Guide de sécurité de Microsoft Office 2007
Vue d'ensemble
Paru le 11 novembre 2007
Bienvenue dans le Guide de sécurité de Microsoft Office 2007. Ce guide propose des conseils prescriptifs permettant d'identifier les risques et d'atténuer les menaces de sécurité liées à Microsoft® Office 2007. Il a été conçu pour vous aider à modifier la configuration par défaut des ordinateurs de bureau et des ordinateurs portables qui exécutent Office 2007 dans des environnements Active Directory®.
Ce guide fait partie d'un Solution Accelerator qui fournit des conseils prescriptifs sous forme de recommandations, de meilleures pratiques et de procédures pas à pas, pour vous aider à planifier et à déployer Microsoft® Office 2007 de façon sécurisée. Il contient des informations sur le mode de déploiement des paramètres de sécurité recommandés pour deux types d'environnements :
Les paramètres recommandés pour les environnements Client Enterprise (EC) s'adressent à des entreprises qui recherchent un équilibre entre sécurité et fonctionnalité. Les entreprises, organismes publics et autres organisations désireuses de protéger leurs systèmes d'information doivent commencer par appliquer les recommandations EC. Elles pourront ensuite les personnaliser pour répondre à leurs besoins spécifiques.
Les paramètres recommandés pour les environnements Sécurité spécialisée – Fonctionnalité limitée (SSLF) sont destinés à des entreprises ayant des standards de sécurité rigoureux et pour lesquelles la sécurité des applications prime sur leur fonctionnalité. Ces paramètres sont destinés à des entreprises et organismes publics qui gèrent des informations ultraconfidentielles et ont une responsabilité en matière de sécurité. Vous pouvez appliquer les paramètres SSLF à un sous-ensemble d'ordinateurs de votre entreprise ou combiner des recommandations EC et SSLF en fonction de vos besoins.
Le Solution Accelerator qui comprend ce guide fournit également GPOAccelerator, un outil que vous pouvez utiliser pour déployer les paramètres de sécurité. Cet outil créé automatiquement tous les Objets de stratégie de groupe (GPO) dont vous avez besoin pour déployer les paramètres de sécurité recommandés dans votre environnement. Un document de référence complet intitulé Menaces et contre-mesures est également fourni pour aider les professionnels de la sécurité de l'information à comprendre le rôle de chaque paramètre de sécurité, la configuration correspondante recommandée et le risque qu'il permet d'atténuer. Ces paramètres sont également récapitulés dans un classeur Office Excel® nommé Paramètres de sécurité des applications Office 2007.
Les instructions prescrites dans le guide ont été revues et approuvées par des équipes d'ingénieurs Microsoft, des consultants, des ingénieurs du support technique, des partenaires et des clients, ce qui vous garantit de bénéficier d'un support :
Qui a fait ses preuves. Il est basé sur l'expérience de terrain.
Qui fait autorité. Il offre les meilleurs conseils possibles.
Précis. Il a été validé et testé sur le plan technique.
Exploitable. Il décrit les étapes qui vous conduiront au succès.
Pertinent. Il traite de problèmes de sécurité réels.
Que vous soyez consultant, spécialiste de la sécurité ou professionnel de l'informatique dans une PME ou une grande entreprise, ce guide vous donnera les moyens techniques et la vision d'ensemble nécessaires pour pouvoir développer une stratégie de sécurité efficace pour Microsoft Office 2007.
Sur cette page
Objet et portée du guide
Public visé
Pourquoi la sécurité est-elle cruciale pour Microsoft Office 2007 ?
Infrastructure requise
Résumé du chapitre
Remerciements
Objet et portée du guide
Le présent guide a pour but de permettre aux professionnels de l'informatique :
de comprendre les menaces de sécurité les plus répandues et les agents de menace qui rendent vulnérables les ordinateurs de bureau et les ordinateurs portables équipés de Microsoft Office 2007 ;
d'identifier et comprendre les mécanismes, technologies et paramètres d'atténuation des risques proposés dans Microsoft Office 2007 ;
de concevoir et configurer une structure d'unité d'organisation (UO) conforme aux recommandations et aux meilleures pratiques de Microsoft afin de déployer des paramètres de sécurité Microsoft Office 2007 ;
de planifier, tester et déployer les paramètres de sécurité recommandés pour deux types d'environnements à l'aide de l'outil GPOAccelerator.
