Guide : comment réduire les menaces contre Microsoft Windows NT 4.0 et Windows 98

Chapitre 2 : application d'une discipline de gestion du risque de sécurité au scénario Trey Research

Paru le 22 novembre 2004

Ce chapitre décrit les principes fondamentaux régissant l'application d'une méthode structurée et réutilisable d'analyse des risques aux systèmes informatiques. Toutes les entreprises devraient instaurer un processus rigoureux de gestion du risque afin de déterminer à quel niveau l'investissement en temps et en efforts consenti pour sécuriser les systèmes produira le plus de sécurité et offrira le meilleur retour sur investissement.

Pour qui cherche à améliorer la sécurité d'applications et clients anciens sur un réseau d'entreprise, la première étape consiste à effectuer une analyse détaillée des menaces et des risques associés à l'environnement, aux applications, aux utilisateurs et au réseau. Microsoft recommande d'analyser chaque réseau grâce à un processus parfaitement défini tel que la discipline de gestion du risque de sécurité SRMD (Security Risk Management Discipline). La discipline SRMD est un processus structuré et réutilisable d'évaluation des actifs d'une entreprise, des risques qui les menacent, des vulnérabilités pouvant permettre à un attaquant de voler ou d'endommager des actifs et des contre-mesures pouvant être appliquées pour limiter ou transférer les risques.

Un examen approfondi du processus SRMD sort du cadre de ce guide. Il suffit de se rappeler que le SRMD fournit une méthodologie permettant d'identifier les actifs et d'en quantifier la valeur, et qu'il identifie et quantifie également les menaces qui pèsent sur ces actifs afin que les entreprises puissent déterminer en connaissance de cause les mesures de sécurité les plus appropriées et économiques.

Remarque : pour obtenir de plus amples renseignements sur le SRMD, voir les références fournies dans la section "Informations complémentaires" à la fin de ce chapitre.

Sur cette page

	Présentation détaillée du scénario
	Application de la discipline de gestion du risque de sécurité (SRMD)
	Évaluation des risques
	Prise de décisions en matière de risques
	Résumé

Présentation détaillée du scénario

Trey Research est une société spécialisée dans l'analyse, le suivi et le traitement des eaux usées. Son siège social se trouve à Seattle. La société possède également des bureaux locaux en Géorgie, en Floride, en Arizona et en Pennsylvanie. Le personnel de Trey compte près de 500 personnes : travailleurs sur site, techniciens de laboratoire, scientifiques et quelques employés administratifs.

Les clients de Trey Research sont des organismes gouvernementaux locaux et nationaux spécialisés dans les services d'analyse (tels que la mesure des taux de mercure dans les eaux souterraines) ; des entreprises de construction devant réaliser des tests sur site avant, pendant et après la construction ; des sociétés industrielles et de fabrication contrôlant en continu leurs locaux et d'autres sociétés requérant un suivi ou un nettoyage d'urgence de l'environnement. Les données réunies par Trey, et les analyses qui en sont faites, sont souvent de nature confidentielle aussi bien au niveau financier que juridique. Lorsque les ingénieurs de Trey sont appelés à témoigner en tant qu'experts, ils doivent respecter des processus de preuve spécifiques pour tout le cycle de vie des données qu'ils réunissent.

Les travailleurs sur site notent leurs relevés dans des carnets avant de les saisir manuellement à leur retour à leur bureau. Quelques ingénieurs utilisent des ordinateurs mobiles équipés de Microsoft® Windows® 98 pour saisir directement leurs données lorsqu'ils sont sur site, mais ce système d'analyse est réservé à certains des plus gros clients de Trey.

Au cours des trois dernières années, Trey s'est développée de près de 20 pour cent par an. Ce taux de croissance a finalement convaincu le PDG de la compagnie d'engager un directeur informatique chargé d'élaborer et de superviser un plan de modernisation des systèmes informatiques. Le directeur informatique a pris ses fonctions vers la fin de l'année 2003 et sa première tâche a consisté à analyser les risques afin de mieux comprendre la valeur des actifs informatiques de la société et d'appréhender leurs vulnérabilités. Suite à cette analyse, Trey a très rapidement apporté plusieurs modifications à son environnement informatique. Le premier changement important a été la mise à niveau de la structure de domaine vers le service d'annuaire Microsoft Active Directory® et vers Microsoft Windows Server™ 2003. Cette mise à niveau a immédiatement amélioré la sécurité des comptes de domaine et a rendu possible l'application de contrôles des stratégies de groupe supplémentaires à des ordinateurs sensibles tels que ceux utilisés par les cadres et leurs collaborateurs. De plus, la société a accéléré son plan de modernisation technologique de sort que le déploiement initial de son nouveau système d'analyse et de collecte (basé sur Windows XP et sur Windows XP Tablet PC Edition) débutera plus tôt que prévu.

