Version et Date : Version 2.0 - Septembre 2017

Le PDF occupe 4,6 millions d'octets. Inutile de préciser que sa lecture et surtout sa rétention, pour un humain normal n'est pas des plus aisées.

En revanche, pour la dernière et la plus puissante les intelligences artificielles de Google, j'ai nommé Gemini 2.5 Pro, c'est un jeu d'enfant.

Je précise que Gemini 2.5 Pro est accessible à tout un chacun sur le site de Google, à cette adresse.

Vous trouverez donc ci-après un excellent résumé de ce très volumineux, mais très utile document.

A cet égard, s'il y a peu de hackers de génie, en revanche les systèmes informatiques quasiment dénués de toute protection véritable, sont légion 🤔.

La meilleure défense, c'est l'attaque, dit-on souvent. Peut-être, il n'empêche qu'une bonne défense est encore le meilleur moyen de se prévenir des attaques. De plus, Avec tous les moyens dont on dispose aujourd'hui, dont les intelligences artificielles, tous les possesseurs de systèmes informatiques ont désormais les moyens de se défendre.

Objectif global :

Le guide propose un ensemble de mesures de sécurité pratiques et fondamentales destinées à améliorer significativement la posture de sécurité du système d'information (SI) d'une entité. Il découle du constat de l'ANSSI selon lequel l'application de ces pratiques d'« hygiène » de base aurait pu prévenir une grande partie des cyberattaques auxquelles elle a dû répondre. La sécurité est présentée comme essentielle, liée aux enjeux économiques, stratégiques et d'image.

Public cible :

Entités publiques ou privées dotées d'une direction des systèmes d'information (DSI) ou de professionnels dont la mission est de veiller à leur sécurité.

Structure :

Le guide est organisé en 10 sections principales (I à X), couvrant différents domaines de la sécurité informatique. Ces sections énumèrent les 42 mesures de sécurité spécifiques. Le document comprend également un « Avant-Propos », un « Mode d'Emploi du Guide », un « Outil de Suivi » et une « Bibliographie ».

Domaines clés couverts par les 10 sections :
 

I - Sensibiliser et Former : Souligne l'importance de former les équipes opérationnelles et les utilisateurs aux bonnes pratiques de sécurité informatique.
 

II - Connaître le Système d'Information : Met l'accent sur l'identification des informations sensibles et des serveurs critiques, le maintien d'un schéma du réseau et la tenue d'un inventaire exhaustif des comptes privilégiés.
 

III - Authentifier et Contrôler les Accès : Détaille les règles pour identifier les utilisateurs, distinguer les rôles (utilisateur/administrateur), attribuer les droits appropriés, définir et vérifier les politiques de mots de passe, protéger les mots de passe stockés, changer les éléments d'authentification par défaut et privilégier l'authentification forte.
 

IV - Sécuriser les Postes : Couvre la mise en place d'un niveau de sécurité minimal sur l'ensemble du parc informatique (postes de travail, serveurs, etc.), la protection contre les menaces relatives aux supports amovibles, l'utilisation d'un outil de gestion centralisée, l'activation des pare-feux locaux et le chiffrement des données sensibles sur les postes.
 

V - Sécuriser le Réseau : Recommande de segmenter le réseau avec un cloisonnement entre les zones, d'assurer la sécurité des réseaux d'accès Wi-Fi, d'utiliser des protocoles réseau sécurisés, de mettre en place une passerelle d'accès sécurisé à Internet, de protéger la messagerie professionnelle, de sécuriser les interconnexions dédiées avec les partenaires et de contrôler l'accès physique aux salles serveurs et locaux techniques.
 

VI - Sécuriser l'Administration : Se concentre sur l'interdiction de l'accès à Internet depuis les postes/serveurs d'administration, l'utilisation d'un réseau dédié et cloisonné pour l'administration et la limitation des droits d'administration sur les postes de travail.
 

VII - Gérer le Nomadisme : Propose des mesures pour la sécurisation physique des terminaux nomades, le chiffrement des données sensibles sur le matériel potentiellement perdable, la sécurisation de la connexion réseau des postes utilisés en situation de nomadisme et l'adoption de politiques de sécurité dédiées aux terminaux mobiles (smartphones, tablettes).
 

VIII - Maintenir le Système d'Information à Jour : Met en évidence la nécessité critique d'une politique de mise à jour régulière des composants du SI et d'anticiper la fin de maintenance des logiciels et systèmes.
 

IX - Superviser, Auditer, Réagir : Aborde l'activation et la configuration des journaux sur les composants les plus importants, la définition et l'application d'une politique de sauvegarde des composants critiques, la réalisation de contrôles et audits de sécurité réguliers, la désignation d'un référent sécurité SI et la définition d'une procédure de gestion des incidents de sécurité.

