Cybersecurity

Durcissement Windows et Linux : guides ANSSI 2026

Durcissement systèmes selon ANSSI : Windows 10/11, Active Directory, Linux. Recommandations PA-014, PA-022, PA-088. Hardening pour conformité NIS 2.

TD
Dr. Thiébaut Devergranne
3 juin 20265 min read

En une phrase. Le durcissement (hardening) consiste à réduire la surface d’attaque d’un système en supprimant services inutiles, restreignant droits et appliquant configurations sécurisées. L’ANSSI publie des guides de référence : PA-022 (Windows + AD), PA-014 (Linux/Unix), PA-088 (Office 2016+), PA-080 (Windows 10) et le tout récent « Sécurité Windows 11 » (2024). Sans durcissement, 80 % des compromissions exploitent une configuration par défaut (rapport ENISA Threat Landscape 2024).

Le durcissement est une exigence implicite de l’article 32 RGPD et explicite de NIS 2 article 21 §2(e-i). L’ANSSI fournit des guides librement téléchargeables et opposables en audit.

Pour approfondir : PSSI ANSSI, PCA ANSSI, cartographie SI.

Points clés

  • L’ANSSI publie 15+ guides de durcissement librement téléchargeables.
  • CIS Benchmarks et STIG DISA sont complémentaires et acceptés en audit.
  • Le durcissement AD doit éliminer Kerberoasting, AS-REP roasting, et délégation non contrainte.
  • Sur Linux, AppArmor/SELinux + sysctl + auditd constituent le minimum.
  • Windows 11 24H2 active par défaut Smart App Control, MDAG, et HVCI.

1. Guides ANSSI de référence

Guide Périmètre Version
PA-014 Linux/Unix 2014, toujours référent
PA-022 Journalisation Windows AD v2.0 déc. 2022
PA-080 Configuration Windows 10 v2.0 fév. 2021
PA-088 Office 2016+ v1.0 2018
Note tech. Active Directory sécurisée mai 2020
Guide Sécurité Windows 11 nov. 2024
PA-018 Téléphonie IP 2014
PA-031 macOS 2019

2. Durcissement Windows : top 15 mesures

D’après PA-080 et le guide Windows 11 2024 :

  1. BitLocker sur tout poste (TPM 2.0 + PIN)
  2. Credential Guard activé (LSASS isolé en VM)
  3. HVCI / Memory Integrity activé
  4. Smart App Control (Windows 11 24H2)
  5. Désactivation SMBv1, NTLMv1
  6. LSA Protection (RunAsPPL)
  7. AppLocker ou WDAC pour le whitelisting
  8. Désactivation PowerShell v2, WinRM HTTP
  9. Politique BitLocker avec TPM + PIN + clé de récupération AD
  10. Windows Defender ASR rules activées (15 règles)
  11. Tamper Protection Defender
  12. UAC niveau 4 (toujours notifier)
  13. Pare-feu activé profils privé/public
  14. Suppression des comptes locaux non nécessaires
  15. WSUS / Intune pour patching < 30 jours

3. Active Directory : 10 mesures critiques

L’ANSSI publie depuis mai 2020 « Recommandations relatives à l’administration sécurisée d’Active Directory ». Mesures prioritaires :

  1. Modèle Tier 0/1/2 (séparation des comptes administration)
  2. PAW (Privileged Access Workstations) pour les admins
  3. Protected Users group pour les admins Tier 0
  4. LAPS (Local Admin Password Solution) sur tous les postes
  5. Désactivation NTLM ou audit complet
  6. Suppression délégation non contrainte (Unconstrained Delegation)
  7. Comptes service avec mots de passe 25+ chars ou gMSA
  8. Audit avancé (PA-022) activé
  9. Pas de session interactive admin domaine sur postes utilisateur
  10. Sauvegarde AD hors ligne quotidienne (offline backup)

Outil de diagnostic : PingCastle (gratuit, score AD) et ORADAD (ANSSI).

4. Durcissement Linux : checklist PA-014

Mesures critiques :

Mesure Commande/outil
SELinux/AppArmor enforcing setenforce 1 / aa-enforce
sysctl durci (kernel.dmesg_restrict=1, kernel.kptr_restrict=2) /etc/sysctl.d/99-anssi.conf
SSH : pas de root, clés uniquement, port non standard /etc/ssh/sshd_config
Pare-feu nftables/iptables actif nft list ruleset
auditd activé avec règles ANSSI /etc/audit/rules.d/
Services désactivés (cups, avahi, bluetooth si serveur) systemctl disable
Comptes système nologin usermod -s /sbin/nologin
Mots de passe : PAM pwquality (12+ chars) /etc/security/pwquality.conf
/tmp, /var/tmp en tmpfs noexec,nosuid /etc/fstab
Chiffrement disque LUKS cryptsetup

5. Active Directory : attaques courantes à bloquer

Attaque Contre-mesure
Kerberoasting Mots de passe service 25+ chars, gMSA
AS-REP Roasting DONT_REQ_PREAUTH désactivé partout
Pass-the-Hash Credential Guard, LAPS, tiering
DCSync Audit replicating directory changes
Golden Ticket Rotation krbtgt 2x à 12h d’intervalle
Skeleton Key LSA Protection, EDR
Zerologon (CVE-2020-1472) Patch + enforce mode
PrintNightmare (CVE-2021-34527) Désactiver spouleur sur DC

6. Patch management : SLA NIS 2

L’ANSSI et l’ENISA convergent sur les délais :

Criticité CVSS Délai patch
Critique (≥ 9.0, exploit public) 48h
Critique (≥ 9.0) 7 jours
Élevée (7.0-8.9) 30 jours
Modérée (4.0-6.9) 90 jours
Faible (< 4.0) Cycle normal

Pour NIS 2, un délai > 30 jours sur patch critique est un non-conformité majeure.

