Cloisonnement informatique : ce que la cybersécurité attend de votre poste de travail

27/02/2026

Vous utilisez peut-être un seul et même ordinateur pour accéder à votre messagerie professionnelle, à des outils d'administration sensibles, et pourquoi pas à des données classifiées « Diffusion Restreinte ».

Ce scénario, de plus en plus courant dans les administrations et les grandes entreprises, soulève une question fondamentale de sécurité : comment garantir qu'un problème survenu dans un environnement ne contamine pas les autres ?

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a publié mi-janvier 2026 un guide de référence sur le sujet — la note ANSSI-PA-114 — destiné aux éditeurs de logiciels qui conçoivent ce type de postes. Derrière le jargon technique, des principes clairs. Voici ce qu'il faut en retenir.

Le paradoxe du poste de travail multi-usages

La solution idéale, du point de vue de la sécurité pure, est simple : un ordinateur par environnement. Un poste pour la bureautique, un autre pour l'administration, un troisième pour les données sensibles.

→ Chaque machine reste dans son couloir, imperméable aux autres.

Mais dans la réalité, cette approche est inapplicable. Elle coûte cher, elle est lourde à gérer, peu pratique en situation de nomadisme, et peu écologique. D'où l'idée du poste de travail multi-environnements : un seul ordinateur physique, plusieurs environnements étanches qui y cohabitent.

L'ANSSI encadre désormais formellement cette pratique, en fixant les fonctions de sécurité attendues pour que cette cohabitation reste sûre, pour des niveaux de sensibilité allant jusqu'à « Diffusion Restreinte » (DR) au sens de l'Instruction Interministérielle n°901. Les niveaux Secret et Très Secret, eux, restent hors du champ de ce guide.

Le principe fondateur : le cloisonnement par machines virtuelles

Le cœur de l'architecture repose sur une notion technique qu'il faut comprendre : la machine virtuelle (ou VM pour Virtual Machine).

→ Concrètement, c'est un ordinateur simulé à l'intérieur de votre ordinateur réel.
Chaque environnement de travail — bureautique, administration, développement — s'exécute dans sa propre machine virtuelle, complètement séparée des autres.

Ce n'est pas anodin. L'ANSSI insiste pour que cette approche soit préférée aux techniques de « bacs à sable » (sandbox) plus légères, car les VM offrent une isolation plus robuste.

La surface d'attaque exposée est réduite, les équipes techniques peuvent gérer chaque environnement indépendamment, et surtout : une compromission dans un environnement ne peut pas, par construction, se propager aux autres.

Le tout repose sur ce que l'ANSSI appelle le socle — le système central de l'ordinateur qui fait tourner les VM et en assure l'isolation.
C'est lui qui détient les clés de voûte de la sécurité. Sa compromission serait catastrophique ; c'est pourquoi le guide lui consacre l'essentiel de ses exigences.

Les grandes règles de sécurité, expliquées simplement

1. La chaîne de confiance dès le démarrage

Quand vous allumez votre ordinateur, comment être sûr que le système qui démarre n'a pas été altéré ?

L'ANSSI exige que l'intégrité de chaque composant du démarrage soit vérifiée cryptographiquement — c'est-à-dire avec une signature numérique — et qu'un composant matériel dédié (le TPM, Trusted Platform Module) garantisse que rien n'a été modifié à votre insu, même par quelqu'un ayant eu accès physique à la machine.

Ce que cela signifie concrètement : si un attaquant tente d'installer un logiciel malveillant dans la séquence de démarrage, le système refusera de démarrer ou alertera l'utilisateur.

2. Le chiffrement de toutes les données

Toutes les données stockées sur le disque — celles du socle comme celles de chaque environnement — doivent être chiffrées, en confidentialité et en intégrité.

La subtilité importante : les données de chaque environnement utilisateur doivent être chiffrées à partir d'un secret que seul l'utilisateur légitime connaît (typiquement, son mot de passe). Personne d'autre — pas même un administrateur — ne doit pouvoir y accéder, sauf mise sous séquestre prévue et encadrée.

3. L'étanchéité du réseau

Les flux réseau sont l'une des voies de contamination les plus redoutées. Le guide est très clair : les communications réseau entre environnements sont interdites, qu'elles passent par l'intérieur du poste ou par l'extérieur.

Chaque environnement doit disposer de son propre tunnel VPN chiffrant, non débrayable, géré par l'entité propriétaire du poste. Un environnement ne peut pas se faire passer pour un autre sur le réseau.

4. L'isolation des périphériques

Clavier, clé USB, carte à puce, microphone : un périphérique ne peut pas être connecté simultanément à deux environnements différents.

Si l'utilisateur branche une clé USB dans l'environnement bureautique, les données qu'elle contient ne doivent pas être accessibles depuis l'environnement d'administration.

5. La barre de confiance : savoir où l'on est

Un principe ergonomique et juridiquement important : l'utilisateur doit toujours savoir dans quel environnement il se trouve.