Applications Microsoft Office abordées dans ce guide
Les informations de ce guide s'appliquent uniquement aux applications suivantes de Microsoft Office 2007 :
Microsoft Office Access™ 2007
Microsoft Office Excel 2007
Microsoft Office InfoPath® 2007
Microsoft Office Outlook® 2007
Microsoft Office PowerPoint® 2007
Microsoft Office Word 2007
Ce guide n'est pas valable pour les versions antérieures de Microsoft Office : de nombreux paramètres et fonctionnalités abordés ici ne sont pas disponibles dans les versions précédentes. Des tests ont été réalisés sur Windows® XP Édition Professionnelle, Service Pack 2 (SP2) et sur Windows Vista®. Windows Server® 2003 n'a pas été testé, bien que les recommandations de ce guide puissent s'appliquer à des ordinateurs qui exécutent Office 2007 sur Windows Server 2003 SP1 ou ultérieur.
Comme indiqué précédemment, ce guide fournit des recommandations prescriptives pour deux types d'environnements : l'environnement EC, qui présente un équilibre entre la sécurité et la fonctionnalité des applications, et l'environnement SSLF, dans lequel la sécurité prime sur la fonctionnalité. Vous pouvez utiliser les informations du guide d'accompagnement, Menaces et contre-mesures, pour modifier les paramètres recommandés dans le but de créer différentes configurations destinées à d'autres environnements spécialisés.
Public visé
Le Guide de sécurité de Microsoft Office 2007 s'adresse avant tout aux généralistes de l'informatique, aux spécialistes de la sécurité, aux architectes réseau et aux autres professionnels et consultants dans le domaine informatique, qui planifient et mettent en œuvre des déploiements d'Office 2007 sur les ordinateurs de bureau et les ordinateurs portables des PME et des grandes entreprises. Ce guide ne concerne pas les utilisateurs particuliers. Il a été conçu à l'attention des utilisateurs professionnels remplissant les fonctions suivantes :
Responsable Informatique. Il s'agit de professionnels qui gèrent la sécurité à tous les niveaux dans des entreprises dont la taille se situe entre 50 et 500 ordinateurs clients. Les responsables Informatiques s'occupent de la sécurisation des ordinateurs qu'ils gèrent de manière rapide et simple.
Spécialiste de la sécurité. Il s'agit de professionnels qui se consacrent à la sécurisation de plates-formes informatiques au sein d'une entreprise. Les spécialistes de la sécurité identifient les fonctionnalités et les paramètres de sécurité, puis ils fournissent des recommandations sur la manière dont leurs clients peuvent les utiliser le plus efficacement possible dans des environnements à hauts risques.
Personnel des opérations informatiques, de l'assistance interne et du déploiement. Il s'agit de professionnels qui se concentrent sur l'intégration de la sécurité et la maîtrise des évolutions dans le processus de déploiement, tandis que le personnel de déploiement se concentre sur la gestion rapide des mises à jour de sécurité. Ces types de personnel résolvent également les problèmes de sécurité liés aux applications qui ont trait à l'installation, à la configuration et à l'amélioration de la convivialité et de la gérabilité des logiciels. Ils surveillent ces types de problèmes pour définir des améliorations en matière de sécurité qui soient mesurables et dont l'impact sur les applications métier critiques soit minime.
Architecte et planificateur réseau. Il s'agit de professionnels qui s'efforcent d'améliorer l'architecture réseau des ordinateurs de leur entreprise.
Consultant. Il s'agit de professionnels qui travaillent dans des entreprises dont la taille correspond à un parc de 50 à 5 000 ordinateurs clients, voire plus. Les consultants en informatique sont sensibilisés à plusieurs types de scénarios de sécurité qui couvrent tous les niveaux d'activité d'une entreprise. Les consultants en informatique de Microsoft Services et des partenaires bénéficient d'outils de transfert des connaissances pour les clients d'entreprise et les partenaires.
