Exporter (0) Imprimer
Développer tout

Stratégies de gestion des risques liés aux logiciels malveillants

Paru le 18 août 2006


Sur cette page

Introduction
Définition
Enjeux
Solutions
Résumé
Annexe A : Ressources courantes des systèmes d'information
Annexe B : Menaces courantes
Annexe C : Vulnérabilités
Références

Introduction

Bienvenue dans ce document de la collection Guides de sécurité pour les entreprises de taille moyenne. Microsoft espère que les informations suivantes vous aideront à mettre en place un environnement informatique plus sûr et plus productif.

Synthèse

À l'instar des logiciels malveillants dont elles combattent les menaces et attaques, les technologies matérielles et logicielles sont en constante évolution et de plus en plus sophistiquées.

Les menaces de logiciels malveillants se sont avérées très coûteuses pour les entreprises de taille moyenne, aussi bien pour les technologies et opérations de défense contre les attaques que pour les réponses à apporter à ces dernières. Internet a fortement augmenté le nombre de menaces externes pour les environnements d'entreprise de taille moyenne ; parallèlement, certaines des menaces les plus à risque, telles que les attaques internes, restent présentes.

Les attaques internes qui représentent le plus gros risque en termes de dommages sont la conséquence des activités d'employés occupant les plus hauts postes de confiance, tels que les administrateurs réseau. Les utilisateurs internes impliqués dans des activités malveillantes ont généralement des objectifs précis, tels que l'implantation d'un cheval de Troie ou d'une navigation non autorisée dans un système de fichiers tout en conservant un accès légitime aux systèmes. Dans la plupart des cas, les employés n'ont aucune intention malveillante, mais ils peuvent implanter un logiciel malveillant en connectant involontairement des systèmes ou des périphériques infectés à un réseau interne, compromettant ainsi l'intégrité ou la confidentialité du système ou réduisant les performances, la disponibilité et/ou les capacités de stockage.

L'analyse des menaces internes et externes a conduit de nombreuses entreprises de taille moyenne à étudier des systèmes de surveillance des réseaux et de détection des attaques, notamment des ressources permettant de gérer les risques liés aux logiciels malveillants en temps réel.

Présentation

Ce document fournit des informations sur les stratégies permettant de gérer les risques liés aux logiciels malveillants dans les entreprises de taille moyenne. Il se divise en quatre sections principales : Introduction, Définition, Enjeux et Solutions.

Définition

Cette section explique ce qu'est un logiciel malveillant (et ce qui n'en n'est pas un), ses caractéristiques et la gestion des risques.

Enjeux

Cette section décrit bon nombre d'enjeux communs aux entreprises de taille moyenne en termes de gestion des risques liés aux logiciels malveillants, notamment :

  • Ressources courantes des systèmes d'information

  • Menaces courantes

  • Vulnérabilités

  • Formation des utilisateurs finaux et stratégies

  • Équilibre entre gestion des risques et besoins de l'entreprise

Solutions

Cette section fournit des informations supplémentaires sur les diverses stratégies et approches, notamment :

  • Stratégies physiques et logiques

  • Approches réactives et proactives de la prévention contre les logiciels malveillants et les virus

  • Stratégies destinées à réduire les risques liés aux logiciels malveillants

L'évaluation et la gestion des risques liés aux logiciels malveillants sont également traitées dans cette section dans le cadre de stratégies de prévention contre les menaces des logiciels malveillants. Cette section fournit également des informations sur les outils de surveillance et de génération de rapports permettant d'analyser, de détecter et de signaler les activités des logiciels malveillants.

Personnes concernées par ce guide

Ce document est essentiellement destiné aux responsables et au personnel informatique des entreprises de taille moyenne pour leur permettre de mieux comprendre les menaces liées aux logiciels malveillants, comment s'en protéger et comment y répondre rapidement et de manière adéquate lorsqu'elles surviennent.

Définition

« Logiciel malveillant » est un nom collectif qui regroupe les virus, vers et autres chevaux de Troie qui effectuent intentionnellement des tâches malveillantes sur un ordinateur. Techniquement, un logiciel malveillant est un code malveillant.

Présentation des différents types de logiciels malveillants

Les sous-sections suivantes décrivent les diverses catégories de logiciels malveillants.

Logiciels malveillants dissimulés
  • Cheval de Troie. Le cheval de Troie est un programme qui semble utile ou inoffensif, mais qui contient du code masqué conçu pour exploiter ou endommager le système sur lequel il s'exécute. Ces programmes sont généralement diffusés aux utilisateurs par le biais de messages électroniques qui dissimulent leur fonction et leurs caractéristiques réelles. Une fois exécutés, les chevaux de Troie génèrent une charge utile ou une tâche malveillante sur le système infecté.

Logiciels malveillants infectieux
  • Ver. Le ver utilise un code malveillant d'auto-propagation capable de se diffuser automatiquement d'un ordinateur à un autre par le biais de connexions réseau. Il peut entreprendre des actions dommageables, telles que la consommation des ressources du système local ou du réseau qui peuvent générer une attaque de déni de service. Certains vers peuvent s'exécuter et se répandre sans intervention de l'utilisateur, tandis que d'autres doivent être directement exécutés. Outre leur duplication, certains vers peuvent également générer une charge utile.

  • Virus. Le virus utilise un code expressément écrit pour se dupliquer. Il tente de se propager d'ordinateur à ordinateur en se joignant à un programme hôte. Il peut endommager le matériel, les logiciels ou les données. L'exécution du programme hôte entraîne celle du code viral, infectant ainsi de nouveaux hôtes et générant parfois une charge utile supplémentaire.

Logiciels malveillants à but lucratif
  • Logiciels espions. Les logiciels de ce type sont parfois appelés spybots ou logiciels de suivi. Les logiciels espions utilisent d'autres formes de logiciels et programmes trompeurs pour mener certaines activités sur un ordinateur sans obtenir le consentement de l'utilisateur. Ces activités comprennent la collecte d'informations personnelles et la modification des paramètres de configuration du navigateur Internet. Outre la gêne occasionnée, les logiciels espions peuvent avoir des conséquences plus sérieuses, telles que la dégradation des performances globales de votre ordinateur ou la violation de votre vie privée.

    Les sites Web qui diffusent des logiciels espions utilisent diverses astuces pour amener les utilisateurs à les télécharger et à les installer sur leurs ordinateurs. Ces astuces consistent notamment à créer des interactions trompeuses avec les utilisateurs et à joindre secrètement des logiciels espions à d'autres logiciels susceptibles d'intéresser les utilisateurs, tels que des logiciels gratuits d'échange de fichiers.

  • Logiciels publicitaires. Les logiciels publicitaires sont une forme de logiciel d'affichage de publicité, plus précisément des applications exécutables dont l'objectif principal est de diffuser du contenu publicitaire d'une manière ou dans un contexte inattendu et non souhaité par les utilisateurs. Bon nombre de logiciels publicitaires comportent également des fonctions de suivi ; ils peuvent donc aussi être classés en tant que technologies de suivi. Certains clients peuvent souhaiter supprimer les logiciels publicitaires s'ils refusent de faire l'objet d'un tel suivi, s'ils ne souhaitent pas afficher les publicités générées par le programme ou s'ils sont frustrés par ses effets sur les performances du système. À l'inverse, certains utilisateurs peuvent souhaiter conserver des logiciels publicitaires spécifiques si leur présence subventionne le coût d'un produit ou d'un service ou s'ils fournissent des publicités utiles ou souhaitées, par exemple relatives à un produit que recherche l'utilisateur.

Pour plus d'informations, reportez-vous à la rubrique Logiciels malveillants dans Wikipédia (http://fr.wikipedia.org/wiki/Logiciel_malveillant) et à la rubrique Qu'est-ce qu'un logiciel malveillant ? dans le Guide de défense antivirus renforcée à l'adresse suivante : www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#ELF.

Présentation des comportements des logiciels malveillants

Les diverses caractéristiques que peut présenter chaque catégorie de logiciels malveillants sont souvent très similaires. Par exemple, un virus et un ver peuvent tous deux utiliser le réseau comme mécanisme de transport. Cependant, un virus recherche des fichiers à infecter alors que le ver cherche simplement à se dupliquer. La section suivante décrit brièvement les caractéristiques classiques des logiciels malveillants.

Environnements cibles

Lorsqu'un logiciel malveillant essaie d'attaquer un système hôte, un certain nombre de composants spécifiques peuvent être nécessaires pour que cette attaque soit menée à bien. Les composants suivants sont des exemples typiques de composants dont les logiciels malveillants peuvent avoir besoin pour lancer une attaque contre un hôte :

  • Périphériques. Certains logiciels malveillants prennent pour cible un type de périphérique spécifique, tel qu'un ordinateur personnel (PC), un ordinateur Apple Macintosh (Mac) ou un assistant numérique personnel (PDA). Les périphériques mobiles tels que les téléphones cellulaires sont devenus des cibles de plus en plus courantes.

  • Systèmes d'exploitation. Les logiciels malveillants peuvent nécessiter un système d'exploitation spécifique pour être efficaces. Par exemple, les virus CIH et Chernobyl apparus à la fin des années 1990 ne pouvaient affecter que des ordinateurs fonctionnant sous Microsoft® Windows® 95 ou Windows 98. Les systèmes d’exploitation plus récents sont davantage sécurisés. Malheureusement, les logiciels malveillants deviennent eux aussi de plus en plus sophistiqués.