L'ANSSI recommande l'affichage d'une barre de confiance visible à tout moment. Cela peut sembler anodin, mais l'enjeu est réel : signer un document depuis le mauvais environnement, ou envoyer des données sensibles depuis une fenêtre qu'on croyait être l'environnement sécurisé, sont des erreurs humaines aux conséquences potentiellement graves.

6. Des rôles d'administration strictement séparés

Les opérations d'administration du poste — mise à jour, audit, configuration — doivent être réalisées dans des domaines dédiés, avec des droits strictement limités à ce qui est nécessaire.

Un administrateur ne doit pas pouvoir accéder aux données des utilisateurs dans le cadre de sa mission d'administration. Cette séparation des rôles est une protection importante contre les abus, intentionnels ou accidentels.

7. Les échanges de fichiers entre environnements : la diode

Et si l'on doit transférer un document d'un environnement vers un autre ?

L'ANSSI décrit un mécanisme qu'elle appelle diode — par analogie électronique, le courant ne passe que dans un sens.

Le transfert doit être initié explicitement par l'utilisateur, validé par une interface cloisonnée, journalisé avec toutes les métadonnées (nom du fichier, empreinte numérique, horodatage, sens du transfert), et peut faire l'objet d'une analyse antivirus ou de contenu avant d'être autorisé.

Ce que tout cela implique juridiquement

Pour les entreprises ou les administrations, plusieurs conséquences méritent attention en matière de conformité.

La responsabilité de l'éditeur

Ce guide est explicitement destiné aux concepteurs de ces postes, pas aux administrateurs. L'ANSSI fixe un cadre d'exigences auquel un éditeur souhaitant faire certifier son produit devra se conformer.

Cela crée une base de référence pour évaluer la diligence technique d'un fournisseur.

La traçabilité

Les exigences de journalisation sont précises : authentifications, mises à jour, modifications de configuration, transferts entre domaines.

Ces journaux, protégés en intégrité, constituent une piste d'audit que des enquêteurs — internes ou judiciaires — pourraient exploiter en cas d'incident.

L'obligation de mise à jour

Le guide impose que le concepteur spécifie dès la conception le délai maximal de fourniture d'un correctif de sécurité, et que le processus de mise à jour garantisse l'absence de vulnérabilité publique non corrigée.

C'est une obligation de résultat partielle, qui pourrait fonder une responsabilité contractuelle.

Le nomadisme

Le guide part de l'hypothèse que le poste peut être utilisé en déplacement.

Les exigences de chiffrement, de VPN non débrayable et de disponibilité (le système doit rester fonctionnel même si une mise à jour échoue) sont directement liées à ce contexte.

Une organisation qui déploie ces postes sans respecter ces garanties s'exposerait à des difficultés en cas de vol ou de perte du matériel.

La SBOM (Software Bill of Materials)

L'ANSSI recommande que chaque mise à jour soit accompagnée d'une liste exhaustive des composants logiciels et de leurs versions.

Ce concept, venu du monde américain de la cybersécurité, est en train de devenir une exigence réglementaire dans plusieurs secteurs. Sa présence dans un guide français est un signal fort.

Ce que ce guide ne couvre pas (et qu'il faut donc prévoir par ailleurs)

Le guide est honnête sur ses limites. Il ne traite pas de l'infrastructure à laquelle ces postes seront connectés — serveurs, annuaires, ressources partagées. Il ne s'adresse pas aux administrateurs systèmes pour leur déploiement opérationnel. Et il ne couvre pas les niveaux de classification Secret et Très Secret, qui obéissent à un cadre réglementaire distinct.

Ces lacunes volontaires signifient qu'un déploiement réel exige de combiner ce guide avec d'autres référentiels ANSSI : le guide sur l'administration sécurisée des SI, le guide sur le nomadisme numérique, et la politique de sécurité propre à chaque organisation.

En résumé

Le guide ANSSI-PA-114 pose les fondements d'une architecture de sécurité pour les postes multi-environnements. Ses principes — cloisonnement par VM, chiffrement systématique, isolation réseau, journalisation intègre, séparation des rôles — ne sont pas nouveaux pour les spécialistes, mais leur formalisation dans un document de référence crée un cadre opposable.

Pour les juristes et les directions des systèmes d'information, le message est double : ces exigences techniques peuvent désormais être intégrées dans les cahiers des charges et les contrats avec les fournisseurs, et leur non-respect constitue un indicateur de manquement à l'obligation de sécurité qui s'impose à tout responsable de traitement ou opérateur de service numérique.

La sécurité informatique n'est plus seulement une affaire de techniciens. Elle se construit aussi dans les clauses contractuelles, les politiques de sécurité, et les procédures d'audit. Ce guide en est une illustration supplémentaire.

Sources : ANSSI-PA-114, « Sécurisation du poste de travail multi-environnements (non classifiés) », version 1.0, 16 janvier 2026. Disponible sur cyber.gouv.fr sous Licence Ouverte v2.0 (Étalab).

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus