Cybersecurity

Guide d'hygiène informatique ANSSI : les 42 mesures et leur mise en œuvre en 2026

Guide d'hygiène informatique ANSSI : mise en œuvre pratique des 42 mesures, priorisation standard/renforcé, checklist et feuille de route 2026 en 3 vagues.

En une phrase. Le guide d’hygiène informatique de l’ANSSI recense 42 mesures réparties en 9 catégories, des mesures « standard » et d’autres « renforcé » ; en 2026, la difficulté n’est plus de connaître ces 42 mesures — largement documentées — mais de les prioriser et les déployer dans un ordre qui réduit le risque le plus vite possible, avec un budget et des équipes limités.

Nous avons déjà présenté l’ensemble du guide d’hygiène ANSSI et ses 42 mesures dans un article de référence. Celui-ci ne le répète pas : il traite la question opérationnelle que se posent les RSSI et DPO en 2026 — par quoi commencer, comment distinguer l’indispensable du confort, et comment construire une feuille de route réaliste sur douze mois. Car le guide ANSSI reste, depuis sa publication, le socle le plus cité des politiques de sécurité françaises, et une famille de mesures explicitement intégrée à l’article 21 de la directive NIS2 (directive (UE) 2022/2555).

Ce guide pratique propose une lecture par priorité : les 9 catégories du référentiel, une grille de priorisation quick win / structurant / renforcé, et une feuille de route en trois vagues.

Points clés

  • 42 mesures organisées en 9 catégories, de la sensibilisation à la supervision, avec un niveau « standard » ou « renforcé » selon la mesure.
  • Les mesures phares à traiter en priorité : cartographie du SI, inventaire des comptes et privilèges, authentification forte, séparation des usages d’administration, sauvegardes testées.
  • L’hygiène informatique est l’une des 10 familles de mesures de l’article 21 de NIS2 : ce guide est aussi un socle de conformité NIS2.
  • Une mise en œuvre réaliste se planifie en 3 vagues : fondamentaux, durcissement, supervision — pas en un seul chantier.
  • Le guide sert de base technique à la PSSI et à l’homologation de sécurité.

1. Les 9 catégories du guide d’hygiène ANSSI

Le guide structure ses 42 mesures en neuf grandes catégories, qui suivent une logique de maturité croissante : on ne peut pas contrôler les accès sans connaître son système d’information, et on ne peut pas superviser efficacement sans avoir d’abord sécurisé les postes et le réseau.

Catégorie Objectif Exemple de mesure Priorité
Sensibiliser et former Réduire l’erreur humaine Formation et sensibilisation régulières Quick win
Connaître le système d’information Avoir une base fiable Cartographie du SI, inventaire des comptes Fondamental
Authentifier et contrôler les accès Limiter les privilèges MFA, mots de passe robustes, revue des droits Fondamental
Sécuriser les postes Réduire la surface d’attaque Durcissement, antivirus, chiffrement Fondamental
Sécuriser le réseau Cloisonner Segmentation, pare-feu, filtrage Durcissement
Sécuriser l’administration Protéger les comptes à privilèges Séparation des usages d’administration Durcissement (renforcé)
Gérer le nomadisme Sécuriser le hors-site VPN, chiffrement des postes mobiles Durcissement
Maintenir le SI à jour Réduire les vulnérabilités connues Gestion des correctifs, veille CVE Fondamental
Superviser, auditer et réagir Détecter et répondre Journalisation, supervision, plan de réaction Supervision

2. Les mesures phares à traiter en priorité

Toutes les mesures ne se valent pas en urgence. Cinq d’entre elles conditionnent l’efficacité de toutes les autres et doivent être traitées avant le reste :

Cartographie et inventaire

Sans cartographie du système d’information à jour ni inventaire des comptes et des privilèges, aucune autre mesure ne peut être appliquée de façon fiable — on ne sécurise pas ce qu’on ne connaît pas. C’est la mesure fondatrice, y compris pour préparer une homologation de sécurité.

Authentification multifacteur et mots de passe robustes

L’authentification à facteurs multiples sur les accès sensibles (VPN, messagerie, consoles d’administration) réduit à elle seule une grande partie des compromissions par vol d’identifiants. C’est une mesure peu coûteuse à déployer et à fort impact — un quick win typique.

Séparation des usages d’administration

Un compte d’administration ne doit jamais servir à naviguer sur le web ou consulter des e-mails. Cette séparation stricte limite la propagation d’un poste compromis vers l’infrastructure critique ; c’est une mesure « renforcé » exigeante en organisation, mais déterminante.

Gestion des mises à jour et des vulnérabilités

La majorité des compromissions exploitent des failles déjà corrigées par un éditeur. Un processus structuré de veille et de déploiement des correctifs, y compris sur les équipements réseau souvent oubliés, reste l’une des mesures au meilleur retour sur investissement.

Sauvegardes régulières — et testées

Une sauvegarde qui n’a jamais été restaurée n’est pas une sauvegarde. La mesure ANSSI insiste sur le test de restauration, condition de survie face à un rançongiciel, et brique de base de tout plan de reprise d’activité.

