réception. Par ailleurs, il est important de ne pas exposer directement les serveurs de messagerie sur Internet. Pour cela, un serveur relais dédié doit être utilisé pour l'envoi et la réception des messages, en coupure avec le réseau Internet, afin de protéger les données et réduire les risques d’attaque.
L’entreprise doit également s’assurer que son infrastructure de messagerie est protégée contre l’infiltration de fichiers malveillants. Cela peut être réalisé par la mise en place d’une solution d’analyse antivirus afin de filtrer les pièces jointes avant leur arrivée dans les boîtes des utilisateurs. Également, un service anti-spam doit être déployé pour éliminer les mails non sollicités, qu’ils soient malveillants ou non, et ainsi réduire la surface d'attaque.
Enfin, le guide de l'ANSSI recommande à l'administrateur de messagerie de mettre en place des mécanismes de vérification de l'authenticité des mails, ainsi qu'une configuration rigoureuse des enregistrements DNS publics associés à l'infrastructure de messagerie, notamment les enregistrements MX, SPF, DKIM et DMARC.
Ces dispositifs assurent que les messages reçus proviennent bien des expéditeurs légitimes et qu'ils n'ont pas été falsifiés ou envoyés depuis des sources malveillantes.
Le matériel mobile (ordinateurs portables, smartphones, clefs USB…) représente un risque particulier en cas de perte ou de vol, notamment dans les environnements professionnels où les déplacements fréquents exposent ces équipements à des compromissions physiques. L'ANSSI recommande donc de ne stocker que des données préalablement chiffrées sur tous les matériels nomades afin de garantir la confidentialité des informations. Seul un secret, comme un mot de passe, une carte à puce ou un code PIN, pourra permettre d'accéder à ces données.
Pour ce faire, des solutions de chiffrement de partition, d'archives ou de fichiers peuvent être mises en place en fonction des besoins. Toutefois, le chiffrement complet du disque est privilégié dans la mesure du possible, car il assure une protection globale des données.
Les solutions de chiffrement doivent être mises en œuvre dès la configuration initiale des appareils et intégrées dans la politique de gestion du matériel de l'entreprise. Ainsi, même en cas de vol d'un appareil, les données sensibles restent protégées et inaccessibles sans la clef de déchiffrement appropriée.
Une politique de sauvegarde des composants critiques est indispensable pour se protéger contre la perte de données, notamment face aux ransomwares. L'ANSSI recommande de définir clairement les données essentielles à sauvegarder, ainsi que de garantir la disponibilité de sauvegardes conservées en lieu sûr pour la continuité de l’activité après un incident de sécurité.
Il est donc fortement conseillé de formaliser une politique de sauvegarde régulièrement mise à jour. Cette politique a pour objectif de définir des exigences en matière de sauvegarde des informations, des logiciels et des systèmes. Elle doit inclure au minimum les éléments suivants :
Une fois cette politique de sauvegarde établie, il s’agit de planifier au moins une fois par an un exercice de restauration des données et de conserver une trace technique des résultats. Cela permet de vérifier la fiabilité du processus et de s'assurer que l'entreprise pourra redémarrer ses activités sans perte majeure en cas d'incident.
Les tests de restauration peuvent être réalisés de plusieurs manières :
Le guide de l’hygiène informatique recommande vivement de recourir à des services certifiés par l’ANSSI afin d’assurer un niveau de sécurité optimal. Ces solutions respectent des normes rigoureuses en matière de sécurité publique et assurent un environnement sécurisé pour l’hébergement et le traitement des données sensibles.
Les prestataires certifiés par l'ANSSI, qu’il s’agisse d’auditeurs en sécurité des systèmes d’information (PASSI3), de spécialistes de la réponse aux incidents de sécurité (PRIS4), ou encore de services cloud (SecNumCloud), sont soumis à des audits réguliers afin de maintenir leur conformité. Cela leur permet de fournir une protection renforcée contre les cybermenaces, tout en garantissant une gestion rigoureuse des infrastructures IT.
Par exemple, la suite LockSelf bénéficie de la certification ANSSI, garantissant un niveau de sécurité particulièrement élevé pour les entreprises qui l’adoptent, notamment dans la gestion de leurs données sensibles.
Au-delà des entités réglementées qui ont l’obligation d’utiliser des services ou solutions certifiées, l'ANSSI incite toutes les entreprises et administrations françaises à faire appel à ces solutions qualifiées.
Sources :
1 https://cyber.gouv.fr/publications/guide-dhygiene-informatique
2 https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-un-bon-mot-de-passe
4 https://cyber.gouv.fr/sites/default/files/2022-10/pris_referentiel_v2.0%5B1%5D.pdf