X - Pour Aller Plus Loin : Suggère de mener une analyse de risques formelle et de privilégier l'usage de produits et services qualifiés par l'ANSSI.

Mode d'Emploi du Guide :

Le guide propose 42 règles de sécurité simples. Il recommande de l'utiliser comme base pour un plan d'actions :

1.  Évaluation : Utiliser l'outil de suivi pour établir un état des lieux pour chaque règle (vérifier si les niveaux "Standard" et "Renforcé" sont atteints).

2.  Diagnostic : En cas de manque de connaissance, solliciter l'aide d'un spécialiste pour un diagnostic.

3.  Priorisation : Prioriser l'atteinte du niveau "Standard" pour les règles où il n'est pas encore atteint.

4.  Renforcement : Une fois le niveau "Standard" atteint partout, définir un nouveau plan visant le niveau "Renforcé" pour les règles concernées.

Niveaux de Sécurité (Standard vs. Renforcé) :

Chaque mesure est décrite à un niveau "Standard", représentant les pratiques essentielles d'hygiène de sécurité. Certaines mesures incluent également 

un 

Niveau "Renforcé", proposant des actions supplémentaires ou plus strictes pour les entités ayant des exigences de sécurité plus élevées ou gérant des données très sensibles.
 

Outil de Suivi :

Une table est fournie, listant les 42 mesures par section, avec des colonnes pour marquer si les niveaux "Standard" et "Renforcé" ont été atteints.

Voici la liste des 42 mesures :
 

I - Sensibiliser et former

1.  Former les équipes opérationnelles à la sécurité des systèmes d'information

2.  Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique

3.  Maîtriser les risques de l'infogérance
 

II - Connaître le système d'information

4.  Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau

5.  Disposer d'un inventaire exhaustif des comptes privilégiés et le maintenir à jour

6.  Organiser les procédures d'arrivée, de départ et de changement de fonction des utilisateurs

7.  Autoriser la connexion au réseau de l'entité aux seuls équipements maîtrisés
 

III - Authentifier et contrôler les accès

8.  Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur

9.  Attribuer les bons droits sur les ressources sensibles du système d'information

10. Définir et vérifier des règles de choix et de dimensionnement des mots de passe

11. Protéger les mots de passe stockés sur les systèmes

12. Changer les éléments d'authentification par défaut sur les équipements et services

13. Privilégier lorsque c'est possible une authentification forte
 

IV - Sécuriser les postes

14. Mettre en place un niveau de sécurité minimal sur l'ensemble du parc informatique

15. Se protéger des menaces relatives à l'utilisation de supports amovibles

16. Utiliser un outil de gestion centralisée afin d'homogénéiser les politiques de sécurité

17. Activer et configurer le pare-feu local des postes de travail

18. Chiffrer les données sensibles transmises par voie Internet
 

V - Sécuriser le réseau

19. Segmenter le réseau et mettre en place un cloisonnement entre ces zones

20. S'assurer de la sécurité des réseaux d'accès Wi-Fi et de la séparation des usages

21. Utiliser des protocoles sécurisés dès qu'ils existent

22. Mettre en place une passerelle d'accès sécurisé à Internet

23. Cloisonner les services visibles depuis Internet du reste du système d'information

24. Protéger sa messagerie professionnelle

25. Sécuriser les interconnexions réseau dédiées avec les partenaires

26. Contrôler et protéger l'accès aux salles serveurs et aux locaux techniques
 

VI - Sécuriser l'administration

27. Interdire l'accès à Internet depuis les postes ou serveurs utilisés pour l'administration du système d'information

28. Utiliser un réseau dédié et cloisonné pour l'administration du système d'information

29. Limiter au strict besoin opérationnel les droits d'administration sur les postes de travail
 

VII - Gérer le nomadisme

30. Prendre des mesures de sécurisation physique des terminaux nomades

31. Chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable

32. Sécuriser la connexion réseau des postes utilisés en situation de nomadisme

33. Adopter des politiques de sécurité dédiées aux terminaux mobiles
 

VIII - Maintenir à jour le système d'information

34. Définir une politique de mise à jour des composants du système d'information

35. Anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles
 

IX - Superviser, auditer, réagir

36. Activer et configurer les journaux des composants les plus importants

37. Définir et appliquer une politique de sauvegarde des composants critiques

38. Procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées

39. Désigner un référent en sécurité des systèmes d'information et le faire connaître auprès du personnel

40. Définir une procédure de gestion des incidents de sécurité
 

X - Pour aller plus loin

41. Mener une analyse de risques formelle

42. Privilégier l'usage de produits et de services qualifiés par l'ANSSI
 

Bibliographie :
 

Le guide fait référence à de nombreuses notes techniques et guides spécifiques de l'ANSSI qui offrent des recommandations plus détaillées sur des sujets particuliers (comme les mots de passe, Active Directory, Wi-Fi, IPsec, etc.).
 