  • Applications. Les logiciels malveillants peuvent nécessiter qu'une application spécifique soit installée sur l'ordinateur cible avant de pouvoir délivrer une charge utile ou se dupliquer. Par exemple, le virus LFM.926 de 2002 ne pouvait procéder à une attaque que si l'ordinateur local pouvait exécuter les fichiers Shockwave Flash (.swf).

Objets transporteurs

Si le logiciel malveillant est un virus, il essaie de cibler un objet transporteur (également appelé hôte) pour l'infecter. Le nombre et le type des objets transporteurs sont très variables selon les différentes formes de logiciels malveillants, mais la liste suivante fournit des exemples des objets transporteurs les plus couramment ciblés :

  • Fichiers exécutables. Ces transporteurs sont les cibles des types de virus « classiques » qui se dupliquent en se joignant à un programme hôte. Outre les fichiers exécutables classiques utilisant l'extension de fichier .exe, les fichiers comportant les extensions suivantes peuvent également être ciblés : .com, .sys, .dll, .ovl, .ocx et .prg.

  • Scripts. Les attaques qui se servent de scripts en tant que transporteurs ciblent les fichiers utilisant un langage de script tel que Microsoft Visual Basic® Script, JavaScript, AppleScript ou Perl Script. Les extensions des fichiers de ce type sont les suivantes : .vbs, .js, .wsh et .prl.

  • Macros. Ces transporteurs sont des fichiers capables de prendre en charge le langage de macro d'une application spécifique, telle qu'un traitement de texte, une feuille de calcul ou une application de base de données. Par exemple, les virus peuvent utiliser les langages de macro de Microsoft Word et Lotus Ami Pro afin de produire un certain nombre d'effets, d'un niveau de gravité plus ou moins élevé (allant de la modification des couleurs ou le déplacement de mots dans un document jusqu'au formatage du disque dur de l'ordinateur).

Mécanismes de transport

Une attaque peut utiliser une ou plusieurs méthodes pour essayer de se dupliquer entre les systèmes informatiques. Cette section fournit des informations sur une partie des mécanismes de transport les plus courants utilisés par les logiciels malveillants.

  • Supports amovibles. Le moyen de transmission d'origine et le plus prolifique de virus informatiques et autres logiciels malveillants (du moins, jusqu'à récemment) est le transfert de fichiers. Ce mécanisme est apparu avec les disquettes, puis s'est déplacé vers les réseaux pour atteindre aujourd'hui des supports tels que les périphériques USB (Universal Serial Bus) et Firewire. Le taux d'infection est moins rapide qu'avec les logiciels malveillants basés sur les réseaux, mais cette menace demeure néanmoins présente et difficile à éradiquer complètement en raison du besoin d'échanger des données entre systèmes.

  • Partages réseaux. Lorsque les ordinateurs ont été dotés d'un mécanisme permettant de se connecter entre eux directement via un réseau, les créateurs de logiciels malveillants y ont vu un nouveau mécanisme de transport dont le potentiel de diffusion de code malveillant dépassait les possibilités offertes par les supports amovibles. Une sécurité peu efficace sur les partages réseau offre un environnement dans lequel les logiciels malveillants peuvent se dupliquer sur un grand nombre d'ordinateurs connectés au réseau. Cette méthode a largement supplanté la méthode manuelle utilisant des supports amovibles.

  • Réseaux P2P (peer-to-peer, d'égal à égal). Pour qu'un transfert de fichiers P2P puisse fonctionner, l'utilisateur doit d'abord installer un composant client de l'application P2P qui utilisera le réseau.

Pour plus d'informations, reportez-vous à la section « Caractéristiques de logiciels malveillants » du Guide de défense antivirus renforcée à l'adresse suivante : www.microsoft.com/technet/security/topics/serversecurity/avdind_2.mspx#EQAAC.

Éléments non considérés comme des logiciels malveillants

Il existe diverses menaces qui ne sont pas considérées comme des logiciels malveillants car il ne s'agit pas de programmes informatiques écrits dans une intention malveillante. Néanmoins, ces menaces peuvent avoir des conséquences financières et sécuritaires sur les entreprises de taille moyenne. La liste suivante décrit des exemples courants de menaces devant être prises en compte et assimilées lors de la mise au point d'une stratégie de sécurité.

  • Logiciels humoristiques. Les applications humoristiques sont conçues pour amuser ou, au pire, faire perdre du temps à un utilisateur. Ces applications existent depuis aussi longtemps que les ordinateurs. Étant donné qu'elles sont conçues sans intention malveillante et clairement identifiées comme étant humoristiques, elles ne sont pas considérées comme des logiciels malveillants tels que ceux ciblés par ce guide. Il existe de nombreux exemples d'applications humoristiques, tels que des effets visuels ou des animations et des jeux amusants.

  • Canulars. Un canular est, par exemple, un faux message d'avertissement relatif à un virus inexistant. Tout comme certains autres types de logiciels malveillants, les canulars se servent de l'ingénierie sociale pour tenter d'amener l'utilisateur à effectuer certaines opérations. Toutefois, un canular ne comporte aucun code à exécuter ; le but est généralement de jouer un tour à la victime. On peut citer comme exemple les messages électroniques ou les chaînes de messages avertissant de la découverte d'un nouveau type de virus et demandant de transmettre ce message afin d'en avertir d'autres utilisateurs. Ce type de canulars fait perdre du temps aux utilisateurs, monopolise des ressources du serveur de messagerie et consomme de la bande passante du réseau. Toutefois, les canulars peuvent également causer des dommages si leur contenu contient des instructions relatives à la modification de la configuration de l'ordinateur (par exemple, la suppression de clés de Registre ou de fichiers système).

  • Escroqueries. Les escroqueries sont, par exemple, des messages électroniques qui tentent d'amener le destinataire à divulguer des informations personnelles (telles que des références bancaires) pouvant être utilisées à des fins illégales. L'hameçonnage est un type spécifique d'escroquerie, également appelé « brand spoofing » (usurpation de marque) ou « carding » (collecte d'informations de carte bancaire).

  • Courriers indésirables. Les courriers indésirables sont des messages électroniques non sollicités générés pour faire la promotion d'un service ou d'un produit. Ce phénomène est généralement considéré comme une nuisance, mais il ne s'agit pas d'un logiciel malveillant. Toutefois, l'augmentation considérable des courriers indésirables envoyés pose un problème à l'infrastructure d'Internet. Il provoquent également une perte de productivité des employés en les obligeant à les filtrer et à les supprimer quotidiennement.

  • Cookies Internet. Les cookies Internet sont des fichiers texte placés dans l'ordinateur d'un utilisateur par les sites Web qu'il visite. Les cookies contiennent des informations d'identification relatives à l'utilisateur et les fournissent aux sites Web qui les a placées sur l'ordinateur de ce dernier. Ils peuvent également contenir tout autre type d'informations que le site Web souhaite retenir de cette visite.

    Les cookies sont des outils légaux que de nombreux sites Web utilisent pour obtenir des informations sur leurs visiteurs. Malheureusement, il s'est avéré que des développeurs de sites Web utilisent des cookies pour obtenir des informations à l'insu de l'utilisateur. Certains cookies peuvent tromper les utilisateurs ou ignorer leurs stratégies. Par exemple, ils peuvent effectuer un suivi des habitudes de navigation Web sur divers sites sans en informer l'utilisateur. Les développeurs de sites peuvent alors utiliser ces informations pour personnaliser les publicités affichées sur les sites, ce qui est considéré comme une violation de la vie privée.

Pour obtenir des informations plus détaillées sur les logiciels malveillants et leurs caractéristiques, reportez-vous au Guide de défense antivirus renforcée sur Microsoft TechNet à l'adresse suivante : www.microsoft.com/technet/security/topics/serversecurity/avdind_0.mspx.

Présentation de la gestion des risques et des logiciels malveillants

Microsoft définit la gestion des risques comme étant le processus d'identification des risques et de détermination de leur impact.

Les entreprises de taille moyenne qui tentent de mettre en place un plan de gestion des risques liés à la sécurité peuvent se trouver dépassées par l'ampleur de la tâche. Le manque d'expertise en interne, de ressources budgétaires ou de possibilités d'externalisation peuvent en être les raisons.

La gestion des risques liés à la sécurité propose une approche proactive permettant aux entreprises de taille moyenne de planifier leurs stratégies de protection contre les menaces posées par les logiciels malveillants.

Un processus formalisé de gestion des risques permet aux entreprises de taille moyenne d'agir de la manière la plus rentable possible et à un niveau de risque opérationnel connu et acceptable. Elles peuvent ainsi organiser leurs ressources limitées selon les priorités, de manière claire et cohérente, afin de gérer les risques.

Afin de faciliter la tâche de gestion des risques, Microsoft a développé le Guide de gestion des risques de sécurité. Ce guide propose des conseils relatifs aux quatre processus suivants :

  1. Évaluation des risques. Identifier les risques pour l'entreprise et les classer par priorité.

