Capacité d'optimisation d'infrastructure : processus de sécurité - du niveau standardisé au niveau rationalisé
Sur cette page
.gif "Présentation"){kind=icon}
Présentation
Exigence : authentification à deux facteurs des utilisateurs, révision de sécurité standard pour les nouvelles acquisitions de logiciels et processus de classification des données
Présentation
Le processus de sécurité est un élément clé de l'optimisation d'infrastructure et la sécurité doit faire partie des critères de conception pour l'ensemble des procédures et technologies mises en lumière par le modèle d'optimisation d'infrastructure. Le tableau suivant dresse la liste des principaux enjeux, des solutions applicables et des avantages liés à l'accession au niveau rationalisé pour la capacité Processus de sécurité.
Enjeux |
Solutions |
Avantages |
|---|---|---|
Enjeux métier Absence de processus d'évaluation des risques cohérents Un plan de réponse aux incidents est en place, mais celui-ci totalement documenté. Utilisation d'une technologie de protection de l'identité unique. Enjeux informatiques Sécurité PC limitée. Le processus de mise à jour de la sécurité sur toutes les ressources informatiques connectées au réseau n'est pas documenté. |
Projets Continuer d'optimiser les stratégie de sécurité et de défense en profondeur Développer et implémenter des stratégies de gestion à deux facteurs des accès et des identités Développer un processus pour gérer le testing des exigences de sécurité sur l'ensemble des logiciels achetés ou développés Définir une procédure standard et reproductible pour classifier les données sensibles |
Avantages métier Les problèmes et incidents sont réduits et les occurrences qui persistent résolues plus rapidement. La protection renforcée en matière de sécurité et d'identité des informations contribue à protéger l'entreprise des menaces, quel que soit le périphérique. Avantages informatiques Des services et outils automatisés libèrent des ressources afin d'implémenter de nouveaux services et d'optimiser les services existants. Des opérations informatiques proactives résolvent les problèmes de façon plus précoce, évitant ainsi de grever la productivité des utilisateurs. |
Le niveau rationalisé d'optimisation exige que votre organisation ait défini des procédures en matière de gestion des risques, de gestion et de réponse aux incidents et de test d'applications.
Exigence : authentification à deux facteurs des utilisateurs, révision de sécurité standard pour les nouvelles acquisitions de logiciels et processus de classification des données
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas d'un plan d'action pour les stratégies de sécurité, l'évaluation des risques, la réponse aux incidents et la sécurité des données.
Vue d'ensemble
La plupart des organisations sont parfaitement conscientes de l'importance de protéger leurs données et ressources contre la perte ou l'endommagement découlant d'un vol, d'une erreur humaine ou informatique, d'un acte malveillant ou d'autres événements. Vous pouvez prendre des mesures pour limiter le risque de perte ou d'endommagement. Vous pouvez aussi définir des stratégies et procédures pour palier et limiter les conséquences d'une perte ou d'un endommagement survenu dans votre environnement informatique. Le niveau rationalisé de ce guide dévie quelque peu de l'auto-évaluation en ligne d'optimisation de l'infrastructure et se concentre sur les rubriques suivantes : authentification à deux facteurs des utilisateurs, révision de sécurité standard pour les nouvelles ressources et processus de classification des données.
Phase 1 : analyse
La phase d'analyse doit déterminer les besoins en matière de sécurité appropriés à votre organisation ainsi que les processus actuellement en place. Les exigences de sécurité peuvent varier considérablement d'une entreprise ou institution à l'autre en fonction, par exemple, de la taille de l'organisation, du secteur d'activité ou des lois ou réglementations locales en vigueur. En regroupant les exigences de votre organisation, vous serez à même de définir un processus de sécurité approprié.
Phase 2 : identification
Lors de la phase d'identification, une organisation doit examiner les outils et procédures en place et déterminer ses exigences en matière de sécurité. Lors de cette phase, vous regrouperez les stratégies de sécurité appliquées ou en cours d'application, en plus des composants technologiques déjà utilisés ou à votre disposition. Vous regrouperez également les éventuelles exigences externes en fonction des lois ou réglementations en vigueur dans votre pays ou secteur d'activité.
Phase 3 : évaluation et planification
Dans le cadre de l'accès au niveau rationalisé d'optimisation, la phase d'évaluation et de planification met en relief des domaines d'amélioration spécifiques.
Authentification à deux facteurs
Les secrets uniques comme les mots de passe peuvent constituer des contrôles de sécurité efficaces. Un mot de passe de plus de dix caractères, constitué de façon aléatoire de lettres, de chiffres et de caractères spéciaux peut être très difficile à déchiffrer. Malheureusement, pour les utilisateurs, ce type de mot de passe n'est pas toujours facile à retenir. Cela est en partie dû aux limites du genre humain.
Les systèmes d'authentification à deux facteurs permettent de pallier le problème de l'authentification par secret unique en exigeant un second secret. L'authentification à deux facteurs combine les éléments suivants :
un élément que possède l'utilisateur, tel qu'un jeton matériel ou une carte à puce ;
un élément que l'utilisateur connaît, comme un numéro d'identification personnel (PIN).
Les cartes à puce et les codes PIN associés, fiables et peu onéreuses, offrent un moyen d'identification « bifacteur » qui connaît un succès grandissant. Lorsque les contrôles appropriés sont mis en place, l'utilisateur doit posséder une carte à puce et connaître le code PIN de cette dernière pour accéder aux ressources réseau. L'authentification à deux facteurs réduit considérablement les risques d'accès non autorisé au réseau de l'entreprise.
Les cartes à puce permettent un contrôle de sécurité particulièrement efficace dans les deux scénarios suivants : pour sécuriser les comptes d'administrateurs et pour sécuriser l'accès distant. Ce guide met l'accent sur ces deux scénarios, considérant ces zones comme prioritaires dans le cadre de la mise en œuvre des cartes à puce.
Comme les comptes d'administrateurs possèdent des droits d'utilisateur étendus, si l'un de ces comptes est compromis, un intrus peut accéder à l'ensemble des ressources réseau. Il est primordial de protéger les comptes d'administrateurs, car le vol des informations d'identification de ce type de compte compromet l'intégrité du domaine, voire de l'ensemble de la forêt, ainsi que de toute autre forêt d'approbation. L'authentification à deux facteurs est primordiale pour authentifier l'administrateur.
Les entreprises peuvent se doter d'une couche de sécurité supplémentaire en mettant en œuvre des cartes à puce pour les utilisateurs qui requièrent une connexion à distance aux ressources réseau. L'authentification à deux facteurs revêt une grande importance avec les utilisateurs distants, car pour les connexions à distance, il est impossible de fournir un contrôle d'accès physique. L'authentification à deux facteurs avec des cartes à puce peut permettre d'élever le niveau de sécurité du processus d'authentification des utilisateurs distants, lorsque ceux-ci se connectent au réseau via des liaisons de type réseau privé virtuel (VPN).
Pour plus d'informations sur l'authentification à deux facteurs, rendez-vous à l'adresse : https://www.microsoft.com/technet/security/guidance/networksecurity/securesmartcards/default.mspx.
Révision de la sécurité standard pour les nouvelles acquisitions logicielles
Au niveau rationalisé, toutes les acquisitions logicielles de votre organisation doivent suivre un programme pour permettre une révision de la sécurité standard. Les meilleures pratiques en matière de révisions de la sécurité des systèmes informatiques sont décrites dans la page ISO/IEC 17799:2005 Technologie de l'information -- Techniques de sécurité -- Code de bonne pratique pour la gestion de la sécurité de l'information. ISO/IEC 17799:2005 établit des directives ainsi que des principes généraux en matière d'acquisition, de développement et de maintenance de systèmes d'informations, y compris les suivants :
exigences de sécurité des systèmes d'information ;
traitement correct des applications système ;
contrôles cryptographiques ;
sécurité des fichiers système ;
sécurité de développement et processus de prise en charge ;
gestion des vulnérabilités techniques.
Pour plus d'informations sur le standard et obtenir une documentation, rendez-vous à la page ISO/IEC 17799:2005 Technologie de l'information -- Techniques de sécurité -- Code de bonne pratique pour la gestion de la sécurité de l'information.
Processus de classification des données
La classification et la protection des données traitent de la manière d'appliquer les niveaux de classification de sécurité aux données sur un système ou lors d'une transmission. Cette catégorie de solutions traite également de la protection des données en termes de confidentialité et d'intégrité des données stockées ou transmises. Les solutions cryptographiques correspondent à la méthode de protection des données la plus communément utilisée par les organisations.
Mise en conformité
La classification des données est importante en termes de conformité car elle informe les utilisateurs sur les niveaux d'importance relative des données, la manière dont ils doivent gérer les données ainsi que la manière dont ils doivent les sauvegarder et les supprimer. Élevée, intermédiaire ou faible, une classification de données indique l'impact relatif des données sur l'entreprise. Le système de classification militaire Top Secret, Secret, Confidentiel et Non classifié peut également s'appliquer à certaines organisations.
Toutes les directives de conformité requièrent la protection et le chiffrement des fichiers contenant des informations sensibles, stockées ou transmises. Le processus de conformité crée d'énormes volumes de données sensibles, principalement dans des applications non structurées comme les fichiers Microsoft Office Word et Office Excel. Le contrôle et la protection de ces données sont très importants car ils contiennent des détails relatifs aux faibles et vulnérabilités connues d'une organisation.
Ressources Microsoft
Microsoft propose plusieurs ressources de classification et de protection des données. Par exemple, l'utilisation combinée d'Information Rights Management (IRM), qui étend les fonctionnalités de Windows Rights Management Services (RMS) dans les applications Microsoft Office 2003 et dans Microsoft Internet Explorer, et des technologies RMS vous aident à classifier et à protéger les données de votre organisation. RMS assure une protection stratégique chiffrée des données durant leurs déplacements.
Parmi les autres exemples de solutions technologiques de protection des données figurent Internet Protocol Security (IPSec) et Encrypting File System (EFS). IPSec permet l'intégrité et le chiffrement des données vers le trafic IP, tandis qu'EFS chiffre les fichiers stockés dans les systèmes de fichiers de Microsoft Windows 2000 Server, Windows XP Professional et Windows Server 2003. En matière de solutions de classification et de protection des données, Microsoft vous propose les ressources documentaires suivantes :
Pour plus d'informations sur la planification de la conformité avec la réglementation, reportez-vous au Guide de planification de la mise en conformité avec la réglementation, à l'adresse : https://www.microsoft.com/technet/security/guidance/complianceandpolicies/compliance/rcguide/4-11-00.mspx (peut être en anglais).
Pour plus d'informations sur les offres partenaires Windows Rights Management Services, reportez-vous à la rubrique relative aux partenaires de Windows Rights Management Services, à l'adresse : https://www.microsoft.com/windowsserver2003/partners/rmspartners.mspx (peut être en anglais).
Pour plus d'informations sur RMS, reportez-vous à la rubrique Windows Rights Management Services, à l'adresse : https://www.microsoft.com/rms.
Pour plus d'informations sur les capacités de gestion des droits relatifs à l'information d'Office 2003, reportez-vous à la rubrique Gestion des droits relatifs à l'information de Microsoft Office 2003, à l'adresse : https://www.microsoft.com/technet/prodtechnol/office/office2003/operate/of03irm.mspx.
Pour plus d'informations sur IPSec, reportez-vous au site IPSec, à l'adresse : https://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx.
Pour plus d'informations sur la façon d'utiliser IPSec et les stratégies de groupe destinées à isoler les serveurs et les domaines, reportez-vous à la rubrique Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe, à l'adresse : https://go.microsoft.com/fwlink/?linkid=33945.
Pour plus d'informations sur la façon d'utiliser EFS en vue de protéger les données, reportez-vous à la rubrique relative à la protection des données à l'aide d'EFS pour chiffrer les disques durs, à l'adresse : https://www.microsoft.com/technet/security/smallbusiness/topics/cryptographyetc/protect_data_efs.mspx (peut être en anglais).
Pour plus d'informations sur EFS, reportez-vous à la rubrique relative ausystème de fichiers EFS, à l'adresse : https://go.microsoft.com/fwlink/?linkid=46681 (peut être en anglais).
Pour plus d'informations sur la façon de protéger les informations sensibles contre le vol, reportez-vous à la rubrique relative à la protection des informations sensibles contre le vol sur Windows XP Professional dans un groupe de travail, à l'adresse : https://www.microsoft.com/technet/security/smallbusiness/prodtech/windowsxp/efsxppro.mspx (peut être en anglais).
Phase 4 : déploiement
Les améliorations apportées au processus de sécurité évalué et approuvé sont implémentés lors de la phase de déploiement. Il est important de réaliser des tests sur la capacité d'utilisation car ils visent à renforcer la stratégie de sécurité et les exercices incendie périodiques pour les rendre plus efficaces.
Informations complémentaires
Pour plus d'informations sur le développement d'opérations de sécurité et les standards des processus, reportez-vous au portail d'aide à la sécurité sur Microsoft TechNet, à l'adresse : https://www.microsoft.com/technet/security/guidance (peut être en anglais).
Point de contrôle : authentification à deux facteurs des utilisateurs, révision de sécurité standard pour les nouvelles acquisitions de logiciels et processus de classification des données
|
Exigence |
|---|---|
|
Des stratégies de gestion à deux facteurs des accès et des identités ont été développées et implémentées. |
|
Un processus a été développé pour gérer le testing des exigences de sécurité sur l'ensemble des logiciels achetés ou développés. |
|
Une procédure standard et reproductible a été établie pour classifier les données sensibles. |
.gif)
Si vous avez suivi toutes les étapes précédentes, votre organisation répond aux exigences minimales du niveau rationalisé pour l'authentification à deux facteurs des utilisateurs, la révision de sécurité standard pour les nouvelles acquisitions logicielles ainsi que les processus de classification des données.
Nous vous recommandons de suivre les meilleures pratiques en matière de processus de sécurité, lesquelles sont abordées sur le Centre de sécurité de Microsoft TechNet.
Passez à la question d'auto-évaluation suivante.