Les 42 recommandations de l’ANSSI

Introduction

Les 42 recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

L’ANSSI est l’autorité nationale française en cybersécurité. Ses guides sont la référence pour les administrations et OIV.

…​

L’ANSSI, autorité française en cybersécurité, a publié un guide comprenant 42 recommandations essentielles …​

…​

pour renforcer la sécurité des systèmes d’information (SI).

…​

Ces recommandations sont classées selon trois objectifs principaux :

  • Anticiper

  • Protéger

  • Détecter et réagir

1. Anticiper

L’objectif est de préparer une stratégie globale pour prévenir les incidents de sécurité.

Gouvernance et organisation

  • Nommer un RSSI (Responsable de la Sécurité des Systèmes d’Information) :

Assigner un responsable dédié à la sécurité.

Élaborer une politique de sécurité des SI (PSSI) :

  • Formaliser des règles pour protéger les SI.

Organiser la cybersécurité :

Définir des rôles, responsabilités, et processus.

Évaluer régulièrement les risques :

Identifier les vulnérabilités et menaces.

Mettre en place un plan de gestion de crise :

Prévoir des actions en cas de cyberattaque.

Former et sensibiliser les utilisateurs :

  • Faire de la cybersécurité une culture d’entreprise.

  • Inventaire et maîtrise des actifs

Maintenir un inventaire des actifs :

Identifier et documenter tous les équipements et logiciels.

Maîtriser les dépendances externes :

Superviser les relations avec les fournisseurs de services tiers.

Sécuriser la chaîne d’approvisionnement :

Exiger des garanties de sécurité des prestataires.

2. Protéger

L’objectif est de mettre en place des mesures pour réduire les vulnérabilités et prévenir les incidents.

Sécurité des équipements et réseaux

Segmenter le réseau :

  • Séparer les systèmes critiques des autres environnements.

Limiter les connexions réseau non nécessaires :

  • Réduire la surface d’attaque.

Sécuriser les communications réseau :

  • Utiliser des protocoles sécurisés (TLS, VPN).

Configurer les équipements réseau en mode sécurisé :

  • Restreindre les fonctionnalités inutiles.

Limiter l’exposition sur Internet :

  • Restreindre les accès aux systèmes critiques.

Sécurité des systèmes et logiciels

Gérer les droits d’accès avec le principe du moindre privilège :

Ne donner que les permissions strictement nécessaires.

Maîtriser les comptes à privilèges :

Protéger et surveiller les comptes administrateurs.

Mettre à jour régulièrement les logiciels :

Corriger les vulnérabilités via des patchs.

Superviser l’installation des logiciels :

  • Contrôler les logiciels autorisés.

Déployer un antivirus à jour :

Assurer une protection contre les malwares.

Désactiver les services inutiles :

  • Réduire la surface d’attaque.

Configurer les journaux d’activité :

Activer la journalisation pour identifier les incidents.

Protection des données

Sauvegarder régulièrement les données :

Assurer la restauration des données en cas d’incident.

Chiffrer les données sensibles :

Utiliser des algorithmes robustes pour protéger les données.

Protéger les données en transit :

Sécuriser les communications avec TLS ou IPsec.

Limiter les copies de données sensibles :

Réduire les risques de fuite.

Contrôle des accès

Renforcer l’authentification :

Utiliser une authentification forte (MFA).

Surveiller les accès aux systèmes sensibles :

Mettre en place une supervision proactive.

Contrôler les accès physiques :

Sécuriser l’accès aux salles serveurs et aux équipements critiques.

3. Détecter et réagir

L’objectif est d’être capable de détecter rapidement un incident de sécurité et d’y répondre efficacement.

Supervision et journalisation

Collecter et analyser les journaux d’activité :

Automatiser l’analyse des logs pour détecter les anomalies.

Superviser les réseaux et les systèmes :

Utiliser des outils comme un SIEM.

Mettre en place des systèmes de détection d’intrusion (IDS) :

Identifier les comportements suspects sur le réseau.

Protéger les journaux d’activité :

Empêcher leur altération par des attaquants.

Gestion des incidents

Établir une procédure de gestion des incidents :

Préparer des processus clairs pour traiter les incidents.

Tester régulièrement les plans de réponse :

Simuler des incidents pour évaluer la réactivité.

Nommer une cellule de gestion des crises :

Rassembler des experts pour coordonner la réponse.

Alerter l’ANSSI en cas d’incident majeur :

Tirer parti du soutien de l’ANSSI en cas d’attaque grave.

4. Bonnes pratiques transverses

Sécuriser les comptes email :

Utiliser une authentification forte et des protocoles sécurisés.

Limiter l’usage des outils personnels :

Restreindre l’utilisation des appareils non sécurisés.

Sensibiliser les partenaires et fournisseurs :

Promouvoir des standards de cybersécurité.

Vérifier la sécurité des contrats externes :

Inclure des clauses de sécurité dans les contrats avec les prestataires.

Maintenir la veille technologique et sécuritaire :

Se tenir informé des nouvelles menaces.

Évaluer régulièrement la sécurité des systèmes :

Faire des audits réguliers.

Pourquoi ces recommandations sont-elles importantes ?

Réduction des risques :

Limite l’impact des cyberattaques.

