Évaluer les menaces pour la sécurité et la confidentialité dans Office System 2007
Mis à jour: février 2009
S'applique à: Office Resource Kit
Dernière rubrique modifiée : 2009-02-05
Dans cet article :
Vue d'ensemble des menaces pour la sécurité
Menaces envers le code et les applications
Menaces envers les documents
Menaces externes
Menaces Internet Explorer
Menaces de confidentialité
Failles de sécurité
Une configuration de bureau sécurisé joue un rôle essentiel dans la stratégie de protection renforcée de n'importe quelle organisation. Toutefois, avant de planifier une configuration de bureau sécurisé qui inclue Microsoft Office System 2007, vous devez identifier les atteintes à la sécurité pouvant affecter Office System 2007, puis déterminer quelles menaces pour la sécurité génèrent un risque pour les biens ou les processus professionnels de votre organisation. Vous devez également identifier les menaces présentant un risque pour les informations personnelles et privées des utilisateurs.
Vue d'ensemble des menaces pour la sécurité
Le modèle de sécurité pour Office System 2007 vous aide à réduire six types de menaces de sécurité. Chacune de ces menaces de sécurité comprend plusieurs agents de menace et peut être exploitée par un large éventail des attaques de sécurité. La figure suivante illustre les menaces de sécurité et des exemples des agents de menace les plus courants.
.gif "Menaces de sécurité et de confidentialité")
La plupart des organisations sont potentiellement confrontées à chacune de ces six menaces de sécurité. Cependant, toutes les organisations ne sont pas confrontées aux mêmes agents de menace et aux mêmes attaques de sécurité et codes malveillants exploitant des failles de sécurité. Comme première étape dans la planification d'une configuration de bureau sécurisée qui inclut Office System 2007, utilisez les instructions fournies dans les sections suivantes pour déterminer :
Quels sont les agents de sécurité pertinents parmi les six.
Quels agents de sécurité présentent un risque potentiel.
Comment les pirates peuvent exploiter ces agents de menace.
Votre organisation doit disposer de plusieurs documents pouvant vous aider à identifier les menaces pesant sur votre organisation, y compris des modèles de risque, des plans de sécurité et des plans de fonctionnement. Outre les documents sur lesquels vous pouvez compter, veillez à tenir compte des éléments suivants lorsque vous évaluez les menaces pour la sécurité :
Architecture de sécurité réseau (par exemple, conception d'un réseau de périmètre, conception d'un extranet, conception d'un pare-feu et conception d'un serveur proxy).
Stratégies de sécurité physiques (par exemple, création des restrictions d'accès, stratégies de rétention de document et stratégies de sécurité des ordinateurs portables).
Les stratégies de confidentialité (par exemple, les définitions des informations personnelles et privées).
L'infrastructure d'authentification et d'autorisation (par exemple, la façon dont les clients, fournisseurs ou partenaires sont autorisés à accéder à votre réseau).
Le plan de préparation pour traiter les menaces de sécurité soudaines.
Les stratégies à usage personnel pour les courriers électroniques et l'accès à Internet.
En outre, veillez à mettre à jour le modèle de risque ou le plan de sécurité existant de votre organisation si vous identifiez de nouvelles menaces ou de nouveaux agents de menace.
Menaces envers le code et les applications
Les menaces envers le code et les applications sont des menaces courantes à l'encontre de la sécurité du bureau. Les agents de menace par défaut incluent les contrôles ActiveX, les compléments et les macros VBA (Visual Basic pour Applications). Ces agents de menace peuvent être exploités par des programmeurs qui écrivent du code malveillant ou créent des programmes malveillants, qui s'exécutent sur l'ordinateur de l'utilisateur. Les menaces envers le code et les applications posent un risque potentiel aux organisations de toute taille. En particulier, les menaces envers le code et les applications posent un risque potentiel pour votre organisation si cette dernière permet aux utilisateurs d'effectuer les opérations suivantes :
Exécuter les macros, contrôles ActiveX ou compléments.
Recevoir les pièces jointes des messages électroniques.
Partager des documents sur un réseau public, tel qu'Internet.
Ouvrir des documents provenant de sources extérieures à votre organisation, telles que des clients, des fournisseurs ou des partenaires.
Si les menaces envers le code et les applications posent un risque pour votre organisation, consultez Évaluer les paramètres de sécurité et les options de confidentialité par défaut pour Office System 2007 afin de déterminer si vous devez modifier les paramètres de sécurité par défaut pour réduire les menaces liées au code et aux applications.