  2. Mise en place d'un support décisionnel. Identifier et évaluer des solutions de contrôle basées sur un processus d'analyse coûts-avantages défini.

  3. Mise en œuvre de contrôles. Déployer et mettre en œuvre des solutions de contrôle afin de réduire les risques pour l'entreprise.

  4. Mesure de l'efficacité des programmes. Analyser le processus de gestion des risques pour en évaluer l'efficacité et vérifier si les contrôles offrent le niveau de protection attendu.

Les informations détaillées relatives à cette rubrique sortent du cadre de ce guide. Toutefois, il est essentiel d'assimiler ce concept et ces processus afin de pouvoir correctement planifier, déployer et mettre en œuvre une stratégie de protection contre les risques liés aux logiciels malveillants. La figure suivante illustre les quatre processus principaux de la gestion des risques.

Cc875818.SFMMR1(fr-fr,TechNet.10).gif

Figure 1. Les quatre processus principaux de la gestion des risques

Pour plus d'informations sur la gestion des risques, reportez-vous au Guide de gestion des risques de sécurité sur Microsoft TechNet à l'adresse suivante : http://go.microsoft.com/fwlink/?linkid=30794.

Enjeux

Les attaques des logiciels malveillants peuvent s'appuyer sur plusieurs vecteurs ou combiner plusieurs méthodes d'attaque afin de se concentrer sur un point faible spécifique. Il est recommandé aux entreprises de taille moyenne d'effectuer des évaluations des risques pour déterminer non seulement leurs profils de vulnérabilité, mais aussi un niveau de risque acceptable adapté à leur situation spécifique. La mise au point de stratégies permettant de réduire les risques liés aux logiciels malveillants est essentielle.

Les enjeux concernés par la réduction des risques liés aux logiciels malveillants dans un environnement d'entreprise de taille moyenne sont, entre autres, les suivants :

  • Ressources courantes des systèmes d'information

  • Menaces courantes

  • Vulnérabilités

  • Formation des utilisateurs

  • Équilibre entre gestion des risques et besoins de l'entreprise

Ressources courantes des systèmes d'information

La sécurité des systèmes d'information fournit des données essentielles permettant de gérer la sécurité dans les entreprises de taille moyenne. Les ressources courantes des systèmes d'information font référence aussi bien aux aspects physiques que logiques d'une société. Il peut s'agir des serveurs, des stations de travail, des logiciels et des licences des utilisateurs.

Les données de contact professionnelles des employés, les ordinateurs portables, les routeurs, les données des ressources humaines, les plans de stratégies, les sites Web internes et les mots de passe des utilisateurs sont autant d'exemples de ressources courantes des systèmes d'information. Une liste complète est fournie dans l'annexe A : « Ressources courantes des systèmes d'information » à la fin de ce guide.

Menaces courantes

Les vecteurs de menaces font référence à certaines méthodes via lesquelles les logiciels malveillants parviennent à infiltrer et compromettre les entreprises de taille moyenne. Ces vecteurs sont à traiter avec la plus grande attention lors de la mise au point d'une solution efficace de réduction des risques liés aux logiciels malveillants. Les catastrophes naturelles, les défaillances mécaniques, les personnes malveillantes, les utilisateurs mal informés, l'ingénierie sociale, les codes mobiles malveillants et les employés mécontents sont autant d'exemples de menaces courantes. Cette grande variété de menaces représente des enjeux non seulement pour les entreprises de taille moyenne, mais pour les entreprises de toutes tailles.

L'annexe B : « Menaces courantes », à la fin de ce guide, fournit une liste complète des menaces susceptibles d'affecter les entreprises de taille moyenne.

Vulnérabilités

Les vulnérabilités correspondent aux points faibles des procédures et stratégies de sécurité, des contrôles administratifs, de la couche physique, des contrôles internes et de tout autre aspect des systèmes informatiques pouvant être exploités par une menace afin d'accéder à des informations sans autorisation préalable ou de perturber des traitements importants.  Les vulnérabilités sont aussi bien physiques que logiques. Il peut s'agir de catastrophes naturelles, de défaillances mécaniques, d'erreurs de configuration logicielle, de logiciels auxquels les correctifs n'ont pas été appliqués ou encore d'erreurs humaines. L'annexe C : « Vulnérabilités », à la fin de ce guide, fournit une liste complète des vulnérabilités susceptibles d'affecter les entreprises de taille moyenne.  

Formation des utilisateurs

S'agissant de la sécurité physique et logique des informations, la plus grande vulnérabilité n'est pas nécessairement due aux ordinateurs ou aux flux logiciels, mais plutôt aux utilisateurs. Les employés peuvent commettre des erreurs évidentes telles que saisir leurs mots de passe à la vue de tous, télécharger et ouvrir des pièces jointes à des messages électroniques contenant des virus ou encore oublier d'éteindre leur ordinateur le soir. Les interventions des utilisateurs étant potentiellement très dangereuses pour la sécurité informatique, la formation des employés, du personnel informatique et des responsables doit être considérée comme une priorité. Il est par ailleurs tout aussi important de mettre au point des pratiques sécuritaires concrètes pour l'ensemble du personnel. Sur le long terme, ces approches s'avèrent beaucoup plus rentables pour l'entreprise. La formation doit fournir aux utilisateurs des recommandations leur permettant de ne pas mener d'activités à risque et leur apporter des connaissances sur les menaces potentielles, ainsi que sur la manière de les éviter. Les pratiques sécuritaires que les utilisateurs doivent assimiler sont, entre autres, les suivantes :

  • Ne jamais répondre à des demandes par courrier électronique portant sur des informations financières ou personnelles.

  • Ne jamais communiquer de mots de passe.

  • Ne pas ouvrir de pièces jointes suspectes contenues dans des messages électroniques.

  • Ne pas répondre aux messages électroniques suspects ou non désirés.

  • Ne pas installer d'applications non autorisées.

  • Verrouiller les ordinateurs lorsqu'ils ne sont pas utilisés en protégeant l'économiseur d'écran par un mot de passe ou en utilisant la boîte de dialogue CTRL-ALT-SUPPR.

  • Activer un pare-feu.

  • Utiliser des mots de passe sûrs pour les ordinateurs distants.

Stratégies

La mise en œuvre des pratiques sécuritaires implique nécessairement la mise à disposition de stratégies écrites et de procédures approuvées. Pour qu'elles soient efficaces, toutes les stratégies informatiques doivent intégrer le soutien de la direction et fournir un mécanisme de mise en application, un mode d'information des utilisateurs et une méthode de formation des utilisateurs. De telles stratégies peuvent par exemple inclure les points suivants :

  • Comment détecter un logiciel malveillant sur un ordinateur.

  • Comment signaler les infections suspectées.

  • Ce que les utilisateurs peuvent faire afin d'aider les personnes en charge de la résolution des incidents, par exemple indiquer la dernière opération effectuée avant que le système ne soit infecté.

  • Processus et procédures permettant d'atténuer les vulnérabilités du système d'exploitation et des applications que des logiciels malveillants pourraient exploiter.

  • Gestion des correctifs, application des guides de configuration relatifs à la sécurité et des listes de vérifications.

Équilibre entre gestion des risques et besoins de l'entreprise

L'investissement dans un processus de gestion des risques permet aux entreprises de taille moyenne d'ordonner les priorités, de mettre au point un plan permettant de limiter les menaces et d'anticiper les prochaines menaces ou vulnérabilités de l'entreprise.

Les dépenses en termes de sécurité informatiques peuvent être assujetties aux contraintes budgétaires. Néanmoins, à condition qu'elle soit utilisée efficacement, une méthodologie de gestion des risques bien structurée peut permettre à la direction d'identifier les contrôles appropriés afin de privilégier les fonctionnalités de sécurité les plus sensibles.

Il est essentiel pour les entreprises de taille moyenne de trouver le bon équilibre entre l'importance de leur processus de gestion des risques et leurs besoins professionnels. Les questions suivantes peuvent s'avérer utiles lors de la recherche d'un équilibre entre la gestion des risques et les besoins de l'entreprise :

  • Votre société doit-elle se charger elle-même de la configuration de ses systèmes ou bien la confier au fournisseur de matériel/logiciels ? Quel en serait le coût ?

  • Quel mécanisme devez-vous utiliser pour garantir la haute disponibilité des applications : l'équilibrage de la charge ou la mise en cluster ? Quelles sont les contraintes de mise en place de ces mécanismes ?

  • Un système d'alarme est-il nécessaire pour votre salle des serveurs ?

  • Des systèmes de clés électroniques sont-ils nécessaires pour votre salle des serveurs ou vos bâtiments ?

  • Quel budget votre société peut-elle allouer aux systèmes informatiques ?

  • Quel budget votre société peut-elle allouer au support et à la maintenance des technologies ?

  • Quel montant estimez-vous avoir consacré l'année dernière à vos systèmes informatiques (matériel/logiciels/maintenance) ?

  • Combien d'ordinateurs comporte le site principal de votre société ? Disposez-vous d'un inventaire du matériel et des logiciels informatiques ?

  • Vos anciens systèmes sont-ils suffisamment puissants pour exécuter la plupart des logiciels dont vous avez besoin ?

  • De combien de nouveaux ordinateurs ou de mises à niveau estimez-vous avoir besoin ? Quel serait le nombre optimal ?

