Capacité d'optimisation d'infrastructure : processus de sécurité - du niveau de base au niveau standardisé
Sur cette page
.gif "Présentation"){kind=icon}
Présentation
Exigence : stratégies de sécurité, évaluation des risques, réponse aux incidents et sécurité des données
Point de contrôle : stratégies de sécurité, évaluation des risques, réponse aux incidents et sécurité des données
Présentation
Le processus de sécurité est un élément clé de l'optimisation d'infrastructure et la sécurité doit faire partie des critères de conception pour l'ensemble des procédures et technologies mises en lumière par le modèle d'optimisation d'infrastructure. Le tableau suivant dresse la liste des principaux enjeux, des solutions applicables et des avantages liés à l'accession au niveau standardisé de la capacité Processus de sécurité.
Enjeux |
Solutions |
Avantages |
|---|---|---|
Enjeux métier Les systèmes sont complexes, incompatibles, onéreux et fournissent des services limités à l'échelle de l'organisation. Enjeux informatiques Services distants ou Web incohérents ou non sécurisés. Absence de stratégies de sécurité standard. Manque de cohérence sur le plan de l'identification des périphériques connectés au réseau. Nombre insuffisant de stratégies informatiques et de processus automatisés mis en place. |
Projets Élaborer des processus cohérents pour identifier et mettre à jour les problèmes de sécurité sur tous les périphériques connectés au réseau. Mettre de manière uniforme tous les périphériques connectés au réseau en conformité avec les stratégies de sécurité. Mettre à jour les systèmes d'exploitation et l'infrastructure avec les versions récentes. Planifier l'évaluation des logiciels actuels pour s'assurer qu'ils répondent aux exigences de sécurité. |
Avantages métier Les utilisateurs finaux disposent d'un contrat de niveau de service connu pour les problèmes de dépannage, ce qui améliore la productivité de l'effectif. Avantages informatiques Les niveaux de risque de sécurité sont connus et gérés. La réponse aux incidents est plus prévisible et efficace. Les données et les périphériques sont plus sûrs à la faveur de mesures de sécurité proactives. |
Le niveau standardisé d'optimisation exige que votre organisation ait défini des procédures en matière de gestion des risques, de gestion et de réponse aux incidents et de test d'applications.
Exigence : stratégies de sécurité, évaluation des risques, réponse aux incidents et sécurité des données
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas d'un plan d'action pour les stratégies de sécurité, l'évaluation des risques, la réponse aux incidents et la sécurité des données.
Vue d'ensemble
La plupart des organisations sont parfaitement conscientes de l'importance de protéger leurs données et ressources contre la perte ou l'endommagement découlant d'un vol, d'une erreur humaine ou informatique, d'un acte malveillant ou d'autres événements. Vous pouvez prendre des mesures pour limiter le risque de perte ou d'endommagement. Vous pouvez aussi définir des stratégies et procédures pour palier et limiter les conséquences d'une perte ou d'un endommagement survenu dans votre environnement informatique.
Phase 1 : analyse
La phase d'analyse doit déterminer les besoins de votre organisation en matière de sécurité et à identifier les processus actuellement en place. Les exigences de sécurité peuvent varier considérablement d'une entreprise ou institution à l'autre en fonction, par exemple, de la taille de l'organisation, du secteur d'activité, des lois locales ou des réglementations en vigueur. En regroupant les exigences de votre organisation, vous serez à même de définir un processus de sécurité approprié.
Phase 2 : identification
La phase d'identification consiste pour une organisation à examiner les outils et les procédures actuellement en place et à déterminer quelles sont ses exigences de sécurité. Lors de cette phase, vous regrouperez les stratégies de sécurité appliquées ou en cours d'application, en plus des composants technologiques déjà utilisés ou à votre disposition. Vous regrouperez également les éventuelles exigences externes en fonction des lois ou réglementations en vigueur dans votre pays ou secteur d'activité.
Phase 3 : évaluation et planification
Dans le cadre de l'accès au niveau standardisé d'optimisation, la phase d'évaluation et de planification met en relief des domaines d'amélioration spécifiques.
Stratégies de sécurité
Pour établir un ensemble de stratégies et de contrôles de sécurité efficace, vous devez identifier les vulnérabilités qui existent sur vos systèmes informatiques et passer en revue les stratégies et les contrôles de sécurité chargés de les protéger. Outre l'examen des stratégies en vigueur, ce passage en revue doit porter sur les domaines où les stratégies font défaut. Il s'agit notamment des domaines suivants :
stratégies de sécurité des ordinateurs telles que le contrôle d'accès physique ;
stratégies de sécurité de réseau (par exemple, stratégies pour la messagerie et Internet) ;
stratégies de sécurité des données (contrôles d'accès et contrôles de l'intégrité) ;
plans et tests de réserve et de récupération d’urgence ;
sensibilisation et formation à la sécurité du système informatique ;
stratégies de coordination et de gestion de la sécurité informatique ;
conformité des logiciels acquis.
Votre organisation doit avoir une personne chargée d'examiner et de gérer les stratégies de sécurité et de définir la stratégie de sécurité de l'organisation.
Pour obtenir des informations détaillées sur la façon d'élaborer des stratégies de sécurité, rendez-vous à l'adresse : https://www.microsoft.com/technet/security/bestprac/bpent/sec1/secstrat.mspx.
Évaluation des risques
Un processus formel de gestion des risques permet aux entreprises de fonctionner de la façon la plus efficace et rentable avec un niveau de risque connu et acceptable. Il offre également aux organisations une orientation claire et cohérente pour organiser et hiérarchiser des ressources limitées pour gérer le risque. Vous bénéficierez des avantages de l'utilisation de la gestion des risques de sécurité lorsque vous mettrez en place des contrôles rentables permettant de ramener le risque à un niveau acceptable.
Nombreuses sont les méthodologies destinées à hiérarchiser ou évaluer les risques, mais la plupart d'entre elles reposent sur l'une des deux approches suivantes ou sur une combinaison des deux :
analyse quantitative des risques ;
analyse qualitative des risques.
Analyse quantitative des risques
L'analyse quantitative des risques consiste à estimer la valeur réelle de chaque ressource de l'entreprise en termes de coût de remplacement, de coût de productivité perdue, de coût lié à la réputation de la marque, ainsi que d'autres valeurs commerciales directes et indirectes. À partir de cette analyse, vous pouvez établir ce qui suit :
valeurs monétaires attribuées aux ressources ;
liste complète des menaces significatives ;
probabilité de voir chaque menace se réaliser ;
potentiel de perte pour la société par menace, pour une période de 12 mois ;
mesures de protection, contrôles et actions recommandés.
Évaluation qualitative des risques
L'analyse qualitative des risques est généralement menée à l'aide d'une combinaison de questionnaires et d'ateliers de collaboration impliquant des personnes appartenant à plusieurs services au sein de l'entreprise, comme des experts en sécurité informatique, des responsables et employés du service informatique, les propriétaires et les utilisateurs des ressources de l'entreprise, ainsi que des hauts responsables.
Lors des ateliers, les participants identifient les ressources et estiment leurs valeurs relatives. Ensuite, ils essaient de déterminer les menaces pouvant affecter chaque ressource, avant d'essayer d'imaginer quels types de vulnérabilités ces mêmes menaces pourraient exploiter à l'avenir. Habituellement, les experts du groupe de sécurité informatique et les administrateurs système développent des contrôles visant à minimiser les risques, les soumettent au groupe et estiment le coût de chaque contrôle.
Enfin, les résultats sont soumis à la direction durant une analyse coût/bénéfices.
Pour obtenir des informations détaillées sur ces approches d'évaluation des risques, rendez-vous à l'adresse : https://www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/srsgch01.mspx.
Réponse aux incidents
Lorsqu'un problème de sécurité survient, la plupart des professionnels de l'informatique ne trouvent que le temps de contenir le problème, analyser l'événement et intervenir le plus rapidement possible sur les systèmes affectés. Certains essaient parfois d'identifier la cause du problème, mais pour ceux qui sont soumis à de fortes contraintes, cette démarche est purement accessoire. Même si ce type d'approche réactive peut être une tactique efficace, le fait d'imposer un certain ordre à l'approche réactive peut aider les organisations de tous types à mieux utiliser leurs ressources. Par une planification appropriée, votre organisation peut se montrer préventive dans la gestion des failles de sécurité.
Approche réactive
Vous devez gérer chaque incident de sécurité pour en atténuer l'effet sur votre organisation et ses données. Les étapes suivantes peuvent vous aider à gérer les incidents de sécurité de façon rapide et efficace.
Protéger la vie humaine et assurer la sécurité des personnes.
Si les ordinateurs affectés contrôlent un équipement de maintien de la vie, il n'est peut-être pas envisageable de les arrêter.Maîtriser les dommages.
Protégez rapidement les données, les logiciels et le matériel importants. Si le fait d'isoler les ordinateurs et les serveurs affectés peut entraîner l'interruption de services informatiques, laisser les systèmes en service vous expose à une aggravation des dommages. Vous devez vous fier à votre propre jugement. En disposant d'une stratégie d'évaluation des risques, les décisions seront prises plus tôt.Évaluer les dommages.
Effectuez immédiatement une copie des disques durs de tous les serveurs ayant subi l'attaque et mettez-les de côté pour une expertise ultérieure. Évaluez ensuite les dommages. Une fois que vous maîtrisez la situation et que vous avez dupliqué les disques durs, déterminez dès que possible l'ampleur des dommages causés par l'attaque.Déterminer la cause des dommages.