En résumé, le Guide d'Hygiène Informatique de l'ANSSI est un document fondamental proposant 42 mesures concrètes et priorisées couvrant divers domaines de la sécurité informatique. Il sert de feuille de route pratique pour les entités de toutes tailles afin d'établir ou de renforcer leur défense de base contre les cybermenaces, avec des recommandations différenciées pour les pratiques essentielles "Standard" et les niveaux plus avancés "Renforcé".
 

L’opinion  de Gemini 2.5 pro sur cette version, qui date tout de même de 2017
 

Oui, absolument. Le "Guide d'Hygiène Informatique" de l'ANSSI datant de 2017, même s'il n'est pas la publication la plus récente, reste très utile et pertinent en 2025.
 

Voici pourquoi :
 

1.  Il couvre les fondamentaux : Le guide traite explicitement de l'hygiène informatique, c'est-à-dire des mesures de sécurité de base, essentielles et souvent intemporelles. Des sujets comme la sensibilisation des utilisateurs, la gestion des accès et des mots de passe, le maintien à jour des systèmes (patching), les sauvegardes, la segmentation réseau ou la gestion des incidents sont des piliers de la cybersécurité qui restent valables, voire plus critiques que jamais, quels que soient les développements technologiques ou l'évolution des menaces.
 

2.  La plupart des attaques exploitent toujours les failles de base : Malgré l'émergence de menaces sophistiquées, une grande partie des cyber attaques réussies (phishing, rançongiciels, intrusions opportunistes) tirent parti de l'absence ou de la faiblesse de ces mesures d'hygiène fondamentales (mots de passe faibles ou réutilisés, systèmes non patchés, manque de sensibilisation, absence de sauvegardes testées). Le guide vise précisément à combler ces lacunes basiques.
 

3.  Il établit un socle nécessaire : Ces 42 mesures constituent une base solide sur laquelle bâtir une sécurité plus avancée. Sans cette fondation d'hygiène, des investissements dans des technologies de pointe (comme l'IA pour la détection, le Zero Trust complet, etc.) perdront une grande partie de leur efficacité.
 

4.  ANSSI est une référence : Les principes et les recommandations de l'ANSSI sont reconnus pour leur sérieux et leur pertinence dans le contexte français. Même si des guides plus récents existent pour des sujets spécifiques (cloud, IA, IoT, etc.), les principes de ce guide de 2017 sont toujours en accord avec la doctrine générale de l'agence.
 

5.  Il fournit une feuille de route claire : Les 42 mesures, structurées par domaine, offrent une approche systématique pour évaluer et améliorer la sécurité, particulièrement utile pour les entités qui débutent ou qui veulent s'assurer qu'elles ne négligent pas l'essentiel. L'outil de suivi est un excellent moyen pratique de faire le point.
 

Cependant, il est important de noter que ce guide de 2017 ne peut pas suffire à lui seul en 2025. Il doit être complété par :
 

Les publications plus récentes de l'ANSSI : L'agence publie régulièrement des notes techniques, des guides et des recommandations sur les menaces émergentes, les nouvelles technologies (cloud, IoT, 5G, IA) et les réglementations (NIS2, évolution de la PDIS, etc.).
 

L'adaptation au contexte actuel : Le guide donne des principes, mais leur mise en œuvre technique doit tenir compte des technologies utilisées aujourd'hui (par exemple, la sécurisation du nomadisme ou des interconnexions doit s'adapter au télétravail généralisé et aux architectures cloud/hybrides).
 

La prise en compte des menaces actuelles : Si le guide est bon pour prévenir les attaques "classiques" exploitant des failles connues, il ne détaillera pas les méthodes de défense spécifiques contre les dernières techniques de rançongiciels, les attaques sur la chaîne d'approvisionnement, ou l'utilisation de l'IA par les attaquants.
 

En conclusion :
 

Oui, le guide de 2017 est encore extrêmement utile car il rappelle et détaille les mesures d'hygiène informatique qui constituent le socle indispensable de toute politique de cyber sécurité. Il est une excellente référence pour s'assurer que les bases sont bien en place. 

Cependant, pour une posture de sécurité complète et adaptée aux enjeux de 2025, il doit impérativement être utilisé comme une fondation à compléter avec les recommandations plus récentes de l'ANSSI et une analyse des risques spécifiques liés aux technologies et menaces actuelles.