  • Les utilisateurs doivent-ils chacun disposer d'une imprimante ?

Pour des informations plus détaillées sur la gestion des risques, reportez-vous au Guide de gestion des risques de sécurité à l'adresse suivante : http://go.microsoft.com/fwlink/?linkid=30794.

Solutions

Cette section explique les différentes stratégies de gestion des risques liés aux logiciels malveillants, notamment les approches réactives et proactives face à ces menaces et les stratégies physiques et logiques. Elle traite également de méthodes de validation telles que les outils de génération de rapports et la surveillance.

Développement de stratégies de réduction des risques liés aux logiciels malveillants

Lors du développement de stratégies de réduction des risques liés aux logiciels malveillants, il est essentiel de déterminer les points opérationnels clés où les mesures de prévention et/ou détection des logiciels malveillants doivent être mises en œuvre. Dans ce contexte, un seul dispositif ou une seule technologie constitue une ligne de défense bien insuffisante. Il est préférable de mettre au point une méthode basée sur une approche par couche qui utilise des mécanismes réactifs et proactifs sur l'ensemble du réseau. Dans ce domaine, même si les logiciels antivirus jouent un rôle prépondérant, il est déconseillé de s'y limiter pour détecter les attaques de logiciels malveillants. Pour des informations plus détaillées sur l'approche par couche, reportez-vous à la section intitulée « The Malware Defense Approach » (Approche de défense contre les logiciels malveillants) (cette page peut être en anglais) dans le Guide de défense antivirus renforcée à l'adresse suivante : www.microsoft.com/technet/security/topics/serversecurity/avdind_3.mspx#E1F.

Les points opérationnels clés suivants sont traités plus en détail ultérieurement :

  • Évaluation des risques liés aux logiciels malveillants

  • Sécurité physique

  • Sécurité logique

  • Procédures et stratégies proactives/réactives

  • Déploiement et gestion

Évaluation des risques liés aux logiciels malveillants

Lorsqu'elles évaluent les risques liés aux logiciels malveillants, les entreprises de taille moyenne doivent avoir pleinement conscience des vecteurs d'attaque les plus vulnérables aux menaces. Comment sont-ils protégés et dans quelle proportion ? La question suivante doit être prise en compte :

  • Votre société dispose-t-elle d'un pare-feu installé ?

    Les pare-feu représentent une partie essentielle de la défense périphérique. En général, un pare-feu réseau constitue la première ligne de défense contre les menaces externes pouvant atteindre les systèmes informatiques, les réseaux et les informations sensibles d'une organisation. Les entreprises de taille moyenne doivent mettre en place des pare-feu, qu'il s'agisse de pare-feu logiciels ou matériels.

  • Votre société dispose-t-elle de fonctionnalités d'analyse et de recherche des vulnérabilités ? De quelle manière les informations recherchées sont-elles analysées ?

    Il est recommandé d'utiliser un outil tel que MSBA (Microsoft Baseline Security Analyzer) pour rechercher les défauts de configuration et les vulnérabilités. Il est également possible d'externaliser le processus de test des vulnérabilités en faisant appel à des fournisseurs externes pour qu'ils évaluent l'environnement de sécurité et fassent des suggestions permettant d'apporter les améliorations considérées comme nécessaires.

    Remarque   MBSA est un outil simple d'utilisation conçu pour les informaticiens afin d'aider les PME à déterminer leur état de sécurité, conformément aux recommandations de sécurité de Microsoft. Il propose également des mesures correctives spécifiques. MBSA vous permet d'améliorer votre processus de gestion de la sécurité en détectant les défauts de configuration courants et les mises à jour de sécurité manquantes sur vos systèmes informatiques.

  • Un programme d'évaluation des sauvegardes et des récupérations a-t-il été mis en place ?

    Assurez-vous de disposer de plans de sauvegarde et du bon fonctionnement du serveur de sauvegarde.

  • De combien de types de logiciels antivirus votre société dispose-t-elle ? Vos systèmes disposent-ils tous d'un logiciel antivirus installé ?

    Chaque package ayant ses point faibles et ses points forts, se fier à une seule plate-forme antivirus pourrait exposer votre société à des risques.

  • Votre société a-t-elle mis en place un réseau sans fil ? Si oui, la sécurité de ce réseau est-elle activée et correctement configurée ?

    Un réseau sans fil non sécurisé peut exposer un autre environnement pourtant sécurisé à un niveau de risque non acceptable ; votre réseau câblé totalement sécurisé ne serait ainsi pas totalement à l'abri. La sécurité fournie par les anciennes normes sans fil, telles que le protocole WEP, peut être facilement compromise ; il est donc recommandé de se renseigner pour garantir la mise en place de la solution de sécurité sans fil la plus appropriée.

  • Les employés ont-ils été formés sur la manière d'éviter les logiciels malveillants ? Ont-ils reçu une initiation aux risques liés aux logiciels malveillants ?

    Le type de propagation de logiciel malveillant le plus courant implique généralement une forme d'ingénierie sociale contre laquelle la meilleure défense réside dans la formation et la connaissance.

  • Disposez-vous d'une stratégie écrite sur la manière de prévenir ou gérer les menaces liées aux logiciels malveillants ? À quelle fréquence cette stratégie est-elle révisée ? Est-elle appliquée ? Dans quelle mesure le personnel s'y conforme-t-il ?

    Assurez-vous que les utilisateurs sont formés sur la manière de prévenir et d'éviter les menaces liées aux logiciels malveillants. Il est essentiel que toutes ces informations soient documentées ; vous devez disposer de stratégies écrites pertinentes relatives aux procédures et informations ci-dessus et vous assurer qu’elles sont appliquées. Vous devez procéder à des révisions de ces stratégies dès qu'un changement se produit afin de vous assurer de leur efficacité et de leur validité.

Sécurité physique

La sécurité physique implique la limitation des accès aux équipements de façon à éviter les falsifications, le vol, les erreurs humaines et, de ce fait, les périodes d'inactivité générées par ces actions.

Bien que la sécurité physique soit davantage une question d'ordre général qu'un problème spécifique de logiciel malveillant, il est impossible de se protéger contre les logiciels malveillants sans un plan de défense physique pour tous les périphériques clients, serveurs et réseaux au sein de l'infrastructure d'une organisation.

La liste suivante répertorie les éléments sensibles à prendre en considération dans la mise en place d'un plan de défense physique efficace :

  • Sécurité des bâtiments. Qui a accès aux bâtiments ?

  • Sécurité du personnel. Quelles sont les limitations d'accès des employés ?

  • Points d'accès au réseau. Qui a accès aux équipements réseau ?

  • Ordinateurs serveur. Qui dispose de droits d'accès aux serveurs ?

  • Stations de travail. Qui dispose de droits d'accès aux stations de travail ?

Si l'un de ces éléments est compromis, il existe un risque accru qu'un logiciel malveillant franchisse les barrières de défense réseau internes et externes pour infecter un hôte sur le réseau. La protection des accès aux installations et aux systèmes informatiques doit être considérée comme un élément fondamental des stratégies de sécurité.

Pour des informations plus détaillées, reportez-vous à l'article « Conseiller en sécurité - Sécurité physique de base » (cette page peut être en anglais) sur Microsoft TechNet à l'adresse suivante : www.microsoft.com/technet/archive/community/columns/security/5min/5min-203.mspx

Sécurité logique

Les protections logicielles des systèmes d'information dans les entreprises de taille moyenne sont, entre autres, les accès par ID utilisateur et mots de passe, l'authentification et les droits d'accès, chacune étant essentielle à la gestion des risques liés aux logiciels malveillants. Ces protections permettent de garantir que seuls les utilisateurs autorisés peuvent effectuer des opérations ou accéder à des informations sur un serveur ou une station de travail en particulier sur le réseau. Les administrateurs doivent s'assurer que les systèmes sont configurés de manière cohérente avec le poste de l'utilisateur de l'ordinateur. La configuration de ces protections doit tenir compte des éléments suivants :

  • Autoriser les accès aux programmes ou aux utilitaires uniquement aux utilisateurs dont le poste les requiert.

  • Accroître les contrôles sur les répertoires système clés.

  • Accroître les niveaux d'audit.

  • Utiliser des stratégies de moindres privilèges

  • Limiter l'utilisation des supports amovibles, tels que les disquettes.

  • À qui doivent être accordés les droits administratifs pour le serveur de sauvegarde, le(s) serveur(s) de messagerie et le(s) serveur(s) de fichiers ?

  • Qui doit pouvoir accéder au(x) dossier(s) des ressources humaines ?

  • Quels privilèges doivent être accordés aux dossiers inter-services ?

  • Une station de travail doit-elle être utilisée par différents utilisateurs ? Si oui, quel niveau d'accès doit être accordé ? Les utilisateurs sont-ils autorisés à installer des logiciels sur leurs stations de travail ?

Les ID utilisateur, les ID ou comptes de connexion et les noms d'utilisateur sont les identifiants personnels uniques des utilisateurs sur un programme informatique ou un réseau auquel peuvent accéder plusieurs utilisateurs. L'authentification est le processus permettant de vérifier qu'une entité ou un objet est bien ce qu'il ou elle prétend être. Il peut par exemple s'agir de confirmer la source et l'intégrité des informations, comme la vérification d'une signature numérique ou l'identité d'un utilisateur ou d'un ordinateur. Afin de renforcer la sécurité, il est fortement recommandé d'associer chaque compte de connexion à un mot de passe, c'est-à-dire des données d'authentification secrètes permettant de contrôler l'accès à des ressources ou à un ordinateur. Après avoir autorisé un utilisateur à se connecter au réseau, vous devez lui définir des droits d'accès appropriés. Par exemple, un utilisateur donné peut accéder au dossier des ressources humaines, mais uniquement en mode de lecture seule (aucune modification autorisée).

La sécurité logique implique également les points suivants :

  • Directives relatives aux mots de passe, telles que leur durée de validité et leur complexité.

  • Sauvegarde des données et des logiciels.

  • Informations confidentielles/données sensibles : utilisez le chiffrement selon les besoins.

Des fonctions d'authentification et d'autorisation doivent être fournies et correspondre aux besoins et au niveau de risque acceptable. Une attention toute particulière doit être portée aux serveurs et stations de travail. Tous les éléments susmentionnés doivent être clairement rédigés, appliqués et mis à disposition dans l'ensemble de la société en tant que points de référence.

Stratégies et procédures proactives/réactives

Deux types d'approches de base permettent de gérer les risques liés aux logiciels malveillants : proactives et réactives. Les premières impliquent les mesures prises dans le but d'empêcher les attaques sur réseau ou sur hôte de compromettre les systèmes. Les secondes englobent les procédures mises en place par les entreprises de taille moyenne après avoir découvert que certains de leurs systèmes ont été compromis par un intrus ou un programme d'attaque tels qu'un cheval de Troie ou tout autre type de logiciel malveillant.

Approches réactives

Si la sécurité d'un système ou d'un réseau a été compromise, un processus de réponse aux incidents est nécessaire. Une réponse aux incidents est la méthode consistant à étudier un problème, analyser sa cause, minimiser ses effets, le résoudre et documenter chaque étape de cette réponse pour pouvoir s'y référer ultérieurement.

De la même manière qu'elles doivent prendre certaines mesures pour éviter de futures pertes d'activité, chaque société dispose de plans permettant de répondre à de telles pertes lorsque les mesures proactives étaient inefficaces ou inexistantes. Les méthodes réactives comprennent des plans de récupération après sinistre, la réinstallation des systèmes d'exploitation et des applications sur les systèmes touchés, ainsi que l'adoption d'autres systèmes situés à d'autres endroits. Il est tout aussi important de disposer d'un ensemble de réponses réactives prêtes à être mises en œuvre que de disposer de mesures proactives en place.

Le diagramme de hiérarchie des réponses réactives suivant illustre les étapes de gestion des incidents liés à des logiciels malveillants. Des informations supplémentaires relatives à ces étapes sont fournies ci-après.

Cc875818.SFMMR2(fr-fr,TechNet.10).gif

Figure 2. Hiérarchie des réponses réactives

  • Protéger la vie humaine et assurer la sécurité des personnes. Si les ordinateurs affectés comportent des systèmes d'assistance vitale, leur mise hors tension est à exclure. Il serait alors conseillé d'isoler ce type de systèmes de manière logique sur le réseau en reconfigurant les routeurs et les commutateurs sans interrompre leurs capacités à assister les patients.

  • Maîtriser les dommages. La maîtrise des dommages causés par l'attaque permet de limiter les dommages supplémentaires. Protégez rapidement les données, les logiciels et le matériel importants.

  • Évaluer les dommages. Effectuez immédiatement une copie des disques durs de tous les serveurs ayant subi l'attaque et mettez-les de côté pour une expertise ultérieure. Évaluez ensuite les dommages.

  • Déterminer la cause des dommages. Afin de certifier l'origine de l'attaque, il est nécessaire de comprendre quelles étaient les ressources ciblées et les vulnérabilités qui ont permis d'y accéder ou de perturber les services. Passez en revue la configuration système, le niveau des correctifs, les journaux système, les journaux d'audit et les traces d'audit sur les systèmes qui ont été directement touchés, ainsi que les périphériques réseau qui y acheminent le trafic.

  • Réparer les dommages. Il est essentiel de réparer les dommages aussi rapidement que possible afin de restaurer une activité normale et récupérer toutes les données perdues au cours de l'attaque.

  • Réviser les stratégies de réponse et de mise à jour. Une fois les phases de documentation et de récupération terminées, les stratégies de réponse et de mise à jour doivent être entièrement révisées.

Quelle action entreprendre lorsque les systèmes du réseau sont infectés par des virus ? La liste suivante fournit des exemples d'approche réactive :

  • Assurez-vous du bon fonctionnement du pare-feu en place. Effectuez un contrôle intégral du trafic entrant et sortant sur les systèmes et le réseau.

  • Traitez en premier lieu les éléments les plus suspects. Procédez à un nettoyage pour supprimer les menaces de logiciel malveillant les plus courantes, puis recherchez des menaces inconnues.

  • Isolez le système infecté. Déconnectez-le du réseau et d'Internet. Empêchez l'infection de se propager vers d'autres systèmes au cours du processus de nettoyage.

  • Recherchez des techniques de contrôle de la propagation et de nettoyage.

  • Téléchargez les dernières définitions de virus depuis les sites des fournisseurs de logiciels antivirus.

  • Assurez-vous que les systèmes antivirus sont configurés de façon à analyser tous les fichiers.

  • Effectuez une analyse complète des systèmes.

  • Restaurez les données manquantes ou corrompues.

  • Supprimez ou nettoyez les fichiers infectés.

  • Assurez-vous que les systèmes ne comportent plus aucun logiciel malveillant.

  • Reconnectez les systèmes informatiques nettoyés au réseau.

Remarque   Il est essentiel de s'assurer que tous les systèmes informatiques exécutent un logiciel antivirus récent et que les processus automatisés sont configurés de sorte à régulièrement mettre à jour les définitions de virus. Une attention particulière doit être portée aux ordinateurs portables des utilisateurs mobiles afin que leurs logiciels antivirus soient régulièrement mis à jour.
Maintenez à jour une base de données ou un journal afin d'avoir un suivi des correctifs qui ont été appliqués aux systèmes les plus sensibles de l'organisation : systèmes accessibles sur Internet, pare-feu, routeurs internes, bases de données et serveurs de type back office.

Approches proactives

En termes de gestion des risques, une approche proactive comporte de nombreux avantages face à une approche réactive. Plutôt que d'attendre que les incidents surviennent pour y répondre ensuite, tout est mis en œuvre pour minimiser la possibilité que ces incidents ne se produisent. Il convient de mettre au point des plans de protection des ressources importantes de l'organisation en mettant en place des contrôles qui permettent d'atténuer le risque de vulnérabilités exploitées par les logiciels malveillants.

Une approche proactive efficace peut permettre aux entreprises de taille moyenne de réduire le nombre d'incidents de sécurité à venir, mais il est peu probable que ce genre de problèmes ne disparaisse complètement. De ce fait, elles doivent continuer à améliorer leurs processus de réponse aux incidents parallèlement au développement d'approches proactives à long terme. La liste suivante fournit quelques exemples de mesures proactives pouvant permettre de gérer les risques liés aux logiciels malveillants.

  • Appliquez le microprogramme le plus récent aux systèmes et routeurs matériels, tel qu'indiqué par les fabricants.

  • Appliquez les correctifs de sécurité les plus récents aux applications serveur et aux autres applications.

  • Inscrivez-vous à des listes de diffusion relatives à la sécurité auprès des fabricants et appliquez les correctifs lorsque nécessaire.

  • Assurez-vous que tous les systèmes informatiques Microsoft exécutent un logiciel antivirus récent.

  • Assurez-vous que les processus automatisés sont configurés de sorte à régulièrement mettre à jour les définitions de virus.

    Remarque :   Une attention particulière doit être portée aux ordinateurs portables des utilisateurs mobiles afin que leurs logiciels antivirus soient régulièrement mis à jour.

  • Maintenez à jour une base de données permettant de garder un suivi des correctifs qui ont été appliqués.

  • Consultez les journaux de sécurité.

  • Activez des pare-feu périphériques ou basés sur les hôtes.

  • Utilisez un analyseur de vulnérabilité tel que MBSA (Microsoft Baseline Security Analyzer) pour détecter les défauts de configuration de sécurité courants et les mises à jour de sécurité manquantes sur vos systèmes informatiques.

  • Utilisez des comptes utilisateur à moindres privilèges (LUA). Si des processus à moindres privilèges sont compromis, il génèreront moins de dommages que des processus à privilèges élevés. De ce fait, l'utilisation d'un compte non administrateur plutôt qu'un compte administrateur pour les tâches quotidiennes apporte à l'utilisateur une protection supplémentaire contre les logiciels malveillants, les attaques de sécurité externes ou internes, les modifications accidentelles ou intentionnelles des installations et des configurations système, ainsi que les accès intentionnels aux programmes ou aux documents confidentiels.

  • Appliquez des stratégies de mots de passe sûrs. Des mots de passe sûrs réduisent la probabilité qu'un utilisateur malveillant utilise une attaque en force pour élever ses privilèges. Les mots de passe sûrs comportent généralement les caractéristiques suivantes :

    • Ils comportent au moins 15 caractères.

    • Ils ne contiennent ni nom de compte, ni nom réel ni nom de société, sous quelque forme que ce soit.

    • Ils ne contiennent jamais un mot complet, un terme d'argot ou tout autre terme pouvant être recherché.

    • Ils diffèrent fortement des mots de passe précédents et ne sont pas incrémentés.

    • Utilisez au moins trois des types de caractères suivants :

      - Lettres majuscules (A, B, C...)

      - Lettres minuscules (a, b, c...)

      - Chiffres (0, 1, 2...)

      - Symboles non alphanumériques (@, &, $...)

      - Caractères Unicode (€, ƒ, λ...)

Pour plus d'informations sur les stratégies de mots de passe, reportez-vous à la rubrique « Meilleures pratiques pour les mots de passe » sur Microsoft TechNet à l'adresse suivante : technet2.microsoft.com/WindowsServer/fr/Library/e903f7a2-4def-4f5f-9480-41de6010fd291036.mspx.

Défense renforcée

Une approche proactive de gestion des risques liés aux logiciels malveillants dans un environnement d'entreprise de taille moyenne doit intégrer l'utilisation d'une approche de défense renforcée par couches afin de protéger les ressources contre les menaces internes et externes. La défense renforcée (parfois appelée sécurité renforcée ou sécurité multicouche) permet de décrire la disposition des couches des contre-mesures de sécurité afin de créer un environnement de sécurité cohésif ne comportant pas le moindre point faible. Les couches de sécurité qui constituent la stratégie de défense renforcée doivent intégrer le déploiement de mesures proactives sur les routeurs externes jusqu'aux emplacements des ressources en passant par tous les points intermédiaires. Le déploiement de plusieurs couches de sécurité permet de garantir que, en cas de compromission de l'une des couches, les autres couches fournissent la sécurité nécessaire à la protection des ressources.

Cette section traite du modèle de sécurité de la défense renforcée, ce qui constitue un excellent point de départ pour la compréhension de ce concept. Ce modèle identifie sept niveaux de défenses de sécurité destinés à garantir que toutes les tentatives de compromission de la sécurité des entreprises de taille moyenne auront à faire face à des solides lignes de défense. Chaque ligne de défense peut permettre de détourner les attaques à de nombreux niveaux différents.

Les définitions détaillées de chaque couche peuvent être modifiées en fonction des diverses priorités et besoins des organisations en termes de sécurité. La figure suivante présente les couches du modèle de sécurité de la défense renforcée.

Cc875818.SFMMR3(fr-fr,TechNet.10).gif

Figure 3. Modèle de sécurité de la défense renforcée

  • Données. Les risques au niveau de la couche des données proviennent de vulnérabilités qu'un utilisateur malveillant pourrait potentiellement exploiter afin d'accéder à des données de configuration, aux données organisationnelles ou toutes autres données propres à un périphérique qu'utilise l'organisation.

  • Application. Les risques au niveau de la couche des applications proviennent de vulnérabilités qu'un utilisateur malveillant pourrait potentiellement exploiter afin d'accéder à des applications en cours d'exécution. Tout code exécutable qu'un créateur de logiciel malveillant peut écrire et mettre en paquet en dehors d'un système d'exploitation peut être utilisé pour attaquer un système.

  • Hôte. Cette couche est généralement ciblée par les fournisseurs de service packs et de correctifs à chaud pour lutter contre les menaces liées aux logiciels malveillants. Les risques au niveau de cette couche proviennent de vulnérabilités dans le service proposé par l'hôte ou le périphérique qu'un utilisateur malveillant pourrait potentiellement exploiter.

  • Réseau interne. Les risques au niveau des réseaux internes des entreprises concernent le plus souvent les données sensibles transmises par le biais de réseaux de ce type. Les conditions de connectivité des stations de travail clientes sur ces réseaux internes comportent également un certain nombre de risques.

  • Réseau périphérique. Les risques au niveau de la couche du réseau périphérique proviennent de vulnérabilités dans les réseaux étendus (WAN) auxquels un utilisateur malveillant pourrait accéder et des niveaux de réseau qu'ils connectent.

  • Sécurité physique. Les risques au niveau de la couche physique proviennent de vulnérabilités qu'un utilisateur malveillant pourrait potentiellement exploiter pour accéder à une ressource physique.

  • Stratégies, procédures et sensibilisation. Autour de ces couches du modèle de sécurité, les entreprises de taille moyenne doivent mettre en place des stratégies et des procédures pour répondre aux besoins de chaque niveau.

Les couches Données, Application et Hôte peuvent être combinées dans deux stratégies de défense afin de protéger les clients et les serveurs de l'entreprise. Même si les défenses client et serveur partagent un certain nombre de stratégies communes, leurs différences de mise en œuvre sont suffisamment marquées pour justifier une approche de défense spécifique de chacune.

Les couches Réseau interne et Réseau périphérique impliquant les mêmes technologies, elles peuvent également être combinées dans une stratégie de défense réseau commune. Les détails de mise en œuvre varient d'une couche à l'autre, en fonction de la position des périphériques et des technologies dans l'infrastructure de l'organisation. Pour des informations plus détaillées sur la défense, reportez-vous au chapitre 2 consacré aux menaces liées aux logiciels malveillants du Guide de défense antivirus renforcée à l'adresse http://go.microsoft.com/fwlink/?LinkId=50964.

Déploiement et gestion

Les stratégies de gestion des risques liés aux logiciels malveillants peuvent englober l'ensemble des technologies et des approches abordées jusqu'à présent dans ce document. Il est recommandé de déployer des logiciels antivirus fiables et efficaces sur l'ensemble des systèmes. Windows Defender, un outil Microsoft qui vous permet de maintenir votre productivité en protégeant votre ordinateur contre les fenêtres publicitaires intempestives, les baisses de performances et les menaces engendrées par les logiciels espions et autres programmes non souhaités, doit être utilisé conjointement avec un logiciel antivirus En fait, ces éléments doivent être déployés aussitôt que possible une fois le système d'exploitation installé. Les derniers correctifs des logiciels antivirus doivent être appliqués immédiatement et configurés de sorte à maintenir leur aptitude à détecter et stopper les logiciels malveillants. Étant donné qu'aucune approche ne peut suffire à elle seule à apporter une solution de sécurité totale, les technologies de pare-feu, de passerelle, de détection des intrus et autres technologies de sécurité abordées dans les sections précédentes doivent être renforcées à l'aide d'un logiciel antivirus.

La section suivante traite de la validation, de la surveillance et de la génération de rapports, ainsi que des technologies disponibles.

Validation

Lorsque les approches et les technologies précédemment identifiées dans le cadre de la gestion des risques liés aux logiciels malveillants ont été étudiées et mises en œuvre, comment pouvez-vous vous assurer qu'elles sont déployées de manière efficace ?

Pour valider une solution proposée, vous devez valider l'environnement réseau et l'environnement système. Pour ce faire, utilisez les outils suivants :

  • Antivirus. Utilisez un logiciel antivirus comportant les dernières définitions de fichiers de signatures pour analyser tous les systèmes et y rechercher des virus

  • Windows Defender. Analysez tous les systèmes à l'aide de Windows Defender afin d'y rechercher des logiciels espions et tout autre logiciel potentiellement indésirable

  • Microsoft Baseline Security Analyzer (MBSA). Analysez tous les systèmes à l'aide de MBSA pour identifier les défauts de configuration courants. Pour en savoir plus, rendez-vous sur le site Web Microsoft Baseline Security Analyzer à l'adresse suivante : http://go.microsoft.com/fwlink/?linkid=17809.

Par ailleurs, tous les comptes récemment créés avec les autorisations d'accès appropriées doivent être testés et vérifiés pour s'assurer qu'ils fonctionnent comme prévu.

Lorsque les stratégies et les technologies mises en œuvre ont été validées, l'utilisation de correctifs logiciels et matériels doit être appliquée selon les besoins afin de garantir une efficacité sécuritaire permanente. Les utilisateurs et tout particulièrement le personnel informatique doivent toujours être au fait des dernières mises à jour.

Surveillance et génération de rapports

Il est essentiel d'effectuer une surveillance en continu de tous les périphériques du réseau de sorte à détecter les attaques de logiciels malveillants. La surveillance peut être un processus complexe. Elle nécessite la collecte d'informations provenant d'un certain nombre de sources (telles que des journaux de pare-feu, des routeurs, des commutateurs et des utilisateurs) afin de compiler un comportement de référence « normal » pouvant servir à identifier les comportements anormaux.

Les stratégies de surveillance et de génération de rapports liés aux logiciels malveillants dans les entreprises de taille moyenne doivent intégrer des technologies et une formation des utilisateurs.

Le terme technologies fait référence à des technologies logicielles et matérielles correctement mises en œuvre, permettant aux entreprises de taille moyenne de surveiller les activités des logiciels malveillants, de générer des rapports relatifs à ces activités et d'y répondre. Le terme formation utilisateur fait référence aux programmes de sensibilisation qui intègrent des conseils pour les utilisateurs sur la prévention des incidents relatifs aux logiciels malveillants, la manière de les éviter et de signaler tout incident de manière appropriée.

Technologies

Il est possible d'automatiser un système de surveillance des alertes pour qu'il signale ce qu'il suspecte comme étant une infection par un logiciel malveillant et transmette cette information vers un emplacement central ou à un point de contact approprié, lequel peut ensuite informer les utilisateurs sur la manière d'y répondre. En cas de menace liée à un logiciel malveillant, un système d'alerte automatisé permet de minimiser le délai entre l'alerte initiale et le moment où les utilisateurs s'en rendent compte. Néanmoins, cette approche peut générer des erreurs de détection. Si personne ne vérifie les alertes à l'écran et passe en revue la liste de vérifications des activités inhabituelles, il peut arriver que les alertes signalent un logiciel malveillant qui n'existe pas. Ce phénomène peut avoir pour conséquence une désensibilisation des utilisateurs face à des alertes générées trop fréquemment.

Pour l'éviter, vous pouvez attribuer à certains membres de l'équipe informatique la responsabilité de recevoir la totalité des alertes automatisées liées aux logiciels malveillants provenant de tous les logiciels de surveillance des systèmes ou des solutions antivirus utilisés par la société. L'équipe ou la personne responsable peut alors filtrer les alertes afin de supprimer les erreurs de détection des systèmes automatisés avant de diffuser les alertes aux utilisateurs.

Il est recommandé de réviser constamment les solutions anti-logiciels malveillants et de les maintenir à jour. Tous les aspects de la protection contre les logiciels malveillants sont importants, depuis les simples téléchargements automatisés de signatures de virus jusqu'aux changements complets des stratégies opérationnelles. Même si certains des outils suivants ont déjà été mentionnés, ils sont essentiels à la gestion, la surveillance et la génération de rapports relatifs à la sécurité :

  • NID (Network Intrusion Detection - détection des intrusions réseau). La partie périphérique du réseau étant la plus exposée, il est essentiel que les systèmes de gestion du réseau soient capables de détecter et signaler les attaques aussitôt que possible.

  • MBSA (Microsoft Baseline Security Analyzer). MBSA vous permet d'améliorer votre processus de gestion de la sécurité en détectant les défauts de configuration courants et les mises à jour de sécurité manquantes sur vos systèmes informatiques.

  • Analyseur de signatures antivirus. La plupart des logiciels antivirus utilisent actuellement cette technique, consistant à analyser la cible (ordinateur hôte, disque dur ou fichiers) à la recherche d'un modèle pouvant correspondre à un logiciel malveillant.

  • Analyseurs de passerelles SMTP. Ces solutions d'analyse de courrier électronique basées sur le protocole SMTP (Simple Mail Transfer Protocol) sont généralement appelées des solutions antivirus « pour passerelle ». Elles présentent l'avantage de fonctionner avec tous les services de messagerie SMTP plutôt que d'être propres à un serveur de messagerie donné.

  • Fichiers journaux. Les fichiers qui répertorient les informations détaillées relatives aux accès aux fichiers sont stockés sur un serveur. Les analyses des fichiers journaux peuvent apporter des données utiles quant au trafic de site Web.

  • Observateur d'événements. Outil administratif qui signale les erreurs et les autres événements tels que les défaillances de disque, les erreurs de fichiers, les ouvertures et fermetures de session.

  • Microsoft Windows Defender. Programme qui protège votre ordinateur contre les fenêtres publicitaires intempestives, le ralentissement du système et les menaces engendrées par les logiciels espions et autres logiciels indésirables. Il comporte une protection en temps réel, c'est-à-dire un système de surveillance qui recommande des actions contre les logiciels espions lorsqu'ils sont détectés, ainsi qu'une nouvelle interface rationalisée permettant de minimiser les interruptions afin que les utilisateurs maintiennent leur productivité.

  • Protection de sécurité dynamique dans Internet Explorer 7.

D'autres outils permettant de rechercher et appliquer les dernières mises à jour ou les derniers correctifs sont recommandés, notamment :

  • Microsoft Windows Server Update Services (WSUS) est une solution complète permettant de gérer les mises à jour au sein du réseau d'entreprise de taille moyenne.

  • Microsoft Systems Management Server 2003 SP 1 est une solution complète permettant de gérer les modifications et les configurations de la plate-forme Microsoft. Ainsi, les organisations peuvent fournir de manière rapide et rentable les logiciels et les mises à jour adéquats aux utilisateurs.

Abonnez-vous aux notifications relatives aux nouveaux correctifs applicables à votre organisation. Pour recevoir ces notifications automatiquement, inscrivez-vous aux Bulletins de sécurité Microsoft à l'adresse suivante : http://go.microsoft.com/fwlink/?LinkId=21723.

Formation des utilisateurs

Comme indiqué dans une section précédente de ce document, tous les utilisateurs doivent être formés sur les logiciels malveillants et leurs caractéristiques, la sévérité des menaces potentielles, les techniques permettant de les éviter, la manière dont ils se propagent et les risques qu'ils génèrent. La formation des utilisateurs doit également comprendre une sensibilisation aux stratégies et procédures relatives à la gestion des incidents, c'est-à dire comment détecter un logiciel malveillant sur un ordinateur, comment signaler des infections suspectées et comment apporter son aide aux personnes chargées de gérer les incidents. Les entreprises de taille moyenne doivent mener des sessions de formation sur les stratégies de gestion des risques liés aux logiciels malveillants, destinées aux membres du personnel informatique impliqués dans la prévention contre les incidents de ce type.

Résumé

Les logiciels malveillants représentent un domaine complexe et en constante évolution de la technologie informatique. Parmi tous les problèmes rencontrés en informatique, les plus fréquents et coûteux sont les attaques des logiciels malveillants et les réponses à y apporter. Une bonne compréhension de leur mode de fonctionnement, de leur évolution et des vecteurs qu'ils exploitent peut permettre aux entreprises de taille moyenne de gérer ce problème de manière proactive et de mettre au point des processus réactifs plus efficaces. Les logiciels malveillants utilisent un tel nombre de techniques de duplication, de propagation et d'exploitation des systèmes informatiques qu'il peut s'avérer très difficile de savoir comment sécuriser tout type de système face à ces attaques. Cependant, en comprenant les enjeux liés aux logiciels malveillants et en mettant en place des stratégies de gestion de ces risques, les entreprises de taille moyenne peuvent être en mesure de gérer les infrastructures système et réseau de sorte à minimiser la probabilité de réussite de ces attaques.

Annexe A : Ressources courantes des systèmes d'information

Cette annexe répertorie les ressources des systèmes d'information que l'on retrouve couramment dans les diverses entreprises de taille moyenne. Cette liste n'est pas exhaustive et ne correspond probablement pas exactement aux ressources de votre environnement en particulier. Il s'agit d'une liste de référence à utiliser comme point de départ.

Tableau A.1. Liste de ressources courantes des systèmes d'information

Catégorie de ressource

Description la plus générale de votre ressource

Description détaillée (le cas échéant)

Estimation de la valeur de la ressource (5 = valeur la plus élevée)

Ressource réelle

Infrastructure physique

Centres de données

5

Ressource réelle

Infrastructure physique

Serveurs

3

Ressource réelle

Infrastructure physique

Ordinateurs de bureau

1

Ressource réelle

Infrastructure physique

Ordinateurs portables

3

Ressource réelle

Infrastructure physique

Assistants numériques personnels

1

Ressource réelle

Infrastructure physique

Téléphones cellulaires

1

Ressource réelle

Infrastructure physique

Logiciel d'application pour serveur

1

Ressource réelle

Infrastructure physique

Logiciel d'application pour utilisateur final

1

Ressource réelle

Infrastructure physique

Outils de développement

3

Ressource réelle

Infrastructure physique

Routeurs

3

Ressource réelle

Infrastructure physique

Commutateurs réseau

3

Ressource réelle

Infrastructure physique

Télécopieurs

1

Ressource réelle

Infrastructure physique

Autocommutateurs privés

3

Ressource réelle

Infrastructure physique

Supports amovibles (bandes, disquettes, CD-ROM, DVD, disques durs portables, périphériques de stockage PC Card, périphériques de stockage USB, etc.)

1

Ressource réelle

Infrastructure physique

Alimentations

3

Ressource réelle

Infrastructure physique

Onduleurs

3

Ressource réelle

Infrastructure physique

Systèmes anti-incendie

3

Ressource réelle

Infrastructure physique

Systèmes de climatisation

3

Ressource réelle

Infrastructure physique

Systèmes de filtration d'air

1

Ressource réelle

Infrastructure physique

Autres systèmes de contrôle de l'environnement

3

Ressource réelle

Données intranet

Code source

5

Ressource réelle

Données intranet

Données de ressources humaines

5

Ressource réelle

Données intranet

Données financières

5

Ressource réelle

Données intranet

Données marketing

5

Ressource réelle

Données intranet

Mots de passe des employés

5

Ressource réelle

Données intranet

Clés cryptographiques privées des employés

5

Ressource réelle

Données intranet

Clés cryptographiques des systèmes informatiques

5

Ressource réelle

Données intranet

Cartes à puces

5

Ressource réelle

Données intranet

Propriété intellectuelle

5

Ressource réelle

Données intranet

Données relatives aux réglementations (GLBA, HIPAA, CA SB1386, directive de protection des données de l'Union européenne, etc.)

5

Ressource réelle

Données intranet

Numéros de sécurité sociale des employés aux États-Unis

5

Ressource réelle

Données intranet

Numéros de permis de conduire des employés

5

Ressource réelle

Données intranet

Plans stratégiques

3

Ressource réelle

Données intranet

Rapports sur les crédits à la consommation des clients

5

Ressource réelle

Données intranet

Dossiers médicaux des clients

5

Ressource réelle

Données intranet

Identifiants biométriques des employés

5

Ressource réelle

Données intranet

Données de contact professionnelles des employés

1

Ressource réelle

Données intranet

Données de contact personnelles des employés

3

Ressource réelle

Données intranet

Données de bon de commande

5

Ressource réelle

Données intranet

Conception d'infrastructure réseau

3

Ressource réelle

Données intranet

Sites Web internes

3

Ressource réelle

Données intranet

Données ethnographiques des employés

3

Ressource réelle

Données extranet

Données de contrat des partenaires

5

Ressource réelle

Données extranet

Données financières des partenaires

5

Ressource réelle

Données extranet

Données de contact des partenaires

3

Ressource réelle

Données extranet

Application de collaboration des partenaires

3

Ressource réelle

Données extranet

Clés cryptographiques des partenaires

5

Ressource réelle

Données extranet

Rapports de crédit des partenaires

3

Ressource réelle

Données extranet

Données de bon de commande des partenaires

3

Ressource réelle

Données extranet

Données de contrat des fournisseurs

5

Ressource réelle

Données extranet

Données financières des fournisseurs

5

Ressource réelle

Données extranet

Données de contact des fournisseurs

3

Ressource réelle

Données extranet

Application de collaboration des fournisseurs

3

Ressource réelle

Données extranet

Clés cryptographiques des fournisseurs

5

Ressource réelle

Données extranet

Rapports de crédit des fournisseurs

3

Ressource réelle

Données extranet

Données de bon de commande des fournisseurs

3

Ressource réelle

Données Internet

Application de vente des sites Web

5

Ressource réelle

Données Internet

Données marketing des sites Web

3

Ressource réelle

Données Internet

Données de carte de crédit des clients

5

Ressource réelle

Données Internet

Données de contact des clients

3

Ressource réelle

Données Internet

Clés cryptographiques publiques

1

Ressource réelle

Données Internet

Communiqués de presse

1

Ressource réelle

Données Internet

Livres blancs

1

Ressource réelle

Données Internet

Documentation produit

1

Ressource réelle

Données Internet

Supports de formation

3

Ressources non réelles

Réputation

 

5

Ressources non réelles

Cote d'estime

 

3

Ressources non réelles

Bien-être des employés

 

3

Ressources non réelles

Productivité des employés

 

3

Services informatiques

Messagerie

Messages électroniques/planification (par exemple, Microsoft Exchange)

3

Services informatiques

Messagerie

Messagerie instantanée

1

Services informatiques

Messagerie

Microsoft Outlook® Web Access (OWA)

1

Services informatiques

Infrastructure centrale

Service d'annuaire Active Directory®

3

Services informatiques

Infrastructure centrale

Domain Name System (DNS)

3

Services informatiques

Infrastructure centrale

Dynamic Host Configuration Protocol (DHCP)

3

Services informatiques

Infrastructure centrale

Outils de gestion d'entreprise

3

Services informatiques

Infrastructure centrale

Partage de fichiers

3

Services informatiques

Infrastructure centrale

Stockage

3

Services informatiques

Infrastructure centrale

Accès distant

3

Services informatiques

Infrastructure centrale

Téléphonie

3

Services informatiques

Infrastructure centrale

Accès VPN (Virtual Private Networking)

3

Services informatiques

Infrastructure centrale

Microsoft Windows® Internet Naming Service (WINS)

1

Services informatiques

Autre infrastructure

Services de collaboration (par exemple, Microsoft SharePoint®)

 

Annexe B : Menaces courantes

Cette annexe répertorie les menaces susceptibles de toucher les entreprises de taille moyenne. Cette liste n'est pas exhaustive et, étant statique, ne sera pas mise à jour. Il s'agit d'une liste de référence à utiliser comme point de départ.

Table B.1. Liste de menaces courantes

Description générale de la menace

Exemple spécifique

Incident catastrophique

Incendie

Incident catastrophique

Inondation

Incident catastrophique

Tremblement de terre

Incident catastrophique

Tempête violente

Incident catastrophique

Attaque terroriste

Incident catastrophique

Troubles civils/émeutes

Incident catastrophique

Glissement de terrain

Incident catastrophique

Avalanche

Incident catastrophique

Accident industriel

Panne mécanique

Coupure d'alimentation

Panne mécanique

Défaillance matérielle

Panne mécanique

Coupure réseau

Panne mécanique

Défaillance des contrôles de l'environnement

Panne mécanique

Accident de construction

Personne non malveillante

Employé mal informé

Personne non malveillante

Utilisateur mal informé

Personne malveillante

Hacker, pirate informatique

Personne malveillante

Criminel informatique

Personne malveillante

Espionnage industriel

Personne malveillante

Espionnage commandité par le gouvernement

Personne malveillante

Ingénierie sociale

Personne malveillante

Employé insatisfait (encore en fonction)

Personne malveillante

Employé insatisfait (ayant quitté ses fonctions)

Personne malveillante

Terroriste

Personne malveillante

Employé négligent

Personne malveillante

Employé malhonnête (soudoyé ou victime de chantage)

Personne malveillante

Code mobile malveillant

Annexe C : Vulnérabilités

Cette annexe répertorie les vulnérabilités susceptibles de toucher les entreprises de taille moyenne. Cette liste n'est pas exhaustive et, étant statique, ne sera pas mise à jour. Il s'agit d'une liste de référence à utiliser comme point de départ.

Table C.1. Liste de vulnérabilités

Catégorie générale de vulnérabilité

Brève description de la vulnérabilité

Exemple précis (le cas échéant)

Vulnérabilité physique

Portes non verrouillées

 

Vulnérabilité physique

Accès non surveillé aux installations informatiques

 

Vulnérabilité physique

Systèmes anti-incendie insuffisants

 

Vulnérabilité physique

Bâtiments mal conçus

 

Vulnérabilité physique

Bâtiments mal construits

 

Vulnérabilité physique

Matériaux inflammables utilisés dans la construction

 

Vulnérabilité physique

Matériaux inflammables utilisés dans les finitions

 

Vulnérabilité physique

Fenêtres non verrouillées

 

Vulnérabilité physique

Murs susceptibles d'être attaqués physiquement

 

Vulnérabilité physique

Les murs intérieurs ne scellent pas totalement la pièce au niveau du sol et du plafond

 

Vulnérabilité naturelle

Installation située sur une ligne de faille

 

Vulnérabilité naturelle

Installation située dans une zone inondable

 

Vulnérabilité naturelle

Installation située dans une zone d'avalanche

 

Matériel

Correctifs manquants

 

Matériel

Microprogramme obsolète

 

Matériel

Systèmes mal configurés

 

Matériel

Systèmes non sécurisés physiquement

 

Matériel

Protocoles de gestion autorisés sur des interfaces publiques

 

Logiciel

Logiciel antivirus obsolète

 

Logiciel

Correctifs manquants

 

Logiciel

Applications mal écrites

Script entre sites (Cross Site Scripting)

Logiciel

Applications mal écrites

Injection SQL

Logiciel

Applications mal écrites

Points faibles dans le code, tels que des saturations de mémoire tampon

Logiciel

Points faibles délibérément laissés

Portes dérobées des fabricants pour la gestion ou la récupération système

Logiciel

Points faibles délibérément laissés

Logiciels espions, tels que les enregistreurs de frappe

Logiciel

Points faibles délibérément laissés

Chevaux de Troie

Logiciel

Points faibles délibérément laissés

 

Logiciel

Erreurs de configuration

Attribution manuelle des privilèges d'accès, menant à des configurations incohérentes

Logiciel

Erreurs de configuration

Systèmes non renforcés

Logiciel

Erreurs de configuration

Systèmes non audités

Logiciel

Erreurs de configuration

Systèmes non surveillés

Vulnérabilité des supports

Interférence électrique

 

Vulnérabilité des communications

Protocoles réseau non cryptés

 

Vulnérabilité des communications

Connexions à des réseaux multiples

 

Vulnérabilité des communications

Protocoles inutiles autorisés

 

Vulnérabilité des communications

Aucun filtre entre les segments du réseau

 

Vulnérabilité humaine

Procédures mal définies

Manque de préparation à la réponse aux incidents

Vulnérabilité humaine

Procédures mal définies

Attribution manuelle des privilèges d'accès

Vulnérabilité humaine

Procédures mal définies

Insuffisance des plans de récupération après sinistre

Vulnérabilité humaine

Procédures mal définies

Tests menés sur les systèmes de production

Vulnérabilité humaine

Procédures mal définies

Violations non signalées

Vulnérabilité humaine

Procédures mal définies

Mauvais contrôle des modifications

Vulnérabilité humaine

Vol d'informations d'identification

 

Références


Télécharger

Obtenir l'article Stratégies de gestion des risques liés aux logiciels malveillants



Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft