Coup de projecteur sur les utilitairesOutil Microsoft Security Assessment Tool
Lance Whitney
Télécharger le code de cet article: Microsoft Security Assessment Tool 3.0 (en anglais uniquement) (10547.2KB)
Le dépistage des problèmes de sécurité réseau peut être difficile et prendre beaucoup de temps. L'outil Microsoft® Security Assessment Tool (MSAT) a été conçu précisément pour tenter d'identifier et d'éliminer les risques de sécurité. Cet utilitaire gratuit présente un questionnaire électronique qui décrit votre environnement de sécurité. Conçu pour les organisations de taille moyenne comptant entre 50 et 500 ordinateurs, ce questionnaire regroupe 172 questions réparties dans des catégories différentes, puis offre une analyse de votre situation et des recommandations susceptibles de l'améliorer.
Le questionnaire commence par une série de questions sur votre modèle d'entreprise, qu'il utilise pour créer un profil de risques métier (BRP) qui évalue vos risques de sécurité par rapport aux entreprises comparables de votre secteur. Ce questionnaire prend généralement deux heures à compléter, et vous pouvez vous interrompre et le reprendre à volonté. Voici les principales catégories avec des exemples de questions :
Informations de base Combien de clients et de serveurs votre organisation compte-t-elle ?
Sécurité de l'infrastructure Vos employés travaillent-ils à distance ? Des fournisseurs externes accèdent-ils à votre réseau ?
Sécurité des applications Votre entreprise développe-t-elle des applications ? Conserve-t-elle les données confidentielles traitées par vos applications ?
Sécurité de l'exploitation Votre réseau d'entreprise se connecte-t-il à des réseaux externes ? Votre organisation reçoit-elle des flux de données provenant de tiers ?
Sécurité des personnes Votre entreprise externalise-t-elle la maintenance informatique ? Autorisez-vous vos employés à télécharger des données confidentielles sur leur poste de travail ?
Environnement Combien de personnes votre organisation compte-t-elle ? Le service informatique est-il soumis à une forte rotation du personnel ?
Ensuite, MSAT effectue une évaluation qui emploie une unité de mesure appelée DiDI (Defense-in-Depth Index), qui porte sur les processus de sécurité en place. En reprenant les mêmes catégories, les questions type sont : Votre organisation emploie-t-elle des pare-feu sur chaque site ? Utilisez-vous des macros personnalisées dans vos applications Microsoft Office ? Vos utilisateurs disposent-ils de droits d'administration sur leur poste de travail ? Disposez-vous d'une stratégie de déploiement de correctifs et de mises à jour sur vos ordinateurs ?
Sur la base de vos réponses, MSAT propose trois rapports. Le rapport récapitulatif affiche un histogramme présentant les résultats. Un score élevé dans le BRP dénote un risque élevé, tandis qu'un score élevé dans DiDI représente davantage de sécurité. Comme cela est indiqué par MSAT, si un faible score en BRP et un score élevé en DiDI est a priori préférable, il est en fait plus important d'analyser les domaines individuellement. Ainsi, pour chaque domaine, le rapport complet indique si vous vous conformez aux meilleures pratiques, si vous devez faire des efforts ou si votre entreprise présente des lacunes graves (voir la figure 1).
Figure 1** Rapport complet **(Cliquer sur l'image pour l'agrandir)
Enfin, le rapport de comparaison vous demande de télécharger tous vos résultats de façon anonyme sur un site Web sécurisé de MSAT, où vous pourrez comparer vos résultats à ceux d'autres organisations.
Vous pouvez télécharger cet outil à partir du site Web de conseils de sécurité de Microsoft, securityguidance.com, ou sur le site Web de TechNet Magazine à l'adresse technetmagazine.com/code07.aspx.
Lance Whitney est consultant en informatique, formateur et rédacteur technique. Il a passé un nombre d'heures incalculable à affiner des postes de travail et serveurs Windows. Journaliste de formation, Lance s'est reconverti à l'informatique il y a 15 ans.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.