Durcir Windows 11, macOS, Linux et le navigateur d'entreprise :
checklist concrète

Durcir un système d'exploitation (OS — Operating System, c'est-à-dire le logiciel de base d'un ordinateur : Windows, macOS, Linux), c'est désactiver les fonctions non utilisées, activer le chiffrement, restreindre les droits, journaliser les événements critiques. Chaque OS a son outillage natif et ses pièges. Cette checklist couvre les trois, et ajoute un volet trop souvent ignoré : la configuration du navigateur d'entreprise.

Windows 11 — checklist concrète

Microsoft publie gratuitement les Microsoft Security Baselines via le Security Compliance Toolkit téléchargeable depuis le Microsoft Security Compliance Toolkit. Ce sont des modèles de stratégies de groupe (GPO — Group Policy Object, les règles de configuration centralisée Windows) qui durcissent Windows 11 selon les recommandations Microsoft.

• BitLocker — chiffrement complet du disque, activé automatiquement à l'installation fraîche de Windows 11 sur un appareil avec TPM 2.0 (Trusted Platform Module, puce de sécurité matérielle présente sur la quasi-totalité des PC depuis 2021). Vérifier l'activation effective et conserver la clé de récupération hors du poste.
• Comptes utilisateur sans droits admin — chaque employé travaille avec un compte standard, les droits administrateurs sont une session séparée que l'employé n'utilise qu'au besoin (installation logicielle, configuration système). Réduit drastiquement l'impact d'un logiciel malveillant.
• Microsoft Defender activé — l'antivirus intégré est suffisant pour la plupart des PME, à condition d'être activé, mis à jour, et de bénéficier des fonctions cloud (Defender SmartScreen, livraison de protection cloud).
• Mises à jour automatiques — Windows Update activé, redémarrage planifié hors heures de travail, pas de report indéfini.
• Journal des événements de sécurité — activé par défaut, mais rarement consulté. Au minimum, savoir où il se trouve (Observateur d'événements / Journaux Windows / Sécurité) et en exporter le contenu si nécessaire.
• Pare-feu Windows activé — sur les profils Public et Privé, avec règles entrantes restrictives par défaut.

macOS — ce qui est par défaut et ce qui ne l'est pas

macOS arrive avec plusieurs protections natives activées, mais le chiffrement du disque ne l'est pas par défaut sur tous les appareils — c'est l'angle mort le plus fréquent.

• FileVault à activer manuellement — chiffrement du disque complet, à activer dans Réglages système / Confidentialité et sécurité / FileVault. Sans FileVault, un disque volé est lisible avec un câble adaptateur.
• SIP (System Integrity Protection) activé par défaut — empêche la modification de fichiers système critiques même par l'utilisateur root. Le laisser activé sauf cas très particulier de développement.
• Gatekeeper activé — n'autorise par défaut que les applications signées par Apple ou par un développeur identifié. Le laisser activé.
• TCC (Transparency, Consent and Control) activé — le mécanisme qui demande l'autorisation explicite avant qu'une app accède aux dossiers sensibles (Documents, Photos, contacts), au micro, à la caméra. Pas désactivable globalement, ce qui est une bonne chose.
• Mises à jour automatiques — à activer dans Réglages système / Général / Mise à jour de logiciels.
• Compte administrateur séparé — même logique que Windows : créer un compte standard pour l'usage quotidien, garder le compte admin pour les opérations de maintenance.
• Journaux système — accessibles via l'application Console. Au moins savoir y aller en cas d'incident suspecté.

Linux serveur — l'essentiel pour une PME

Linux est rare en poste de travail PME mais fréquent côté serveur (serveur de fichiers, serveur d'application, serveur web). Les distributions les plus utilisées en PME québécoise sont Ubuntu LTS, Debian stable, et Rocky Linux / AlmaLinux pour les environnements héritiers de Red Hat.

• LUKS (Linux Unified Key Setup) — chiffrement de disque, activé à l'installation initiale. Difficilement rétrofittable, donc à décider au moment du déploiement.
• Lynis (cisofy.com) — outil libre d'audit de configuration Linux. Lancé en ligne de commande, il produit un rapport hiérarchisé de durcissement. Idéal pour un audit périodique gratuit.
• Mises à jour automatiques — sur Debian/Ubuntu, le paquet unattended-upgrades installe automatiquement les correctifs de sécurité.
• SSH (Secure Shell) — désactiver l'authentification par mot de passe, utiliser exclusivement des clés. Désactiver la connexion root directe. Limiter les IP autorisées si possible.
• Pare-feu — UFW (Uncomplicated Firewall) sur Ubuntu/Debian, firewalld sur RHEL/Rocky. Politique restrictive par défaut, ouvrir uniquement les ports nécessaires.
• Journaux centralisés — au minimum, savoir où sont stockés auth.log, syslog et les journaux applicatifs. Idéalement, les envoyer à un serveur dédié pour qu'ils survivent à une compromission du serveur source.

CIS-CAT Lite — l'outil gratuit pour mesurer ses écarts

Volet navigateur d'entreprise — le maillon souvent oublié

Un poste durci avec un navigateur configuré n'importe comment, c'est une porte verrouillée avec la fenêtre grande ouverte. Quatre décisions structurantes pour le navigateur en contexte PME :

1. Choix du navigateur d'entreprise

Les quatre principaux navigateurs sur poste professionnel se classent ainsi (sans parti pris, avec leurs avantages et leurs inconvénients documentés) :

• Firefox (Mozilla) — moteur indépendant (Gecko), gouvernance par fondation à but non lucratif, politique d'entreprise configurable via fichier policies.json, télémétrie désactivable. Inconvénient : compatibilité parfois imparfaite avec certaines applications d'entreprise qui présument Chrome.
• Brave (Brave Software) — basé sur Chromium (moteur Blink) mais avec blocage trackers et publicité par défaut, désactivation de la télémétrie possible. Inconvénient : fonctions cryptomonnaie intégrées à désactiver explicitement en contexte entreprise.
• Chrome (Google) — compatibilité maximale, écosystème d'extensions le plus riche, gestion d'entreprise via Chrome Browser Cloud Management. Inconvénient : synchronisation des données avec les serveurs de Google par défaut, à désactiver explicitement.
• Edge (Microsoft) — bien intégré aux environnements Microsoft 365, gestion via Intune. Inconvénient : Copilot intégré envoie potentiellement le contenu des pages au cloud Microsoft, à désactiver explicitement.

2. Désactiver la synchronisation des comptes personnels

Quand un employé connecte son compte personnel (Google, Microsoft, Mozilla) à son navigateur professionnel, l'historique, les mots de passe enregistrés, les onglets ouverts et parfois les saisies de formulaires sont synchronisés avec les serveurs du fournisseur, souvent hors Québec. Au sens de l'article 17 de la Loi 25, c'est un transfert hors Québec automatique qui devrait faire l'objet d'une évaluation des facteurs relatifs à la vie privée (EFVP — l'analyse exigée par la Loi 25 avant tout transfert hors Québec ou avant la mise en place d'un nouveau système qui traite des renseignements personnels).

La parade : désactiver la synchronisation par politique d'entreprise. Tous les grands navigateurs offrent ce verrouillage centralisé. Firefox : DisableProfileSync. Chrome : SyncDisabled. Edge : SyncDisabled. Brave : configurable manuellement ou via policies.

3. Désactiver les fonctions d'IA intégrées

En 2026, la quasi-totalité des navigateurs grand public ont intégré une assistance par intelligence artificielle (IA) : Copilot dans Edge, Gemini dans Chrome, Leo dans Brave. Ces fonctions transmettent le contenu des pages consultées — y compris parfois des documents internes, des courriels affichés, des formulaires en cours de remplissage — au cloud du fournisseur pour traitement. Pour une PME qui manipule des renseignements personnels, c'est un risque structurel.

Recommandation pour le poste professionnel : désactiver ces fonctions par défaut, en autoriser l'usage seulement pour des cas explicitement encadrés (et seulement si l'entreprise a fait l'EFVP correspondante). La politique d'entreprise du navigateur permet de verrouiller ce paramètre côté employé.

4. Gérer centralement les extensions autorisées

Une extension de navigateur a un accès quasi total à ce que l'utilisateur voit et fait dans son navigateur — pages consultées, formulaires remplis, cookies. Chaque extension est donc, au sens strict, un sous-traitant qui voit tout. Laisser les employés installer librement des extensions est un risque tiers majeur souvent sous-estimé.

Trois niveaux de contrôle :

• Liste d'autorisation explicite (allowlist) — seules les extensions nommément approuvées par l'entreprise sont installables. Approche la plus restrictive.
• Liste de blocage (blocklist) — toutes les extensions sont permises sauf celles nommément interdites. Plus souple, moins protecteur.
• Revue périodique — pas de verrouillage technique mais audit semestriel des extensions installées sur les postes. Acceptable pour très petite équipe.

Pièges à éviter

En résumé

Le durcissement du poste et du serveur n'est pas un projet de plusieurs mois — c'est une série de cases à cocher sur Windows, macOS et Linux, accompagnée d'une réflexion sur le navigateur d'entreprise. Les outils existent, sont gratuits ou intégrés, et publiés par des organismes reconnus (Microsoft, Apple, distributions Linux, CIS, Mozilla). Le vrai défi n'est pas la technique : c'est l'existence d'un porteur qui passe la checklist sur chaque poste, et qui prend le temps du volet navigateur — celui qui produit le plus d'écart entre une PME bien protégée et une PME en façade.