Conformité réglementaire :

Se conforme au RGPD et autres normes.

Résilience accrue :

Capacité à réagir rapidement en cas d’incident.

Confiance des clients et partenaires :

Une sécurité renforcée améliore la réputation.

Ressources utiles

Site officiel de l’ANSSI :

SSI.GOUV.FR

Guide des bonnes pratiques :

Téléchargeable sur le site de l’ANSSI.

Logiciels recommandés :

SIEM :

Splunk, Elastic Security.

Outils d’analyse des journaux :

Graylog.

NIS, NIS2, NIST, RGS — frameworks et réglementations

L’ANSSI s’inscrit dans un écosystème international de réglementations et de frameworks.

NIS et NIST sont souvent confondus mais sont deux mondes différents : NIS est une directive européenne (obligatoire), NIST est un framework américain (référentiel volontaire).

NIS — Directive européenne

NIS 1 (2016)

  • Network and Information Security Directive

  • Première directive européenne sur la cybersécurité

  • Cible les OSE (Opérateurs de Services Essentiels) : énergie, transport, santé, finance, eau

  • Transposée en France en 2018 — l’ANSSI désigne les OSE et contrôle leur conformité

NIS 2 (2023, applicable octobre 2024)

NIS 2 élargit drastiquement le périmètre — 160 000 entités concernées en Europe (vs 15 000 sous NIS 1).

  • Entités essentielles (EE) — secteurs critiques + grandes entreprises

  • Entités importantes (EI) — secteurs élargis (alimentaire, déchets, espace, postes)

  • Sanctions : jusqu’à 10 M€ ou 2 % du CA mondial

  • Responsabilité personnelle des dirigeants

  • Notification d’incident sous 24 h (alerte) puis 72 h (rapport)

NIST — Framework américain

National Institute of Standards and Technology

  • Agence américaine du Département du Commerce

  • Produit des référentiels (pas obligatoires en soi mais incontournables)

  • Adoptés mondialement comme bonnes pratiques de référence

Principaux référentiels NIST

RéférentielDescription

NIST CSF

Cybersecurity Framework — 5 fonctions : Identify, Protect, Detect, Respond, Recover

NIST 800-53

Catalogue de contrôles de sécurité (très détaillé)

NIST 800-171

Protection des informations contrôlées non classifiées (CUI)

NIST 800-61

Guide de gestion des incidents

NIST 800-86

Forensique numérique

NIST SP 800-207

Architecture Zero Trust

RGS — Référentiel Général de Sécurité (France)

Cadre légal

  • Imposé par l'ordonnance n° 2005-1516

  • Applicable aux autorités administratives et leurs prestataires

  • PSCo (Prestataires de Services de Confiance) qualifiés ANSSI

  • Aligne avec les normes européennes (eIDAS)

Niveaux de sécurité

NiveauUsage

Standard

Données usuelles

Renforcé

Données sensibles

Élevé

Données critiques (santé, défense)

Le RGS couvre : authentification, signature électronique, horodatage, archivage électronique — la base de la confiance numérique dans l’administration.

RSSI — Responsable de la Sécurité des SI

Le RSSI est l’équivalent français du CISO (Chief Information Security Officer). NIS 2 rend sa désignation obligatoire pour les entités concernées.

Missions du RSSI

  • Définir la PSSI (Politique de Sécurité des SI)

  • Évaluer les risques (analyse EBIOS RM)

  • Mettre en œuvre les contrôles de sécurité

  • Gérer les incidents et la cellule de crise

  • Sensibiliser l’organisation

  • Garantir la conformité (RGPD, NIS 2, ISO 27001)

  • Reporter à la direction et à l’ANSSI si OIV/OSE/EE

RSSI — Compétences & rattachement

Compétences clés

  • Technique : architecture, cryptographie, hardening

  • Juridique : RGPD, NIS 2, droit pénal numérique

  • Management : équipes, budget, projets

  • Communication : direction, métiers, externes (CNIL, ANSSI)

Rattachement organisationnel

Bonne pratique : le RSSI ne devrait pas dépendre du DSI (conflit d’intérêts) — idéalement rattaché à la Direction Générale, à la Direction des Risques ou à la Direction Juridique.

ModèleAvantages

Rattaché DG

Indépendance, visibilité

Rattaché DSI

Proximité technique, mais conflit d’intérêts

Rattaché Risques

Vision risque globale

Articulation entre frameworks

FrameworkNature

Obligation

NIS 2

Directive UE

Obligatoire (entités E/EI)

RGPD

Règlement UE

Obligatoire (toutes orgas)

RGS

Référentiel FR

Obligatoire admin publique

ISO 27001

Norme

Volontaire (certification)

NIST CSF

Framework

Volontaire (référence)

EBIOS RM

Méthode ANSSI

Stratégie pragmatique : prendre NIST CSF comme structure, viser ISO 27001 pour la certification, se conformer à NIS 2 + RGPD pour l’obligation légale.

Conclusion

Les guides ANSSI sont gratuits et applicables à toute organisation — pas seulement aux administrations. Une lecture obligatoire pour les RSSI.

Voir aussi : CNIL · RGPD · Hardening · ISO 27001 · Politique de sécurité