7. Surface réseau : exposition Internet

Règle ANSSI : « Toute exposition Internet doit être justifiée. »

Audit Shodan / Censys mensuel pour identifier :

  • Ports RDP (3389) exposés (vecteur ransomware #1)
  • SMB (445) exposés
  • Bases de données (MongoDB 27017, Elasticsearch 9200) sans auth
  • Interfaces admin (cPanel, vSphere, IPMI) accessibles
  • VPN sans MFA

Le NCSC britannique et l’ANSSI publient annuellement les statistiques : 30 % des ransomwares exploitent un RDP exposé sans MFA.

8. EDR/XDR : socle moderne

Au-delà de l’antivirus, l’EDR (Endpoint Detection & Response) est attendu pour les entités NIS 2 :

Type entité Solution attendue
PME Antivirus + EDR de base (Microsoft Defender for Endpoint P1)
ETI EDR managé (MDR)
Grand compte / OIV XDR + SOC 24/7

Solutions qualifiées ANSSI Détection : Gatewatcher, Sekoia.io, Thales Cybels.

9. Office et bureautique

PA-088 et guides Microsoft :

  • Macros bloquées par défaut depuis Internet (Office 2016+, GPO)
  • Protected View activé
  • Désactivation OLE objects non signés
  • Application Guard (Office MDAG) sur Windows 11 Pro/Enterprise
  • SmartScreen pour téléchargements

Le phishing avec pièce jointe Office reste le vecteur #1 d’intrusion initiale (45 % selon Verizon DBIR 2024).

10. Hardening cloud (IaaS)

Pour AWS, Azure, GCP :

  • CIS Benchmarks cloud (CIS AWS Foundations, CIS Azure, CIS GCP)
  • Comptes service avec privilèges minimaux (least privilege)
  • MFA obligatoire pour les root accounts
  • Chiffrement par défaut (S3, EBS, RDS)
  • CloudTrail / Activity Log centralisés
  • Security Hub / Defender for Cloud activés
  • Pas de bucket public par défaut

L’attaque Capital One 2019 (100 M de comptes) : SSRF + IAM mal configuré.

11. Outils d’audit et benchmark

Gratuits :

  • CIS-CAT Lite (audit CIS Benchmarks)
  • OpenSCAP (audit SCAP Linux)
  • PingCastle (audit AD)
  • PurpleKnight (audit AD Semperis)
  • Lynis (audit Linux)
  • DISA STIG Viewer

Commerciaux : Tenable Nessus, Qualys, Rapid7 InsightVM, Tanium.

12. Mise en œuvre : 90-jours-plan

Plan type :

  • J0-30 : Inventaire, baseline actuelle, gap analysis
  • J30-60 : Pilote sur 10 % du parc, ajustements
  • J60-90 : Déploiement progressif, MAJ GPO/Ansible
  • J90+ : Surveillance continue, revue trimestrielle

Outils déploiement : GPO/Intune (Windows), Ansible/Puppet (Linux), Terraform (cloud).

FAQ

Quelle différence entre CIS Benchmarks et guides ANSSI ?

CIS Benchmarks sont internationaux (Center for Internet Security) avec des niveaux (L1, L2, STIG). Les guides ANSSI sont français, orientés réglementaire (NIS 2, LPM, RGPD). Les deux sont complémentaires et acceptés par les auditeurs ; CIS plus prescriptif, ANSSI plus contextualisé.

Faut-il SELinux ou AppArmor sur tous les serveurs Linux ?

Oui pour les serveurs exposés Internet ou hébergeant des données sensibles. AppArmor (Ubuntu, Debian) plus simple, SELinux (RHEL, Rocky) plus fin. Mode enforcing obligatoire, pas permissive. Désactiver l’un des deux est une non-conformité audit.

Quel délai pour patcher une vulnérabilité critique ?

48h si exploit public (KEV CISA), 7 jours sinon pour CVSS ≥ 9.0. 30 jours pour CVSS 7.0-8.9. L’ANSSI et ENISA convergent. NIS 2 sanctionne un retard > 30 jours sur critique. La cyberassurance refuse souvent la prise en charge si patch disponible non appliqué.

Quelle priorité durcissement pour une PME ?

Top 5 : (1) MFA partout (Office 365, VPN, admin), (2) EDR sur tous les postes, (3) Sauvegarde 3-2-1 testée, (4) Patches < 30 jours, (5) Sensibilisation phishing trimestrielle. Ces 5 mesures bloquent 80 % des attaques selon retours CERT-FR.

LAPS est-il toujours d’actualité ?

Oui, Windows LAPS intégré nativement à Windows depuis avril 2023 (KB5025221) remplace le LAPS legacy. Indispensable pour gérer le mot de passe admin local de chaque poste (unique, rotation auto, stocké dans AD). Bloque la propagation latérale post-compromission.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →