Contexte
Durant mon stage de deuxième année (02/03/2026 au 17/04/2026) au sein de l'équipe Sécurité des Chantiers de l'Atlantique, il m'a été confié la tâche d'élever le niveau de sécurité des postes de travail dans des environnements potentiellement isolés ou critiques.
Objectif
Sécuriser un poste Windows 11 en appliquant les recommandations de l'ANSSI et du guide DGA-MI, automatiser ce durcissement par scripts, et préparer une image système déployable.
Ce que j'ai fait
En m'appuyant sur des machines virtuelles sous Hyper-V (avec utilisation de checkpoints pour les tests), j'ai configuré et affiné des stratégies locales de sécurité (secpol). J'ai activé et configuré BitLocker, mis en place des listes blanches d'exécution strictes avec AppLocker, et désactivé les services non essentiels. J'ai ensuite scripté l'ensemble de ces paramétrages en PowerShell et préparé l'OS avec Sysprep et WinPE pour une masterisation de l'image (V2P).
Difficultés rencontrées
La mise en place d'AppLocker a provoqué des blocages inattendus du système, nécessitant un mode "audit" prolongé pour identifier tous les composants vitaux à autoriser. La capture de l'image WIM via WinPE a également posé des défis techniques liés aux pilotes de stockage.
Résultat
Un gabarit de poste Windows 11 hautement sécurisé, accompagné d'un script d'automatisation robuste et d'une procédure détaillée permettant son déploiement à l'échelle.