Menaces envers les documents
Les menaces liées aux documents se produisent lorsque des utilisateurs non autorisés tentent d'accéder aux documents de votre organisation ou aux informations figurant dans les documents de votre organisation. Lorsque des personnes malveillantes ou des intrus non autorisés accèdent à un document, les résultats peuvent inclure la perte de :
Confidentialité (les données du document ne sont plus protégées).
Intégrité (les données du document sont modifiées ou endommagées).
Contenu (des données du document sont manquantes).
La plupart des organisations sont confrontées à des menaces liées aux documents, mais nombre de ces organisations choisissent de ne pas les atténuer car le risque est perçu comme étant minimal ou le coût administratif résultant est perçu comme élevé. Néanmoins, les menaces affectant les documents posent un risque lorsque l'une des affirmations suivantes est vraie :
L'architecture de sécurité du réseau de votre organisation ne peut pas empêcher les intrus ou les personnes malveillantes d'accéder à votre réseau interne, ce qui augmente le risque que de telles personnes accèdent aux documents de votre organisation.
Votre organisation permet aux utilisateurs d'envoyer, recevoir ou partager des documents confidentiels sur Internet, y compris des données financières, des plans de projet, des présentations ou des dessins.
Votre organisation permet aux utilisateurs de connecter des ordinateurs portables à des réseaux publics, ce qui augmente le risque que des intrus non identifiables accèdent aux documents qui sont enregistrés sur les ordinateurs portables des utilisateurs.
Votre organisation permet aux utilisateurs d'emporter en dehors du bureau des documents contenant des informations confidentielles.
Vous pensez qu'il existe un risque que des personnes malveillantes ou des intrus non autorisés puissent accéder aux documents contenant des informations confidentielles.
Si les menaces affectant les documents posent un risque pour votre organisation, consultez Évaluer les paramètres de sécurité et les options de confidentialité par défaut pour Office System 2007 afin de déterminer si vous devez modifier les paramètres de sécurité par défaut pour réduire de telles menaces.
Menaces externes
Les menaces externes comprennent tout agent de menace liant un document à un autre document, à une base de données ou à un site Web sur un intranet ou un réseau public, tel qu'Internet. Les menaces externes sont exploitées par le biais des agents de menace suivants :
Liens hypertexte Les personnes malveillantes exploitent généralement cet agent de menace en créant des liens hypertexte vers des documents non approuvés ou des sites Web qui contiennent du code ou du contenu malveillant.
Connexions de données Les personnes malveillantes exploitent généralement cet agent de menace en créant une connexion de données à une source de données ou une base de données, puis elles utilisent cette connexion de données pour manipuler ou extraire des données à des fins malveillantes.
Balises Web Les personnes malveillantes exploitent généralement cet agent de menace en incorporant un lien invisible vers une image distante dans un message électronique. Lorsqu'un utilisateur ouvre le message, le lien active et télécharge l'image distante. De cette façon, des informations utilisateur peuvent être envoyées à l'ordinateur distant, telles que l'adresse de messagerie de l'utilisateur et l'adresse IP de l'ordinateur de l'utilisateur.
Objets gestionnaire de liaisons Les personnes malveillantes peuvent exploiter cet agent de menace en faisant exécuter du code malveillant par un objet incorporé.
Les menaces externes posent un problème si votre organisation :
Fournit aux utilisateurs un accès illimité à des réseaux publics tels qu'Internet.
Permet aux utilisateurs de recevoir des messages électroniques contenant des images incorporées et du code HTML.
Permet aux utilisateurs d'utiliser les connexions de données dans des feuilles de calcul ou d'autres documents.
Si les menaces externes posent un risque pour votre organisation, consultez Évaluer les paramètres de sécurité et les options de confidentialité par défaut pour Office System 2007 afin de déterminer si vous devez modifier les paramètres de sécurité par défaut pour réduire de telles menaces.
Menaces Internet Explorer
Les menaces Internet Explorer peuvent se produire lorsqu'une application ou un document utilise les fonctionnalités d'Internet Explorer. Les menaces Internet Explorer posent un risque pour les applications et les documents, car les menaces qui existent pour Internet Explorer existent également pour l'application ou le document qui héberge Internet Explorer. Les menaces Internet Explorer incluent plusieurs agents de menace et peuvent être exploitées par le biais d'un large éventail d'attaques de sécurité. Parmi les agents de menace, citons l'installation de contrôles ActiveX, les téléchargements de fichiers, l'espionnage MIME (Multipurpose Internet Mail Extensions), l'élévation de zone et l'installation de modules complémentaires.
