Le durcissement — ou hardening en anglais — consiste à réduire la surface d'attaque d'un système informatique en désactivant tout ce qui n'est pas strictement nécessaire à son fonctionnement. Pour une PME, c'est le moyen le plus efficace de se protéger contre les cyberattaques courantes sans investir dans des solutions coûteuses.
Ce guide traduit les recommandations des référentiels de sécurité (ANSSI, CIS Benchmarks) en actions concrètes, compréhensibles par un dirigeant non technique et réalisables par un prestataire IT généraliste.
Qu'est-ce que le hardening et pourquoi c'est indispensable
Un serveur ou un poste de travail livré « par défaut » est configuré pour fonctionner, pas pour résister. Les comptes inutiles sont actifs, les services superflus tournent en arrière-plan, les ports réseau sont ouverts, les mots de passe sont génériques. Chacun de ces éléments est une porte d'entrée potentielle pour un attaquant.
Le guide d'hygiène informatique de l'ANSSI recense 42 mesures de sécurité essentielles, dont une part significative relève directement du durcissement. L'agence considère ces mesures comme le socle minimal de sécurité pour toute organisation, quelle que soit sa taille.
Le durcissement n'est pas un projet ponctuel : c'est une discipline continue. Chaque mise à jour, chaque nouveau logiciel installé, chaque nouvel utilisateur créé peut réintroduire des vulnérabilités si les règles ne sont pas appliquées systématiquement.
Durcissement du serveur : les 8 actions prioritaires
Ces huit actions couvrent 80 % des risques les plus courants sur un serveur Windows ou Linux. Elles sont classées par impact décroissant.
1. Supprimer les comptes et services inutiles
Désactivez les comptes par défaut (Guest, Admin générique), supprimez les services qui ne sont pas utilisés (serveur d'impression sur un serveur de base de données, Telnet, FTP non sécurisé). Chaque service actif est un vecteur d'attaque potentiel.
2. Appliquer les mises à jour de sécurité
Les correctifs de sécurité doivent être appliqués dans un délai de 72 h pour les vulnérabilités critiques (score CVSS ≥ 9). Automatisez le processus avec WSUS (Windows) ou unattended-upgrades (Linux).
3. Configurer un pare-feu local
Même derrière un pare-feu périmétrique, chaque serveur doit avoir son propre pare-feu (iptables/nftables sous Linux, Windows Defender Firewall). Politique par défaut : tout bloquer, puis ouvrir uniquement les ports nécessaires.
4. Désactiver les protocoles obsolètes
TLS 1.0 et 1.1, SSLv3, SMBv1, NTLMv1 doivent être désactivés. Ces protocoles comportent des vulnérabilités connues et exploitées activement. Vérifiez avec nmap --script ssl-enum-ciphers.
5. Configurer la journalisation
Activez les logs d'authentification, d'accès et d'erreur. Centralisez-les sur un serveur dédié (syslog, Graylog, ELK) pour qu'un attaquant ne puisse pas les effacer sur la machine compromise.
6. Restreindre les accès SSH/RDP
SSH : désactivez l'authentification par mot de passe, utilisez exclusivement les clés, changez le port par défaut, limitez les IP sources autorisées. RDP : activez le NLA (Network Level Authentication), limitez les utilisateurs autorisés.
7. Chiffrer les données au repos
Activez BitLocker (Windows) ou LUKS (Linux) sur les volumes contenant des données sensibles. En cas de vol physique du disque, les données restent inaccessibles.
8. Mettre en place un antimalware à jour
Windows Defender (gratuit, intégré) est suffisant pour la majorité des PME s'il est correctement configuré et à jour. Sous Linux, ClamAV assure une protection de base.
Sécuriser le réseau : segmentation, VPN, pare-feu
La segmentation réseau consiste à isoler les différentes zones de votre infrastructure pour limiter la propagation d'une attaque. Un ransomware qui infecte un poste comptable ne doit pas pouvoir atteindre le serveur de production.
Architecture recommandée pour une PME :
| Zone | Contenu | Règles d'accès |
|---|---|---|
| VLAN Serveurs | Serveurs de production, BDD, fichiers | Accès restreint aux administrateurs et aux services autorisés |
| VLAN Postes de travail | PC des collaborateurs | Accès aux serveurs sur ports spécifiques uniquement |
| VLAN Invités / IoT | Wi-Fi visiteurs, imprimantes, caméras | Internet uniquement, aucun accès au réseau interne |
| DMZ | Serveur web, serveur mail | Accessible depuis Internet, isolé du réseau interne |
Le VPN (Virtual Private Network) sécurise les connexions des collaborateurs en télétravail ou en déplacement. Privilégiez les protocoles WireGuard ou OpenVPN, plus sûrs et performants que les anciens IPsec/L2TP. Un VPN bien configuré chiffre tout le trafic entre le poste distant et le réseau de l'entreprise.
Les solutions de supervision et monitoring permettent de détecter les anomalies réseau en temps réel : trafic inhabituel, tentatives de connexion échouées, accès depuis des IP inconnues.
Gestion des comptes et des privilèges
Le principe du moindre privilège est la règle d'or de la sécurité des comptes : chaque utilisateur ne doit disposer que des droits strictement nécessaires à son travail. Un comptable n'a pas besoin d'accéder aux fichiers de la R&D. Un commercial n'a pas besoin de droits administrateurs sur son poste.
Actions concrètes :
• Supprimer les droits administrateurs sur les postes de travail des utilisateurs standard — c'est la mesure la plus efficace contre les ransomwares
• Créer des comptes nominatifs : un compte par personne, jamais de compte générique partagé (admin, compta, accueil)
• Révoquer immédiatement les accès des collaborateurs qui quittent l'entreprise — dans les 24 h, pas « quand on y pense »
• Auditer les droits tous les trimestres : qui a accès à quoi ? Les droits accordés temporairement sont-ils toujours justifiés ?
