Durcissement de serveurs (CIS, ANSSI)

Vos serveurs durcis, et tenus dans le temps

On durcit vos serveurs Linux et Windows selon les standards reconnus (CIS, ANSSI) : SSH, pare-feu, auditd, mises à jour, comptes, services, daemon Docker. On capture une baseline, puis on surveille la dérive — pour que le durcissement ne soit pas un coup unique vite oublié. Forfait fixe par serveur, sans facturation à l’heure.

Vous repartez avec un rapport avant/après clair, utilisable comme preuve de conformité pour un audit ou votre assurance cyber.

Pour qui

• Organisations avec des serveurs exposés — web, applicatif, VPN : vous voulez réduire la surface d’attaque avant qu’elle ne soit testée pour vous.
• Structures préparant un audit ou une assurance cyber — vous avez besoin d’une baseline documentée et d’un rapport de conformité présentable.
• Équipes voulant tenir la baseline — pas un durcissement oublié dans six mois, mais une dérive surveillée mois après mois.

Ce qu’on gère

Le partage des responsabilités est clair et écrit :

• Nous gérons : la passe de durcissement — SSH, pare-feu/nftables, auditd/tlog, fail2ban/CrowdSec, noyau/sysctl, revue des comptes et des SUID, minimisation des services, durcissement du daemon Docker.
• Nous gérons : la capture de baseline et la surveillance de dérive.
• Nous gérons : le rapport de durcissement mensuel et la gouvernance des correctifs (selon l’offre).
• Partagé / Vous : la sécurité applicative et l’acceptation des risques métier.

Fonctionnalités incluses

• Passe de durcissement complète CIS/ANSSI, testée en préproduction
• Rapport avant/après et remédiation incluse
• Baseline figée et surveillance de dérive (mensuelle ou hebdomadaire selon l’offre)
• Linux et Windows (WDAC/baseline côté Windows)
• Remédiation automatique de la dérive de configuration (offre Pro et Signature)
• Rapport de conformité présentable à un audit ou une assurance cyber
• Fenêtre planifiée, sans coupure de service, avec rollback
• Revue trimestrielle (offre Signature)

Cette offre se décline en deux temps : un projet ponctuel de durcissement, puis un abonnement de gestion de dérive. Les forfaits par serveur, projet et abonnement, avec leurs prix affichés, sont détaillés dans le tableau ci-dessous.

Sécurité incluse

Le durcissement réduit votre surface d’attaque : ce que nous fermons ne peut plus être exploité. Nous capturons l’état durci comme baseline de référence, puis nous surveillons la dérive — chaque changement non prévu déclenche une alerte. La passe est testée en préproduction et appliquée dans une fenêtre planifiée, avec rollback.

Questions fréquentes

CIS ou ANSSI ? Les deux. Nous appliquons les benchmarks CIS et les recommandations ANSSI selon votre contexte, et nous documentons chaque écart assumé.

Y a-t-il une coupure de service ? Non. La passe est testée en préproduction et appliquée dans une fenêtre planifiée. En cas de souci, un rollback est prévu.

Mes applications risquent-elles de casser ? C’est précisément pourquoi nous testons avant d’appliquer et gardons un rollback. Le durcissement vise à réduire la surface, pas à casser vos services.

Et après le durcissement ? La configuration dérive avec le temps. C’est l’objet de l’abonnement : surveiller la dérive et la remédier, pour que la baseline tienne.

Quelle différence avec un EDR ? Le durcissement réduit la surface d’attaque (prévention) ; un EDR détecte et répond aux menaces (détection). Ils sont complémentaires.

Aller plus loin

Complétez la prévention par la détection : ajoutez l’EDR/XDR avec automatisation, l’administration de sécurité ou un PaaS — un contrat, une facture, un SLA.