Pourquoi la sécurité est-elle cruciale pour Microsoft Office 2007 ?
Microsoft s'engage à faire de la sécurité une préoccupation majeure pour chacun de ses produits. Plusieurs facteurs expliquent le caractère crucial de la sécurisation des applications de bureau, notamment des applications Office 2007. Ces facteurs comprennent :
Architecture de sécurité entièrement intégrée. Un dispositif de sécurité de l'information renforcé doit intégrer tous les éléments de l'infrastructure informatique. Microsoft Office est l'outil choisi par la plupart des utilisateurs pour travailler avec leurs collègues et, par conséquent, pour produire, consommer et communiquer des données. Microsoft Office 2007 offre une série élargie de contrôles et de fonctions de gestion sur la couche d'application, offrant des options complémentaires pour répondre dynamiquement, rapidement et sans grand effort aux menaces, dans le respect de la réglementation.
Le nombre d'attaques visant les applications de bureau augmente. Les applications de bureau, y compris celles de Microsoft Office 2007, subissent des attaques toujours plus nombreuses. Les programmeurs malveillants se désintéressent aujourd'hui des serveurs centralisés et se tournent vers les ordinateurs client, dont ils cherchent à accéder aux données. Pour faire face à ce danger; il est important de mettre en œuvre les paramètres et technologies de sécurité intégrées à Microsoft Office 2007.
Protection des données. Comme tous les logiciels bureautiques professionnels, les applications Microsoft Office 2007 permettent de créer et de manipuler des données. Bon nombre de ces données sont sensibles car elles correspondent, par exemple, à la propriété intellectuelle ou à des renseignements confidentiels d'une entreprise. La protection de ces informations sensibles est donc essentielle pour garantir la réussite et la sécurité de l'entreprise concernée.
Risques en matière de sécurité de l'information et défense en profondeur
Les professionnels de l'informatique et de la sécurité distinguent en général trois formes de risques en matière de sécurité de l'information :
Risques en termes de confidentialité. Ces risques constituent une menace pour la propriété intellectuelle de votre entreprise. Des utilisateurs non autorisés et des codes malveillants tentent d'accéder à ce qui est dit, écrit et créé au sein de votre entreprise.
Risques en termes d'intégrité. Ces risques constituent une menace pour les ressources de votre entreprise. Des utilisateurs non autorisés et des codes malveillants tentent d'endommager les données opérationnelles sur lesquelles repose l'activité de votre entreprise. Serveurs de bases de données, fichiers de données, serveurs de courriers électroniques – bref, l'ensemble des outils professionnels essentiels pour votre entreprise – peuvent courir des risques en termes d'intégrité.
Risques en termes de disponibilité. Ces risques constituent une menace pour les processus opérationnels. Des utilisateurs non autorisés et des codes malveillants tentent de perturber l'activité de votre entreprise et celle des travailleurs de l'information. Les processus d'informatique décisionnelle, les fonctions des applications et les processus de flux de travail sont concernés par les risques en termes de disponibilité.
Pour renforcer la protection de votre entreprise contre ces trois catégories de risques, il est recommandé de mettre en place une stratégie de défense en profondeur, c'est-à-dire une stratégie de sécurité qui intègre plusieurs couches superposées de défense contre les utilisateurs non autorisés et les codes malveillants. Ces couches comprennent généralement une protection du réseau de périmètre (par ex. : pare-feu) ; des mesures de sécurité physiques (par ex. : centres de données et salles de serveur situés en lieu sûr) et des outils de sécurité de bureau (par ex. : pare-feu et programmes personnels d'analyse de virus et de détection des logiciels espions).