Afin de certifier l'origine de l'attaque, il est nécessaire de comprendre quelles étaient les ressources ciblées et les vulnérabilités qui ont permis d'y accéder ou de perturber les services. Passez en revue la configuration système, le niveau des correctifs, les journaux système, les journaux d'audit et les traces d'audit sur les systèmes qui ont été directement touchés, ainsi que sur les périphériques réseau qui y acheminent le trafic.Réparer les dommages.
Généralement, il est essentiel de réparer rapidement les dommages. De cette façon, l'entreprise pourra reprendre une activité normale et les données perdues pendant l'attaque pourront être récupérées dans les plus brefs délais. Les procédures et plans de continuité des opérations doivent prévoir la stratégie de restauration.Réviser les stratégies de réponse et de mise à jour.
Une fois que les phases de documentation et de récupération ont été effectuées, il est nécessaire d’examiner l’ensemble du processus. Avec le concours de toute l'équipe, déterminez les étapes exécutées correctement et les erreurs commises.
Approche proactive
La gestion proactive des risques de sécurité présente de nombreux avantages par rapport à l'approche réactive. Plutôt que d'attendre que les problèmes se présentent avant d'y répondre, le principe de cette approche est de réduire au maximum la possibilité qu'ils se produisent dès le départ. Pour protéger les ressources importantes de votre entreprise, vous devez mettre en place des contrôles visant à réduire les risques d'exploitation des vulnérabilités par des programmes ou des personnes malveillants ou par un usage accidentel.
En effet, bien qu'une approche proactive efficace permette de diminuer considérablement les risques d'incidents de sécurité, il est peu probable que ces derniers disparaissent complètement. Par conséquent, il est fondamental que les entreprises continuent d'améliorer leurs processus de réponse aux incidents tout en développant des approches proactives sur le long terme.
Au moment d'élaborer un plan de réponse, vous devez vous pencher sur des scénarios réactifs et proactifs. Les étapes réactives énumérées précédemment doivent être complétées d'une planification proactive. Les principaux domaines à examiner lors de la préparation d'une approche proactive sont les suivants :
identification des ressources de l'entreprise ;
évaluation des dommages potentiels qu'une attaque contre une ressource pourrait causer au niveau de l'entreprise ;
identification des vulnérabilités exploitables pour une attaque ;
détermination des contrôles à mettre en place pour minimiser les risques d'attaque.
Sécurité des données
L'une des tâches les plus importantes du service informatique est d'assurer la sécurité des données de la société. Il existe plusieurs mesures à prendre pour accéder au niveau standardisé sur le plan de la sécurité des données.
Vous devez implémenter des contrôles antivirus sur tous les ordinateurs (consultez la section « Antivirus pour ordinateurs de bureau », plus haut dans ce guide).
Votre organisation doit établir des stratégies de classification cohérentes pour les données confidentielles.
Une cohérence des processus est nécessaire pour identifier les problèmes de sécurité et les menaces susceptibles de porter atteinte à la confidentialité des données de la société.
Pour plus d'informations sur la sécurité des données, rendez-vous à l'adresse : https://www.microsoft.com/technet/security/bestprac/bpent/sec3/datasec.mspx.
Phase 4 : déploiement
Les améliorations évaluées et approuvées au niveau des processus de sécurité sont mises en œuvre lors de la phase de déploiement. Il est important de pratiquer des tests d'utilisation, car ils s'inscrivent dans le cadre du renforcement de la stratégie de sécurité et des exercices de simulation périodiques qui vise à s'assurer de l'efficacité des traitements des données.
Informations complémentaires
Pour plus d'informations sur l'élaboration d'un plan de réponse aux incidents, rendez-vous à l'adresse : https://www.microsoft.com/technet/security/guidance/disasterrecovery/responding_sec_incidents.mspx.
Point de contrôle : stratégies de sécurité, évaluation des risques, réponse aux incidents et sécurité des données
|
Exigence |
|---|---|
Un responsable dédié à la stratégie et aux règles de sécurité a été nommé. |
|
|
Une méthodologie d'évaluation des risques a été établie. |
|
Un plan de réponse aux incidents a été défini. |
|
Un processus visant à gérer les identités des utilisateurs, des périphériques et des services a été mis en place. |
|
Des processus cohérents destinés à identifier les problèmes de sécurité, englobant tous les périphériques connectés au réseau, ont été établis. |
|
Les périphériques réseau ont été systématiquement mis en conformité avec la stratégie de sécurité. |
|
Une stratégie cohérente de classification des données a été définie. |
.gif)
Si vous avez exécuté les étapes précédentes, votre organisation répond à la condition minimale du niveau standardisé de l'exigence Stratégies de sécurité, évaluation des risques, réponse aux incidents et sécurité des données.
Nous vous recommandons de suivre les meilleures pratiques en matière de processus de sécurité, lesquelles sont abordées dans le Centre de sécurité de Microsoft TechNet.
Passez à la question d'auto-évaluation suivante.