ANSSI BP-028 v2.0 (février 2024) est la référence française pour le hardening des
infrastructures, avec quatre niveaux (minimal / intermediary /
reinforced / high) à travers trois catégories d'hôtes
(base / client / server). Les recommandations
ci-dessous portent le hardening au niveau noyau et au niveau audit que
nixfleet-compliance
applique par contrôle.
| Reco. | Titre | Contrôles |
|---|---|---|
| R7 | Activation de l'IOMMU | _baseline-hardening (BH-01) |
| R8 | Hardening mémoire | _baseline-hardening (BH-02) |
| R9 | Options du noyau | _baseline-hardening (BH-03) |
| R10 | Désactivation chargement modules noyau | _baseline-hardening (BH-04) |
| R11 | Yama LSM | _baseline-hardening (BH-05) |
| R12 | Hardening IPv4 | _baseline-hardening (BH-06) |
| R13 | Désactivation IPv6 | _baseline-hardening (BH-07) |
| R14 | Hardening système de fichiers | _baseline-hardening (BH-08) |
| R33 | Application d'auditd | _audit-logging (AL-02) |
Le preset ANSSI active aussi _access-control, _encryption-at-rest,
_authentication, _secure-boot, et _network-segmentation
(catégorie serveur) comme contrôles de hardening additionnels sans R-numéro spécifique.
Source canonique : docs/anssi-mapping.md dans le repo de conformité.