Si Microsoft Office 2007 fait partie de votre environnement, votre stratégie de défense en profondeur doit également intégrer les mécanismes d'atténuation fournis avec la version 2007 d'Office. Ces mécanismes d'atténuation sont associés une large gamme de technologies, paramètres et fonctionnalités, tels que les éditeurs approuvés, le chiffrement, les emplacements approuvés, les signatures numériques, les paramètres de confidentialité et de sécurité pour les contrôles Microsoft ActiveX®, les compléments et les macros VBA (Microsoft Visual Basic® for Applications). L'association de ces technologies, paramètres et fonctionnalités peut contribuer à l'atténuation des menaces de sécurité de votre environnement. En utilisant ces mécanismes d'atténuation, vous renforcez la protection de la propriété intellectuelle, des ressources professionnelles et des processus opérationnels qui constituent la clé de voûte de votre entreprise.
Infrastructure requise
Ces conseils partent du principe que l'architecture de sécurité de votre entreprise repose sur des recommandations et pratiques standard et que vous utilisez les technologies de protection actuelles. De même, on considère que vous avez :
déployé un environnement Active Directory dans l'ensemble de votre entreprise, qui permet aux ordinateurs de bureau, portables et serveurs d'être gérés de façon centralisée via des stratégies de groupe ;
mis en œuvre les recommandations et meilleures pratiques indiquées dans le Guide de sécurité de Windows XP ou dans le Guide de sécurité Windows Vista. Ces guides proposent des conseils prescriptifs pour protéger les ordinateurs de bureau et les ordinateurs portables qui exécutent les systèmes d'exploitation Windows XP et Windows Vista. Ils sont disponibles sur le Centre de téléchargement Microsoft et sur le site Web Microsoft TechNet ;
renforcé et sécurisé vos serveurs conformément au guide Introduction à la sécurité sur Windows 2003. Ce guide propose des conseils prescriptifs pour protéger les serveurs qui exécutent le système d'exploitation Windows Server 2003. Il est disponible sur le Centre de téléchargement Microsoft et sur le site Web Microsoft TechNet.
Si votre infrastructure ne correspond pas à celle décrite, les ressources suivantes sont disponibles pour vous aider à sécuriser et à mettre à niveau votre infrastructure.
Planification d'un projet de déploiement Active Directory (la page peut être en anglais)
Site Web Microsoft Sécurité
Site Web Microsoft Formation et certification (inclut des informations sur la certification Microsoft, le e-learning et la formation informatique en ligne)
Résumé du chapitre
Le Guide de la sécurité de Microsoft Office 2007 consiste en une présentation et cinq chapitres. La figure suivante illustre la façon dont vous pouvez utiliser ce guide ainsi que d'autres documents du Guide de sécurité de Microsoft Office 2007 pour planifier et déployer des paramètres de sécurité dans votre environnement.
.gif)
Comme illustré à l'étape 2 de la figure précédente, les chapitres 1 à 4 de ce guide vous aident à déterminer les paramètres de sécurités les plus adaptés à votre environnement. Cependant, si vous souhaitez déployer les paramètres EC ou SSLF en suivant exactement les conseils fournis, sans modification (dans un environnement de test, par exemple), vous pouvez passer directement à l'étape 4 et suivre les conseils du chapitre 5 ainsi que ceux du guide Utilisation de GPOAccelerator. Inutile de lire les chapitres 1 à 4 pour déployer les paramètres EC et SSLF recommandés.
Notes
Microsoft vous recommande d'effectuer une évaluation rigoureuse des paramètres EC et SSLF avant de les utiliser dans un environnement de production.
Ci-dessous, vous trouverez un résumé de chacun des chapitres.
Chapitre 1 : Office 2007 a6a63525-874e-4820-9638-c008de0165d9.xml
Ce chapitre fournit les informations suivantes :
Une présentation du modèle de sécurité de Microsoft Office 2007. Il inclut notamment une description des principes de sécurité implicites.
Une description des nouveaux paramètres et fonctionnalités de sécurité.
Une description des menaces et des agents de menace répandus qui représentent un risque pour Microsoft Office 2007.
Chapitre 2 : Confidentialité c0b0250c-809e-4c2d-b2b5-94e3e54b36f4.xml
Ce chapitre propose une présentation des technologies et paramètres de sécurité de Microsoft Office 2007 qui contribuent à l'atténuation des menaces en termes de confidentialité, avec notamment les sections suivantes :
Paramètres de confidentialité
Paramètres de chiffrement.
