Hokhori Consulting
Retour au blog
sécurité poste de travail Windows Linux checklist cybersécurité

Checklist sécurité poste de travail Windows et Linux 2026

Une liste de contrôle pratique et complète pour sécuriser les postes de travail de votre entreprise sous Windows 11 et Linux, avec alignement NIS2 pour chaque section.

Par Hokho

Pourquoi la sécurité du poste de travail reste le maillon faible

En 2026, la grande majorité des intrusions en entreprise commencent par un poste de travail compromis : un e-mail de phishing ouvert, un mot de passe réutilisé, un poste non chiffré laissé sans surveillance. Pourtant, les mesures de protection de base restent insuffisamment appliquées dans les PME belges.

Cette checklist couvre les points essentiels pour Windows 11 et Linux. Elle est conçue pour être utilisée par votre responsable IT ou directement par vos collaborateurs. Chaque section indique sa pertinence au regard de la directive NIS2 pour les entreprises qui y sont soumises.

Cochez chaque point. Un point non coché est un risque identifié.

1. Durcissement du système d'exploitation

Windows 11

  • Chiffrement BitLocker activé sur le disque système (Paramètres → Confidentialité et sécurité → Chiffrement de l'appareil)
  • PIN ou mot de passe fort requis au démarrage (minimum 12 caractères, complexe)
  • Windows Hello configuré pour l'authentification biométrique (empreinte ou reconnaissance faciale)
  • Mises à jour automatiques activées : Windows Update configuré pour installer les correctifs de sécurité sous 24 h
  • Pare-feu Windows Defender activé et vérifié pour tous les profils réseau (domaine, privé, public)
  • Windows Defender Antivirus actif et base de signatures à jour
  • Protection contre les ransomwares (Accès contrôlé aux dossiers) activée dans Windows Security
  • UAC (Contrôle de compte d'utilisateur) réglé au niveau maximum
  • Telemetry minimisée : diagnostic data réglé sur "Required diagnostic data" uniquement
  • Secure Boot activé dans le BIOS/UEFI

Linux (Ubuntu / Debian / Fedora)

  • Chiffrement LUKS activé sur la partition système (à configurer lors de l'installation)
  • Mises à jour automatiques : unattended-upgrades installé et configuré
  • Pare-feu UFW activé : ufw enable et règles restrictives en place
  • ClamAV installé pour les analyses périodiques (même sur Linux, pour les fichiers partagés)
  • Secure Boot activé si le matériel le supporte
  • AppArmor / SELinux actif (Ubuntu utilise AppArmor par défaut — vérifier qu'il n'a pas été désactivé)
  • Journaux système actifs : systemd-journald ou rsyslog configuré et archivé

Alignement NIS2 : L'article 21 de NIS2 exige des mesures de sécurité des réseaux et des systèmes d'information proportionnées au risque. Le chiffrement des disques et les mises à jour automatiques sont des mesures de base attendues.

2. Sécurité des comptes

  • Compte administrateur local désactivé pour l'usage quotidien : les utilisateurs travaillent avec un compte standard, élèvent les privilèges uniquement quand nécessaire
  • MFA (authentification multi-facteurs) activée sur tous les comptes professionnels : messagerie, VPN, portails cloud, outils SaaS
  • Gestionnaire de mots de passe déployé : Bitwarden (open source, auto-hébergeable), KeePassXC ou equivalent. Aucun mot de passe en clair dans des fichiers texte ou des notes
  • Mots de passe uniques pour chaque service (vérifiable via l'audit du gestionnaire de mots de passe)
  • Mots de passe de 16 caractères minimum pour les comptes à privilèges
  • Revue trimestrielle des comptes actifs : tout ancien employé supprimé dans les 24 h suivant son départ
  • Comptes de service documentés, avec mots de passe rotatifs et droits minimaux
  • SSO (Single Sign-On) utilisé si vous disposez d'un Active Directory ou d'un fournisseur d'identité — réduit la surface de mots de passe à gérer

Alignement NIS2 : NIS2 cite explicitement les politiques de contrôle d'accès et l'authentification multi-facteurs comme mesures requises.

3. Sécurité du navigateur

  • uBlock Origin installé sur tous les navigateurs (bloque publicités, trackers et sources malveillantes)
  • Mode HTTPS uniquement activé : Firefox → Paramètres → Confidentialité → HTTPS uniquement
  • Les mots de passe ne sont pas enregistrés dans le navigateur : fonction désactivée, gestionnaire de mots de passe utilisé à la place
  • Extensions de navigateur auditées : seules les extensions nécessaires et de confiance installées
  • Navigateur mis à jour automatiquement (Chrome, Firefox et Edge se mettent à jour seuls par défaut — vérifier que ce n'est pas bloqué)
  • Profil navigateur professionnel séparé du profil personnel (Chrome Profiles, Firefox Profiles)
  • DNS over HTTPS configuré dans le navigateur (Firefox : Paramètres → Réseau → DNS via HTTPS avec Quad9 ou Cloudflare)

4. Sécurité de la messagerie

  • Formation au phishing réalisée par tous les collaborateurs dans les 12 derniers mois (simulation recommandée)
  • L'ouverture des pièces jointes inattendues est traitée avec suspicion — procédure de vérification documentée
  • Macros Office désactivées par défaut et activées uniquement sur demande explicite pour les fichiers internes signés
  • SPF, DKIM et DMARC configurés sur votre domaine de messagerie (vérifiable sur mail-tester.com)
  • Antispam et antimalware actif côté serveur de messagerie (Exchange Online Protection, Rspamd, ou équivalent)
  • Les liens dans les e-mails sont vérifiés avant clic (passer la souris dessus, utiliser un outil de vérification si doute)
  • Chiffrement des e-mails sensibles : S/MIME ou PGP pour les communications confidentielles

Alignement NIS2 : La gestion des incidents de sécurité et la sensibilisation des utilisateurs sont des obligations NIS2. Le phishing est le vecteur d'attaque n°1.

5. Sécurité réseau

  • VPN professionnel obligatoire pour tout travail à distance (WireGuard ou OpenVPN auto-hébergé, ou service professionnel européen)
  • Le WiFi public n'est jamais utilisé sans VPN actif — politique documentée et signée par tous les collaborateurs
  • Réseau WiFi d'entreprise séparé du réseau invité et des appareils IoT
  • WPA3 utilisé sur les points d'accès WiFi d'entreprise (WPA2 minimum si WPA3 non disponible)
  • DNS over HTTPS ou DNS chiffré configuré au niveau du routeur ou des postes (Quad9 recommandé : souverain et sans logs)
  • Segmentation réseau : les serveurs de production sont sur un VLAN séparé des postes de travail
  • Journalisation des connexions réseau : votre pare-feu enregistre les connexions sortantes anormales

6. Sauvegardes

  • Règle 3-2-1 appliquée : 3 copies des données, sur 2 supports différents, dont 1 hors site
  • Sauvegarde automatique quotidienne des données critiques (documents, bases de données, configurations)
  • Sauvegardes chiffrées avant envoi hors site (Restic, Borg Backup, ou Duplicati)
  • Restauration testée au moins une fois par trimestre — une sauvegarde non testée n'est pas une sauvegarde
  • Sauvegarde hors ligne ou immuable disponible (pour résister aux ransomwares qui chiffrent les partages réseau)
  • Délai de rétention documenté : combien de temps gardez-vous les sauvegardes ? (30 jours minimum recommandé)
  • Responsable des sauvegardes désigné nominalement dans votre documentation interne

Alignement NIS2 : La continuité d'activité et la gestion de la reprise après sinistre sont des obligations NIS2 explicites. Une politique de sauvegarde testée est la fondation.

Récapitulatif par niveau de priorité

Priorité Actions Impact
Critique Chiffrement disque, MFA, mises à jour automatiques, gestionnaire de mots de passe Bloque les attaques les plus courantes
Élevée Compte non-admin au quotidien, pare-feu, uBlock Origin, VPN en déplacement Réduit drastiquement la surface d'attaque
Importante Formation phishing, macros désactivées, sauvegardes testées Limite les dégâts en cas d'incident
Bonne pratique DNS over HTTPS, segmentation réseau, audit des extensions Durcissement supplémentaire

Cette checklist couvre l'essentiel. Elle ne remplace pas un audit de cybersécurité complet, mais appliquée intégralement, elle élimine la grande majorité des vecteurs d'attaque courants contre les PME.

Évaluez votre Sovereign Score | Contactez-nous pour un audit de sécurité