Les menaces Internet Explorer posent un problème si votre organisation :
Permet aux utilisateurs d'exécuter des contrôles ActiveX, des compléments ou des macros qui utilisent les fonctionnalités d'Internet Explorer.
Développe et distribue des solutions Office qui appellent les fonctionnalités d'Internet Explorer.
Si votre entreprise est confrontée à des menaces Internet Explorer, consultez Évaluer les paramètres de sécurité et les options de confidentialité par défaut pour Office System 2007 pour déterminer si vous devez modifier les paramètres de sécurité par défaut pour atténuer de telles menaces.
Menaces de confidentialité
Les menaces de confidentialité incluent tout agent de menace qui divulgue ou révèle des informations personnelles ou privées sans le consentement de l'utilisateur ou sans qu'il soit mis au courant. Les menaces de confidentialité peuvent être exploitées par le biais de plusieurs agents de menace, mais l'agent de menace le plus courant sont les données de document masquées, appelées métadonnées. Les métadonnées permettent aux utilisateurs d'enregistrer ou de suivre les propriétés d'un document, comme le nom de l'auteur, le nom de l'organisation, le temps d'édition du document ou le numéro de version du document. Les métadonnées peuvent être supprimées d'un document, mais lorsqu'elles ne le sont pas, toute personne ouvrant le document a accès aux métadonnées.
Les menaces de confidentialité peuvent également être exploitées lorsqu'un document contient du contenu supplémentaire qui est considéré comme confidentiel ou protégé, tel que des commentaires, des révisions, des annotations, des données XML personnalisées, du texte masqué, des filigranes, et des informations d'en-tête et de pied de page. À moins que ce contenu ne soit supprimé d'un document, les personnes ayant accès au document ont également accès au contenu supplémentaire.
Outre les menaces de confidentialité, il y a des cas où les informations privées peuvent être divulguées ou révélées en activant ou en utilisant diverses fonctions ou fonctionnalités d'applications. Bien que ces fonctions et fonctionnalités ne soient pas considérées comme étant des agents de menace, elles peuvent révéler ou divulguer des informations personnelles ou privées que votre organisation juge confidentielles ou protégées.
Pour plus d'informations sur la confidentialité, voir la « Déclaration de confidentialité de Microsoft Office System 2007 », accessible à partir du Centre de gestion de la confidentialité en cliquant sur Options de confidentialité, puis en cliquant sur Lire la déclaration de confidentialité.
La plupart des organisations sont confrontées à des menaces de confidentialité ou souhaitent gérer activement la divulgation des informations privées ou personnelles. Consultez Évaluer les paramètres de sécurité et les options de confidentialité par défaut pour Office System 2007 pour déterminer si vous devez modifier les options de confidentialité par défaut ou si vous devez modifier les paramètres de sécurité par défaut pour atténuer les menaces de confidentialité.
Failles de sécurité
Une faille de sécurité est un type spécial de menace de sécurité qui a été corrigée par une mise à jour de logiciel, comme un bulletin de sécurité Microsoft ou un Service Pack. Les failles de sécurité peuvent inclure une large gamme d'agents de menace, tels que :
L'exécution de code à distance
L'élévation de privilège
La divulgation d'informations
Les programmeurs malveillants et les utilisateurs malveillants peuvent exploiter les failles de sécurité au moyen de différentes attaques de sécurité. Tant qu'un bulletin de sécurité ou un Service Pack n'est pas mis en circulation pour répondre à la faille de sécurité, celle-ci représente une menace potentielle pour votre organisation. Si des failles de sécurité constituent une menace potentielle pour votre organisation, consultez Évaluer les paramètres de sécurité par défaut pour les failles de sécurité dans Évaluer les paramètres de sécurité et les options de confidentialité par défaut pour Office System 2007 afin de déterminer si vous devez modifier les paramètres de sécurité par défaut pour les failles de sécurité.
Télécharger ce livre
Cette rubrique est incluse dans le livre téléchargeable suivant pour une lecture et une impression plus faciles :
Vous trouverez la liste complète des livres disponibles sur Contenu téléchargeable pour le Kit de ressources d’Office 2007.