Paramètres Gestion des droits relatifs à l'information
Ces informations peuvent vous servir pendant les phases de conception et de planification pour mieux comprendre les menaces en termes de confidentialité et les systèmes d'atténuation disponibles pour parer ces menaces.
Chapitre 3 : Intégrité 62bde736-3e56-4412-a6a9-67f76c748618.xml
Ce chapitre propose une présentation des technologies et paramètres de sécurité de Microsoft Office 2007 qui contribuent à l'atténuation des menaces en termes d'intégrité, avec notamment les sections suivantes ::
Paramètres d'éditeur approuvé
Paramètres d'emplacement approuvé
Paramètres des signatures numériques
Ces informations peuvent vous servir pendant les phases de conception et de planification pour mieux comprendre les menaces en termes d'intégrité et les systèmes d'atténuation disponibles pour parer ces menaces.
Chapitre 4 : Disponibilité 162c122b-7fb5-46db-ad5f-edc16cf1b40d.xml
Ce chapitre propose une présentation des technologies et paramètres de sécurité de Microsoft Office 2007 qui contribuent à l'atténuation des menaces en termes de disponibilité, avec notamment les sections suivantes :
Paramètres de contrôle ActiveX
Paramètres de complément
Paramètres de macro VBA
Paramètres de contenu externe
Paramètres de blocage de fichiers
Paramètres de Microsoft Internet Explorer®
Ces informations peuvent vous servir pendant les phases de conception et de planification pour mieux comprendre les menaces en termes de confidentialité et les systèmes d'atténuation disponibles pour parer ces menaces.
Chapitre 5 : Conception et implémentation des paramètres de sécurité945fb590-e737-4359-8b9a-487aef94f9fd.xml
Ce chapitre fournit des recommandations prescriptives pour vous orienter dans le choix des paramètres de l'environnement EC ou SSLF, ainsi que pour concevoir une structure d'unités d'organisation (OU).
Remerciements
L'équipe SA-SC tient à remercier les personnes ayant collaboré au Guide de sécurité de Microsoft Office 2007. Les personnes mentionnées ci-après sont directement responsables de la rédaction, du développement et des tests de ce guide ou y ont largement contribué.
Développeurs de contenu
Bill Gruber – Microsoft
Paul Henry – Wadeware LLC
Paul Slater – Wadeware LLC
Responsable du développement
Ross Carter – Microsoft
Rédacteurs
Jennifer Kerns – Wadeware LLC
Steve Wacker – Wadeware LLC
Responsables produits
Alain Meeus – Microsoft
Jim Stuart – Microsoft
Eric Yaver – Volt Information Sciences
Gestion des programmes
Flicka Enloe – Microsoft
Responsable de publication
Karina Larson – Microsoft
Réviseurs
Alex Vandurme – NCIRC/NATO
Brad Albrecht – Microsoft
Chase Carpenter – Microsoft
David Vanophalvens – NCIRC/NATO
Derick Campbell – Microsoft
Ed McGinn – Microsoft
Eugene Siu – Microsoft
Frank Simorjay – Microsoft
Joshua Edwards – Microsoft
Korean Government
Kurt Dillard – Microsoft
Mallikarjuna rao Nimmagadda – Microsoft
Mark Simos – Microsoft
Norman Vadnais – Independent
Padgett Peterson – Lockheed Martin
Raf Cox – Microsoft
Tom Garity – Independent
Waqas Nazir – V-Empower Inc.
L'institut de la normalisation et de la technique (National Institute of Standards and Technology, NIST) du département du commerce américain a participé à la révision de ce guide de sécurité Microsoft et a émis des commentaires qui ont été incorporés à la version publiée.
Responsable des tests
Gaurav Singh Bora – Microsoft
Testeurs
Harish Ananthapadmaanabhan – Infosys Technologies Ltd.
IndiraDevi Chandran – Infosys Technologies Ltd.
RaxitKumar Gajjar – Infosys Technologies Ltd.
Sumit Parikh – Infosys Technologies Ltd.
Télécharger
Obtenir le Guide de sécurité de Microsoft Office 2007
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires