Les recommandations de l'ANSSI : le guide d'hygiène informatique pour les PME
L'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, est l'autorité française de référence en cybersécurité. Son guide d'hygiène informatique recense un socle de mesures simples et non exhaustives, mais qui suffisent à écarter la plupart des scénarios d'incident les plus courants observés en entreprise.
Pourquoi s'appuyer sur les recommandations de l'ANSSI
Ces recommandations ne s'obtiennent pas comme une certification : elles se mettent en œuvre, et rien ne vient formellement attester qu'elles le sont. C'est à la fois leur force et leur limite. Elles sont gratuites, publiques et pensées pour des organisations de toute taille, y compris les plus petites structures sans compétence technique interne, mais elles ne délivrent aucun label opposable face à un client, un assureur ou un partenaire, contrairement à une certification ISO 27001.
Diagnostic Cybersécurité·Voir un aperçu du diagnostic
Les mesures prioritaires à mettre en place
| Thème | Mesure recommandée |
|---|---|
| Authentification | Mots de passe robustes et authentification à plusieurs facteurs sur les comptes sensibles |
| Mises à jour | Application systématique des correctifs de sécurité, sur les postes comme sur les serveurs |
| Sauvegardes | Sauvegardes régulières, testées, et isolées du réseau principal |
| Comptes et accès | Séparation des comptes administrateur et des comptes utilisateur standard |
| Réseau | Segmentation du réseau et filtrage des flux entrants et sortants |
| Sensibilisation | Formation des collaborateurs aux risques de phishing et d'ingénierie sociale |
Une mise en oeuvre progressive plutôt qu'exhaustive
- Identifier les mesures déjà en place, sans jugement de valeur.
- Prioriser les mesures dont l'absence expose au risque le plus élevé (authentification, sauvegardes).
- Planifier la mise en oeuvre des mesures manquantes sur plusieurs mois plutôt que de viser une exhaustivité immédiate.
- Documenter les mesures appliquées, pour pouvoir les démontrer en cas de besoin (assurance cyber, appel d'offres, audit).
Erreurs fréquentes
- Considérer que la cybersécurité est réservée aux grandes entreprises.
- Mettre en place des outils sans revoir les pratiques : un antivirus ne remplace pas une politique de sauvegarde.
- Ne former les équipes qu'une seule fois, sans rappel régulier.
Vérifier, mesure par mesure, lesquelles de ces recommandations sont déjà appliquées et lesquelles restent à traiter en priorité donne une feuille de route bien plus utile qu'une liste de bonnes intentions jamais vérifiées.
Diagnostic associé
Prêt à évaluer votre organisation ?
Essayer gratuitement