• Séparer les comptes d'administration : l'administrateur système doit avoir un compte standard pour le travail quotidien et un compte admin distinct pour les opérations de maintenance
Comme expliqué dans l'article sur les fondamentaux de la cybersécurité pour PME, la compromission d'un compte à privilèges élevés est le scénario le plus redouté en sécurité informatique — et le plus fréquent dans les attaques contre les petites structures.
Politiques de mots de passe et MFA
Les recommandations en matière de mots de passe ont évolué. L'ANSSI et le NIST s'accordent désormais sur des principes pragmatiques :
• Longueur minimale de 12 caractères (14 pour les comptes administrateurs)
• Pas de rotation obligatoire sauf en cas de compromission avérée — les changements fréquents poussent les utilisateurs à choisir des mots de passe faibles
• Interdire les mots de passe courants : vérifier contre une liste de mots de passe compromis (base HaveIBeenPwned)
• Encourager les phrases de passe : « MonChienCourtVite!42 » est bien plus robuste que « P@ssw0rd1 »
Le MFA (authentification multifacteur) est le complément indispensable. Même si un mot de passe est volé, l'attaquant ne peut pas se connecter sans le second facteur. Les options par ordre de sécurité décroissante :
• Clé physique FIDO2 (YubiKey, Google Titan) : le plus sûr, résistant au phishing
• Application TOTP (Microsoft Authenticator, Google Authenticator) : bon compromis sécurité/praticité
• SMS : mieux que rien, mais vulnérable au SIM swapping — à éviter pour les comptes critiques
À retenir : Le MFA doit être activé en priorité sur les messageries (première cible des attaques de phishing), les VPN, les consoles d'administration et les services cloud (Microsoft 365, Google Workspace).
Vérifier votre niveau de durcissement : checklist ANSSI
Cette checklist synthétise les mesures de durcissement prioritaires tirées du guide d'hygiène informatique de l'ANSSI. Cochez chaque point et identifiez vos lacunes.
| Domaine | Mesure | Priorité |
|---|---|---|
| Comptes | Aucun compte générique actif, droits admin retirés aux utilisateurs standard | Critique |
| Mots de passe | Politique de 12+ caractères, MFA activé sur les services critiques | Critique |
| Mises à jour | Correctifs critiques appliqués sous 72 h, processus automatisé | Critique |
| Réseau | Segmentation en VLAN, pare-feu périmétrique et local configurés | Élevée |
| Protocoles | TLS 1.0/1.1, SMBv1, NTLMv1 désactivés | Élevée |
| Journalisation | Logs centralisés, rétention de 6 mois minimum | Élevée |
| Accès distant | VPN obligatoire, SSH par clé uniquement, RDP avec NLA | Élevée |
| Chiffrement | Disques chiffrés (BitLocker/LUKS), communications en HTTPS | Moyenne |
| Sauvegardes | Règle 3-2-1 (3 copies, 2 supports, 1 hors site), tests de restauration trimestriels | Critique |
| Sensibilisation | Formation annuelle des collaborateurs au phishing et aux bonnes pratiques | Moyenne |
À retenir : Si vous cochez moins de 6 points sur 10, votre infrastructure présente des vulnérabilités exploitables par des attaques automatisées courantes (ransomwares, phishing, brute force). Priorisez les mesures critiques avant tout.
Questions fréquentes sur le durcissement informatique
Le durcissement ralentit-il les performances du système ?
Non, au contraire. La suppression des services inutiles libère des ressources processeur et mémoire. La désactivation des protocoles obsolètes réduit le trafic réseau parasite. Le seul impact perceptible peut venir du chiffrement de disque, mais sur du matériel récent, la perte de performance est inférieure à 5 %.
Faut-il durcir aussi les postes de travail ou uniquement les serveurs ?
Les deux. Un poste de travail compromis est le point d'entrée le plus courant dans une attaque de type ransomware. Le retrait des droits administrateurs sur les postes utilisateurs est la mesure de durcissement la plus impactante et la moins coûteuse à mettre en œuvre.
Combien coûte le durcissement pour une PME de 20 postes ?
La majorité des mesures sont gratuites (configuration, suppression de services, politiques de mot de passe). Le coût se situe dans le temps passé : comptez 2 à 5 jours d'intervention pour un prestataire qualifié, soit 2 000 € à 5 000 €. L'investissement est négligeable comparé au coût moyen d'un incident de sécurité (estimé à 50 000 € pour une PME).
Le durcissement est-il obligatoire réglementairement ?
Le RGPD impose des « mesures techniques appropriées » pour protéger les données personnelles. Le durcissement fait partie de ces mesures. Pour les entreprises soumises à NIS 2 (directive européenne entrée en application en 2024), le durcissement est explicitement requis.
Durcir, c'est anticiper — pas réagir
Le durcissement n'est pas réservé aux grandes entreprises avec un SOC et un RSSI. Les mesures décrites dans ce guide sont accessibles à toute PME disposant d'un prestataire IT compétent. Elles ne nécessitent ni logiciel coûteux, ni infrastructure complexe — seulement de la rigueur et de la méthode.
Commencez par la checklist ci-dessus, identifiez vos lacunes critiques et planifiez les corrections. Un accompagnement en sécurité opérationnelle et durcissement permet de structurer la démarche, de prioriser les actions et de maintenir le niveau de sécurité dans la durée grâce à une gestion proactive des mises à jour et correctifs.
Image : © Bing Images, 2026