3. Standard ou renforcé : comment arbitrer

Le guide distingue des mesures « standard », applicables à toute organisation, et des mesures « renforcé », réservées aux systèmes les plus exposés ou les plus critiques. L’erreur courante consiste à vouloir tout déployer au niveau renforcé dès la première année, au risque de saturer les équipes sans gagner en sécurité réelle. La bonne approche : appliquer systématiquement le niveau standard sur l’ensemble du périmètre, puis réserver le niveau renforcé aux systèmes qui traitent des données sensibles, aux comptes à privilèges et aux fonctions identifiées comme critiques dans la cartographie. Cette logique de proportionnalité rejoint directement celle attendue dans une PSSI bien construite.

4. Feuille de route en 3 vagues

Étaler la mise en œuvre sur douze mois, en trois vagues successives, est plus réaliste qu’un big bang :

  1. Vague 1 — Fondamentaux (mois 1 à 4). Cartographie du SI, inventaire des comptes et des privilèges, MFA sur les accès sensibles, politique de mots de passe, premier cycle de mise à jour des systèmes exposés.
  2. Vague 2 — Durcissement (mois 5 à 8). Séparation des usages d’administration, segmentation réseau, chiffrement des postes nomades, durcissement des configurations, revue des droits d’accès.
  3. Vague 3 — Supervision (mois 9 à 12). Activation et centralisation de la journalisation, supervision continue, tests d’intrusion ciblés via un prestataire PASSI, formalisation du plan de réaction aux incidents.

Cette séquence n’est pas arbitraire : elle suit la logique même du guide ANSSI, où chaque catégorie s’appuie sur celles qui précèdent, et elle correspond au périmètre de sécurité attendu par l’article 32 du RGPD pour les données personnelles.

5. Un socle de conformité NIS2 et de PSSI

L’hygiène informatique n’est pas un exercice isolé : elle constitue l’une des dix familles de mesures listées à l’article 21 de la directive NIS2, aux côtés de la gestion des risques, de la continuité d’activité ou de la sécurité de la chaîne d’approvisionnement. Une entité essentielle ou importante qui a déployé les 42 mesures dispose donc déjà d’une bonne partie du socle technique attendu par le régulateur. C’est aussi la matière première d’une politique de sécurité des systèmes d’information (PSSI) : les 42 mesures en constituent les règles, la PSSI en formalise la gouvernance et la portée.

Pour les collectivités et les organismes publics, le déploiement des 42 mesures se combine utilement avec la démarche outillée de MonServiceSécurisé, qui aligne son questionnaire d’auto-évaluation sur ces mêmes bonnes pratiques ANSSI.

Piloter cette feuille de route mesure par mesure dans un tableur devient vite ingérable dès qu’il faut croiser priorité, propriétaire de la mesure et échéance. Legiscope permet de structurer ce suivi et de le relier directement au registre des traitements et à l’analyse de risque RGPD, plutôt que de gérer deux référentiels en parallèle.

FAQ

Faut-il déployer les 42 mesures dans l’ordre du guide ANSSI ?

Non, l’ordre du guide est thématique, pas chronologique. La priorisation opérationnelle doit suivre la logique de dépendance : connaître son système avant de le sécuriser, sécuriser les postes et les accès avant de superviser. La feuille de route en 3 vagues proposée ici (fondamentaux, durcissement, supervision) reflète cet ordre de dépendance plutôt que l’ordre de présentation du document.

Quelle est la différence entre une mesure « standard » et une mesure « renforcé » ?

Une mesure standard s’applique à toute organisation, quel que soit son niveau d’exposition. Une mesure renforcée cible les systèmes les plus sensibles ou les plus critiques identifiés dans la cartographie — par exemple un contrôle d’accès renforcé sur les comptes d’administration. La bonne pratique consiste à généraliser le niveau standard, puis à réserver le renforcé aux périmètres à plus fort enjeu.

Le guide d’hygiène ANSSI suffit-il pour être conforme à NIS2 ?

Non, mais il en couvre une part significative : l’hygiène informatique n’est que l’une des dix familles de mesures de l’article 21 de NIS2. Une entité essentielle ou importante doit aussi traiter la gouvernance, la gestion des risques fournisseurs, la continuité d’activité et la notification d’incidents — voir notre guide de transposition de NIS2 en France pour le périmètre complet.

Conclusion

Les 42 mesures du guide d’hygiène ANSSI ne sont pas un catalogue à cocher dans l’ordre : c’est un référentiel à prioriser selon la dépendance réelle entre mesures et selon le niveau d’exposition de chaque système. En 2026, la feuille de route qui fonctionne commence toujours par la connaissance du système d’information et le contrôle des accès, avant de durcir puis de superviser. Cette approche progressive, documentée, transforme un guide technique dense en plan d’action tenable sur douze mois — et fournit, au passage, une bonne partie du socle attendu par NIS2 et par l’article 32 du RGPD.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →