Microsoft Security Assessment Tool (MSAT)

Compréhension des risques

L'outil MSAT est conçu pour vous aider à identifier et à faire face aux risques de sécurité dans votre environnement informatique. Il adopte une approche holistique de la mesure de votre position vis-à-vis de la sécurité et traite d'aspects tels que les personnes, les processus et les technologies. L'outil MSAT offre les avantages suivants :

• Une sensibilisation à la sécurité continue, complète et simple d'utilisation
• Une infrastructure de défense en profondeur avec analyse comparative de norme industrielle
• Des rapports continus et détaillés comparant les indices de performances de base à votre progression
• Des recommandations éprouvées et des activités classées par priorité afin d'améliorer la sécurité
• Des conseils structurés d'ordre général et spécifiques à Microsoft

Rendez-vous sur le site Web Informatique de confiance pour en savoir plus sur l'engagement de Microsoft vis-à-vis de l'informatique de confiance. Consultez le Rapport Microsoft sur les données de sécurité le plus récent. Pour plus d'informations, visitez le Centre de protection contre les logiciels malveillants.

Le processus MSAT

MSAT se compose de plus de 200 questions traitant de l'infrastructure, des applications, des opérations et des personnes. Les questions, les réponses associées et les recommandations sont issues de meilleures pratiques couramment acceptées, de normes telles que ISO 17799 et NIST-800.x, et de recommandations et instructions fournies par le Groupe Informatique de confiance de Microsoft et autres groupes de sécurité externes. L'évaluation a pour but d'identifier le risque professionnel auquel votre organisation fait face et les mesures de sécurité déployées pour atténuer ce risque. Axées sur des aspects sécuritaires courants, les questions ont été développées de manière à fournir une évaluation globale des technologies, processus et personnes qui prennent en charge votre activité professionnelle. Débutant par une série de questions relatives au modèle professionnel de votre société, l'outil MSAT génère un profil de risques métier (BRP, Business Risk Profile), qui mesure le risque lié aux activités professionnelles de votre société dû aux modèles professionnel et industriel définis par le BRP. Une deuxième série de questions est posée afin de compiler une liste des mesures de sécurité qui ont été prises par votre société au fil du temps. Ensemble, ces mesures de sécurité forment des couches de défense et assurent une protection accrue contre les risques de sécurité et des vulnérabilités spécifiques. Chaque couche contribue à une stratégie combinée de défense en profondeur. Cette somme porte le nom de DiDI (Defense-in-Depth Index). Le BRP et le DiDI sont ensuite comparés afin de mesurer la distribution des risques parmi les zones d'analyse (infrastructure, applications, opérations et personnes). En plus de mesurer l'alignement des risques et des défenses de sécurité, cet outil mesure également la maturité de votre organisation en termes de sécurité. La maturité de la sécurité fait référence à l'évolution de pratiques de sécurité renforcées et maintenables. Au bas de l'échelle, peu de défenses de sécurité sont employées et les actions sont réactives. En haut de l'échelle, des processus établis et éprouvés permettent à la société d'être plus proactive et de répondre plus efficacement et de manière plus cohérente en cas de besoin. Des recommandations en matière de gestion des risques sont suggérées pour votre environnement, en prenant en compte le déploiement existant en termes de technologies, la position actuelle en matière de sécurité et les stratégies de défense en profondeur. Ces suggestions ont pour but de vous guider vers de meilleures pratiques reconnues. Cette évaluation, y compris les questions, mesures et recommandations, est conçue pour les organisations de taille moyenne disposant d'un environnement de 50 à 1 500 ordinateurs de bureau. Elle a pour objectif de couvrir une plage étendue de zones de risques potentiels à l'échelle de votre environnement, plutôt que de fournir une analyse en profondeur de technologies ou processus particuliers. En conséquence, cet outil n'est pas susceptible de mesurer l'efficacité des mesures de sécurité employées. Ce rapport doit être utilisé en tant que guide préliminaire pour vous aider à développer une ligne de base et à vous focaliser sur les secteurs spécifiques qui requièrent une attention plus rigoureuse. Grâce aux conseils fournis par MSAT et aux activités de sécurité implémentées, vous pouvez exécuter l'outil aussi souvent que vous le souhaitez afin de comparer votre progression aux performances de référence établies dans le rapport MSAT.

Vue d'ensemble de l'outil d'évaluation

L'outil Microsoft Security Assessment Tool est conçu pour vous aider à identifier et à gérer les risques de sécurité de votre environnement informatique. Il adopte une approche holistique de la mesure de votre position vis-à-vis de la sécurité en traitant d'aspects tels que les personnes, les processus et les technologies. Les résultats obtenus sont couplés à des conseils, des instructions et des efforts de migration recommandés, y compris des liens vers des informations supplémentaires en cas de besoin. Ces ressources peuvent vous aider à en savoir plus sur les outils et méthodes spécifiques, lesquels peuvent à leur tour vous aider à modifier la position de sécurité de votre environnement informatique. L'évaluation est composée de plus de 200 questions, réparties en quatre catégories :

• Infrastructure
• Applications
• Opérations
• Personnes

Les questions qui composent la partie « Étude » de l'outil et les réponses associées sont dérivées de meilleures pratiques couramment acceptées concernant la sécurité, à la fois d'ordre général et spécifique. Les questions et les recommandations offertes par l'outil sont basées sur des normes telles que ISO 17799 et NIST-800.x, et sur des recommandations et instructions fournies par le Groupe Informatique de confiance de Microsoft et par d'autres groupes de sécurité externes. Le tableau suivant répertorie les domaines inclus dans l'évaluation des risques de sécurité.

Infrastructure	Importance pour la sécurité
Défense périmétrique	La défense périmétrique traite de la sécurité aux frontières du réseau, là où votre réseau interne est connecté au monde extérieur. Cela constitue votre première ligne de défense contre les intrus.
Authentification	Des procédures d'authentification rigoureuses pour les utilisateurs, les administrateurs et les utilisateurs distants aident à empêcher toute personne « étrangère » d'accéder de manière non autorisée au réseau suite à des attaques locales ou distantes.
Gestion et surveillance	La gestion, la surveillance et la journalisation appropriée sont des éléments essentiels à la maintenance et à l'analyse des environnements informatiques. Ces outils revêtent encore plus d'importance après qu'une attaque s'est produite et lorsqu'une analyse d'incident est nécessaire.
Stations de travail	La sécurité des stations de travail est un facteur critique dans la défense de tout environnement, en particulier lorsque l'accès à distance est autorisé. Les stations de travail doivent disposer de moyens de défense contre les attaques les plus courantes.

 

Applications	Importance pour la sécurité
Déploiement et utilisation	Lorsque des applications critiques sont déployées dans un environnement de production, la sécurité et la disponibilité de ces applications et des serveurs d'hébergement doivent être protégées. Une maintenance continue est essentielle pour aider à s'assurer que des correctifs sont appliqués aux éventuels bogues de sécurité et que de nouvelles vulnérabilités ne sont pas introduites dans l'environnement.
Conception des applications	Toute conception qui ne gère pas de manière adéquate des mécanismes de sécurité, tels que l'authentification, l'autorisation et la validation des données, peut permettre à des agresseurs d'exploiter des vulnérabilités de sécurité et d'accéder à des informations sensibles. Il est essentiel de mettre en place des méthodologies de développement d'applications sécurisées afin de garantir que les applications développées en interne ou en sous-traitance gèrent les modèles de menaces de sécurité qui risqueraient de laisser une organisation en proie à des attaques. L'intégrité et la confidentialité des données comptent parmi les principaux sujets d'inquiétude pour toute entreprise. La perte ou le vol de données peut avoir un impact négatif sur les revenus de l'organisation et sur sa réputation. Il est important de bien comprendre la façon dont les applications gèrent les données critiques et la façon dont ces données sont protégées.

 

Opérations	Importance pour la sécurité
Environnement	La sécurité d'une organisation dépend des procédures, processus et directives opérationnels qui sont appliqués à l'environnement. Ceux-ci améliorent la sécurité de l'organisation en incluant davantage que des défenses d'ordre technologique. Il est essentiel que l'équipe opérationnelle dispose de directives et d'une documentation précises sur l'environnement afin d'être en mesure de régir, prendre en charge et maintenir la sécurité de l'environnement.
Stratégie de sécurité	La stratégie de sécurité d'entreprise fait référence à la collection de directives et de stratégies individuelles mises en place pour régir l'usage sécurisé et approprié des technologies et des processus au sein de l'organisation. Ce domaine couvre les stratégies qui s'appliquent à tous les types de sécurité (utilisateur, système et données).
Sauvegarde et récupération	La sauvegarde et la récupération des données sont essentielles à la maintenance de la continuité des activités commerciales de l'entreprise en cas de sinistre ou de défaillance matérielle et/ou logicielle. Un manque de procédures de sauvegarde et de récupération peut entraîner une perte de données et de productivité significative. La réputation de l'entreprise et de la marque pourrait également être menacée.
Gestion des correctifs et des mises à jour	Une bonne gestion des correctifs et des mises à jour contribue à sécuriser l'environnement informatique d'une organisation. L'application opportune de correctifs et de mises à jour est nécessaire afin d'aider à protéger l'environnement contre les vulnérabilités connues et exploitables.

 

Personnes	Importance pour la sécurité
Exigences et évaluations	Les exigences en matière de sécurité doivent être comprises par tous les décideurs, de sorte que leurs décisions d'ordre technique et commercial améliorent la sécurité au lieu d'entrer en conflit avec elle. Des évaluations périodiques menées par un tiers peuvent aider une entreprise à examiner, évaluer et identifier les faiblesses de son environnement.
Stratégies et procédures	Des procédures claires et pratiques de gestion des relations avec les fournisseurs et partenaires peuvent aider à protéger la société contre toute exposition à des risques. Des procédures traitant du recrutement et du licenciement des employés peuvent aider à protéger l'entreprise contre d'éventuels employés peu scrupuleux ou mécontents.
Formation et sensibilisation	Les employés doivent bénéficier d'une formation et d'une sensibilisation aux stratégies de sécurité et à la manière dont la sécurité s'applique à leurs activités et tâches quotidiennes, de sorte qu'ils n'exposent pas accidentellement l'entreprise à des risques plus grands.