Toutefois, Trey a également décidé d'investir dans le renforcement de ses systèmes existants afin de limiter le risque de perte de données ou de compromission, en attendant que le nouveau système soit totalement déployé. Le PDG a accordé un mois au directeur informatique pour identifier les menaces les plus immédiates, déterminer leur degré de priorité et les limiter et pour étudier comment mettre à niveau les systèmes Windows NT® 4.0 de la société. Bien que ce délai soit très court, Trey prend les menaces de sécurité concernées très au sérieux et cherche proactivement à se protéger du mieux possible.

Réseau

Les recommandations et les configurations décrites dans ce document on été testées dans une simulation du réseau de la société Trey dont la configuration est représentée dans le graphique ci-dessous :

Figure 2.1 Sous-ensemble du réseau de Trey Research testé
Afficher l'image en taille réelle

Structure d’Active Directory

Trey Research utilise un seul domaine Active Directory dans toute l'entreprise. Ce choix a été motivé par sa facilité d'entretien et son bon contrôle. Tous les bureaux locaux sont connectés au siège social de Trey par l'intermédiaire de lignes allouées privées de sorte qu'il est inutile de développer des sous-domaines pour les bureaux individuels.

Exigences au niveau de l'entreprise

En matière de sécurité de ses systèmes et réseaux, Trey doit respecter cinq exigences principales au niveau de l'entreprise :

•	Assurer l'intégrité de ses systèmes pour empêcher toute compromission par des attaquants extérieurs. Ceci implique de renforcer le réseau contre les pénétrations, d'améliorer l'audit et la consignation et de réduire les vulnérabilités du système aux attaques les plus connues.
•	Assurer le fonctionnement normal de ses activités une fois toutes les mesures de sécurité mises en place. La plupart des analyses réalisées par l'entreprise sont urgentes de sorte que des interruptions fréquentes ou prolongées seraient inacceptables.
•	Assurer la confidentialité les informations lorsqu'il le faut. Certaines des informations sur lesquelles travaille Trey sont extrêmement sensibles et la société veut empêcher tout procès éventuel dû à leur divulgation.
•	Fournir une protection accrue contre les codes malveillants à son réseau. Trey se montre assez libérale en ce qui concerne sa politique d'utilisation de sorte que de nombreux utilisateurs dans l'entreprise ont l'habitude de télécharger et d'installer des logiciels à leur gré. C'est une situation qui a généré des problèmes de sécurité et de performances dans le passé. L'un des objectifs du renforcement est de rendre les systèmes de la société moins vulnérables au téléchargement de logiciels malveillants.
•	Fournir une méthode automatisée d'audit et de distribution des correctifs de sécurité.

Haut de page

Application de la discipline de gestion du risque de sécurité (SRMD)

L'objectif de la discipline SRMD est de fournir le moyen de quantifier les risques et de les réduire ceux sur lesquels l'entreprise peut intervenir pour les minimiser. À cette fin, le SRMD définit la gestion des risques comme étant un processus continu comportant quatre étapes de base illustrée dans la figure ci-dessous :

1.	Évaluation des risques. Identifier les risques courus par l'entreprise et les classer par ordre de priorité. Ces risques peuvent être associés, ou non, à des systèmes ou actifs informatiques particuliers.
2.	Prise en charge des décisions. Identifier et sélectionner les solutions de contrôle en fonction d'un processus défini d'analyse des coûts par rapport aux avantages.
3.	Mise en œuvre des contrôles. Déployer et appliquer des solutions de contrôle holistiques afin de réduire les risques pour l'entreprise.
4.	Mesure des risques. Déterminer l'efficacité des contrôles déployés pour ramener les risques à un niveau acceptable et établir des rapports à ce propos. Figure 2.2 Le cycle SRMD

Le guide de Microsoft intitulé Microsoft Security Risk Management Discipline Guide (publication prévue plus tard dans l'année 2004) décrit le SRMD de façon détaillée. Le personnel informatique de Trey IT a étudié le matériel SRMD et a développé un plan pour :

1.	Évaluer les risques. Ce processus en trois étapes nécessite que Trey élabore un plan d'évaluation des risques, réunisse des données sur le degré de risque actuel et sur la vulnérabilité de l'entreprise à cet égard puis que la société définisse le degré de priorité de ces risques en fonction de leur gravité et de leur coût.
2.	Utiliser l'évaluation des risques pour prendre des décisions sur les contrôles précis à appliquer en fonction du degré de risque réel en ce moment.
3.	Mettre en œuvre les contrôles retenus. Les autres chapitres de ce guide sont consacrés à l'étude des contrôles pouvant être appliqués pour minimiser des types de risques précis.
4.	Évaluer l'impact des contrôles appliqués sur le risque et sur l'environnement d'entreprise.

Ce chapitre s'intéressera principalement aux deux premières étapes et expliquera comment le personnel informatique de Trey a adapté la discipline SRMD à son environnement afin d'aider la société à commencer à appliquer un processus de gestion des risques basé sur SRMD. Les autres chapitres traiteront principalement de la troisième étape, c'est-à-dire de l'application des contrôles réels.

Haut de page

Évaluation des risques

La première mesure importante que Trey doit prendre pour initier son processus de renforcement de la sécurité consiste à évaluer les risques et les menaces que la société doit réellement affronter. Dans le cadre de ce processus, Trey doit relier différentes étapes entre elles et notamment :

1.	Identifier les rôles et la fonction de chaque classe d'ordinateurs faisant partie du réseau.
2.	Mapper les communications entre les différents rôles. Ainsi, les serveurs d'applications doivent pouvoir communiquer avec les contrôleurs de domaine et avec les stations de travail des utilisateurs. Ce mappage devrait faire ressortir les protocoles, ports et circuits de circulation utilisés en relation avec ces communications.
3.	Identifier les menaces potentielles pouvant mettre en danger les ordinateurs en fonction de leurs différents rôles.
4.	Déterminer le degré de probabilité de voir ces menaces particulières s'appliquer à un rôle donné.

Identification des rôles

Pour la plupart des ordinateurs, le processus d'identification des rôles qu'ils jouent sur le réseau est extrêmement simple. En consultant l'inventaire physique des systèmes que possède la société, le département informatique de Trey a généré les données réunies dans le tableau ci-dessous qui répertorie les principaux rôles actuellement en vigueur sur son réseau, les systèmes d'exploitation utilisés par ces rôles et enfin le type et l'emplacement des machines qui jouent ces divers rôles. Toutes ces informations sont pertinentes et se rapportent au processus de modélisation des menaces.

Tableau 2.1 : Rôles des ordinateurs de Trey

Rôle	Systèmes d'exploitation utilisés selon leur rôle	Emplacement	Type de matériel
Application / Serveur Web	Windows NT 4.0	Siège social	Serveur conventionnel
Serveurs DHCP (Dynamic Host Configuration Protocol)	Windows Server 2003	Siège social, bureaux locaux	Serveurs conventionnels
Serveurs DNS (Domain Name System)	Windows Server 2003	Siège social	Serveurs conventionnels
Contrôleur de domaine	Windows Server 2003	Siège social, bureaux locaux	Serveur conventionnel
Ordinateurs mobiles pour cadres	Windows 2000, Windows XP	Mobile	Ordinateurs mobiles
Stations de travail des cadres / réservées à un usage spécifique	Windows XP	Siège social	Ordinateurs de bureau conventionnels
Système pour ingénieur sur site	Windows 98	Mobile	Ordinateurs mobiles
Serveur de fichiers/d'impression	Windows NT 4.0	Siège social, bureaux locaux	Serveur conventionnel
Serveur de messagerie	Windows NT 4.0	Siège social	Serveur conventionnel
Systèmes de contrôle à usage spécifique	Windows NT 4.0, quelques Windows 98	Bureaux locaux	Ensemble d'ordinateurs de bureau et de serveurs conventionnels
Stations de travail utilisateur	Windows 98, quelques uns	Siège social, bureaux locaux	Ordinateur de bureau conventionnel
Serveurs WINS (Windows Internet Name Service)	Windows Server 2003	Siège social, bureaux locaux	Serveurs conventionnels

Mappage des communications

Une fois que les rôles des ordinateurs ont été identifiés, il devient possible de déterminer le type de communications de réseau qui s'établissent entre les différents rôles. Cette détermination permet de préciser les types de trafic qui doivent être autorisés ou interdits entre le réseau global et les segments de ce réseau qui contiennent des ordinateurs exploitant des versions antérieures du système d'exploitation Windows.

Modélisation du réseau

La modélisation du réseau est très simple. Les ingénieurs de la société Trey se sont tout simplement basés sur un schéma de leur réseau actuel et s'en sont servi pour élaborer la carte de leur réseau. De telles cartes doivent indiquer l'emplacement physique, l'adresse réseau et le type de sytème d'exploitation de chacun des ordinateurs du réseau. Dans l'idéal, elles devraient également représenter visuellement l'emplacement des routeurs et des pare-feu et matérialiser le mode de segmentation du réseau.

Ajout d'informations sur les flux de données

Une fois la carte du réseau établie, il faut ensuite y superposer des informations sur les flux de données. Ceci est généralement réalisé à l'aide de la méthode de formalisation des flux de données Yourdon-DeMarco (DFD) qui représente les échanges de données entre les systèmes ou les objets par des lignes fléchées. Chaque ligne peut indiquer le numéro de port ou le protocole utilisé. On obtient ainsi un schéma illustrant les flux de communications entre chaque ensemble de rôles. Grâce à ce schéma, il devient très facile de configurer les pare-feu et les filtres pour port/paquet afin de n'autoriser que les types de trafic indiqués. De plus, les informations sur les flux de données pourront facilement être utilisées à une date ultérieure pour développer des règles de filtrage IPsec pour les entreprises ayant déployé Windows 2000, Windows XP et Windows Server 2003.

Identification et modélisation des menaces

La modélisation des menaces consiste à tenter d'améliorer la sécurité d'un système distribué en réalisant un inventaire de toutes les menaces pesant sur le système, indépendamment de leur origine. Le concept sous-jacent à cette modélisation est l'idée que l'identification du plus grand nombre possible de menaces et la prise de conscience de leur existence facilitent les efforts de minimisation ou de suppression de ces menaces. Les décisions seront prises selon que la minimisation est impossible, trop difficile ou trop chère, ou que la menace est trop faible ou improbable pour exiger des mesures de limitation des risques. Lors de la création d'un modèle de ce type, il convient d'énumérer toutes les menaces réalistes — y compris celles contre lesquelles vous savez que vous êtes déjà protégé. Quelques fois, en effet, l'examen de menaces contre lesquelles vous possédez déjà des défenses révèle d'autres types d'attaques similaires ou parallèles.

Identification des menaces

Quand les ingénieurs informatiques de Trey IT ont fini d'élaborer la carte de leur réseau indiquant les rôles joués et les méthodes de communication entre les ordinateurs et les différents rôles, ils étaient prêts à se lancer dans l'identification et la prioritisation de menaces spécifiques. Ces menaces se répartissent en plusieurs catégories :

•	Menaces contre la sécurité ou l'intégrité physique des ordinateurs. Il s'agit notamment des risques d'incendie, d'inondation, de coupure de courant, de dommage physique accidentel ou intentionnel et de compromissions causées par un accès physique non autorisé.
•	Attaques par refus de service impliquant des ordinateurs individuels, des services d'infrastructure et le réseau lui-même.
•	Exécution de codes malveillants, particulièrement les virus, vers et chevaux de Troie.
•	La divulgation non autorisée d'informations sensibles par le biais de l'espionnage du réseau, de la compromission des comptes et d'autres moyens.
•	Compromissions causées par une perte de contrôle des comptes utilisateurs ou privilégiés (y compris celles dues à des mots de passe trop simples, à des contrôles inappropriés des comptes privilégiés, à un mauvais respect des procédures de sécurité ou à un audit insuffisant).

Chaque catégorie de menace réunit diverses menaces individuelles dont certaines ont déjà été minimisées mais dont d'autres s'avèrent très difficiles à limiter dans l'environnement de la société Trey. Chacune des sections présentées ci-dessous décrit une classe de menaces et les mesures dont dispose Trey pour les minimiser. N'oubliez pas que, dans certains cas, les mesures de minimisation présentées ne sont que partiellement efficaces. Seules les mesures disponibles dans Windows NT 4.0 ou Windows 98 sont présentées mais les versions plus récentes de Windows comprennent des mesures bien plus efficaces.

Menaces physiques contre la sécurité

Le tableau ci-dessous présente les principales menaces physiques contre la sécurité identifiées par Trey comme présentant un risque pour son réseau. La plupart de ces menaces découlent principalement de facteurs échappant au contrôle de la société. La seule façon efficace de les minimiser consiste donc à prévoir des stratégies de récupération après incident grave et un processus de maintien de l'activité d'entreprise qui sortent du cadre de ce guide.

Remarque : les colonnes "Impact et portée" et "Probabilité" des tableaux ci-dessous présentent la meilleure estimation de la nature, de l'étendue et de la probabilité de chaque menace telle qu'elle a été déterminée par les informaticiens de la société Trey. Les différentes valeurs de ces valeurs peuvent fortement varier d'une entreprise à une autre.

Tableau 2.2 : Menaces physiques contre la sécurité et minimisation

Menace	Détails / vecteur d'attaque	Impact et portée	Probabilité	Minimisations disponibles
Dommage environnemental	Incendie, inondation, intempéries et autres facteurs environnementaux externes.	Élevé / intégralité du réseau	Faible	Assurance ; programmes de récupération après incident grave et de maintien de l'activité d'entreprise.
Perte temporaire des services d'infrastructure	Perte de la connectivité au réseau étendu (WAN) / Internet, de courant, de système de refroidissement et d'autres services d'infrastructure d'importance critique qui ne sont pas fournis par Trey.	Moyen / intégralité du réseau	Moyen	Ces pannes sont le plus souvent de courte durée.
Dommage physique à des ordinateurs importants	Dommage accidentel ou délibéré.	Moyen / une seule machine	Faible	Sauvegardes ; contrôle de l'accès physique aux ordinateurs sensibles.
Compromission d'un seul ordinateur	Compromission d'un seul ordinateur après accès physique d'un attaquant.	Élevé / une seule machine	Faible	Contrôles d'accès physique ; renforcement de l'amorçage ; mots de passe fiables sur les comptes d'administrateur locaux ; utilisation de Syskey pour protéger les données de la base de données locale du Gestionnaire de comptes de sécurité.

Menaces de refus de service

Dans un refus de service, l'accès aux services ou au ordinateurs du réseau est perdu suite à une tentative intentionnelle de blocage ou d'engorgement de l'équipement et des ordinateurs du réseau par du trafic fictif. Généralement, ces attaques sont minimisées au niveau du périmètre du réseau. Le tableau ci-dessous présente les principales menaces de refus de service identifiées par Trey présentant un risque important pour son réseau.

Tableau 2.3 : Menaces de refus de service et minimisations

Menace	Détails / vecteur d'attaque	Impact et portée	Probabilité	Minimisations disponibles
Falsification des données du trafic réseau ou usurpation d'identité	L'attaquant envoie des messages inappropriés / mal formés aux hôtes.	Élevé / intégralité du réseau	Faible	Filtrage des paquets entrant sur le réseau.
Sabotage des services DNS	L'attaquant usurpe une identité, pollue ou bloque le trafic DNS.	Élevé / intégralité du réseau	Faible	Contrôle de la qualité du service DNS pour détecter rapidement tout problème de service.
Falsification des données du trafic réseau ou usurpation d'identité ciblée	L'attaquant vise des ordinateurs ou actifs individuels.	Élevé / un seul ordinateur	Faible	Filtrage des ports et des paquets ; segmentation du réseau ; pare-feu personnels.
Verrouillage de comptes utilisateur	L'attaquant dépasse le nombre maximum de tentatives de saisie d'un mot de passe ce qui déclenche la stratégie de verrouillage du compte.	Moyen / intégralité du réseau	Faible	Déploiement d'une stratégie de verrouillage du compte sans comptabilisation des tentatives de saisie.
Verrouillage d'un compte de service	L'attaquant empêche l'accès à un compte de service en dépassant le nombre maximum de tentatives de saisie du mot de passe.	Moyen / intégralité du réseau	Faible	Déploiement d'une stratégie de verrouillage du compte sans comptabilisation des tentatives de saisie.
Attaque par consommation de la bande passante	L'attaquant consomme volontairement de la bande passante pour viser un réseau ou appareil.	Moyen / intégralité du réseau	Faible	Pour réseau de périmètre, filtrage des paquets entrants et surveillance du fournisseur d'accès Internet (FAI). Pour les hôtes internes, contrôle de la transmission. Renforcement de la pile TCP/IP (Transmission Control Protocol/Internet Protocol) et filtrage des paquets entrants.
Sabotage des services DHCP / WINS	L'attaquant usurpe une identité, pollue ou bloque le trafic DHCP ou WINS entre les clients et les serveurs d'infrastructure.	Faible / un seul ordinateur	Faible	Multiples serveurs DHCP et WINS dont la portée se superpose.

Menaces de codes malveillants

Le tableau ci-dessous présente les principales menaces physiques contre la sécurité identifiées par Trey comme présentant un risque pour son réseau. Tout comme les menaces physiques, ces menaces découlent principalement de facteurs échappant au contrôle de la société. La seule façon efficace de les minimiser consiste donc à prévoir des stratégies de récupération après incident grave et un processus de maintien de l'activité d'entreprise qui sortent du cadre de ce guide.

Tableau 2.4 : Menaces de codes malveillants et minimisation

Menace	Détails / vecteur d'attaque	Impact et portée	Probabilité	Minimisations disponibles
Épidémie de virus	Un virus introduit sur le réseau de Trey par un utilisateur interne se répand.	Élevé / intégralité du réseau	Moyen	Déploiement d'un logiciel antivirus client et serveur ; sensibilisation des utilisateurs ; gestion des correctifs ; isolement des ordinateurs anciens.
Exécution d'un code malveillant par un utilisateur	L'utilisateur télécharge et exécute un code malveillant présenté sous forme anodine.	Élevé / un seul ordinateur	Moyen	Renforcement de Microsoft Internet Explorer ; sensibilisation des utilisateurs.
Épidémie de vers	Un ver introduit depuis Internet ou par l'intermédiaire d'un ordinateur interne infecté se répand.	Élevé / intégralité du réseau	Faible	Gestion des correctifs pour réduire les vulnérabilités exploitables ; isolement des ordinateurs anciens.

Menaces de divulgation d'informations

Les menaces de divulgation d'informations comprennent les fuites accidentelles de données confidentielles, la divulgation délibérée d'informations à des tiers non autorisés par des utilisateurs autorisés et les attaques ciblées visant à divulguer des données.

Tableau 2.5 : Menaces de divulgation d'informations et minimisation

Menace	Détails / vecteur d'attaque	Impact et portée	Probabilité	Minimisations disponibles
Reniflage du réseau	L'attaquant surveille en cachette le trafic réseau afin de capturer des mots de passe et autres informations sensibles.	Élevé / intégralité du réseau	Moyen	Contrôles d'accès physique pour réseau ; signature Server Message Block (SMB) ; utilisation de Windows NT LAN Manager version 2 (NTLMv2) à la place de l'authentification NTLM ou LM.
Vol de données sur des ordinateurs mobiles / portables	L'attaquant vole l'ordinateur et récupère les données qu'il contient	Élevé / intégralité du réseau	Moyen	Aucune
Fuite de données relatives aux mots de passe	L'attaquant vole des mots de passe hachés depuis un ordinateur ou réseau compromis.	Élevé / intégralité du réseau	Faible	Contrôles d'accès physique pour contrôleurs de domaine ; utilisation de Syskey ; NTLMv2.
Divulgation volontaire d'informations	Un utilisateur autorisé communique des informations à un tiers non autorisé.	Élevé / un seul ordinateur	Faible	Aucune

Menaces de compromission de comptes

Il existe deux grandes catégories de menaces de compromission de comptes : les compromissions causées lorsqu'un attaquant parvient physiquement à accéder à un ordinateur (ce qui lui permet de supprimer le mot de passe de l'administrateur local, d'installer un mécanisme d'enregistrement des touches utilisées ou de saboter l'ordinateur d'une autre façon) et les attaques venant du réseau. Le tableau suivant présente les plus importantes menaces de compromission de comptes qui inquiètent Trey.

Tableau 2.6 : Menaces de compromission de compte et minimisation

Menace	Détails / vecteur d'attaque	Impact et portée	Probabilité	Minimisations disponibles
Compromission d'un compte d'administrateur de domaine	Un attaquant obtient le mot de passe d'un compte d'administrateur de domaine.	Élevé / intégralité du réseau	Faible	Contrôles d'accès physique.
Compromission d'un compte d'administrateur local sur un ordinateur individuel	Un attaquant se procure le mot de passe d'un administrateur local en décryptant le mot de passe ou par un autre moyen.	Élevé / un seul ordinateur	Faible	Contrôles de sécurité physiques ; authentification NTLMv2.
Réinitialisation du mot de passe d'un compte d'administrateur sur un ordinateur individuel	Un attaquant accède physiquement à un ordinateur et réinitialise son mot de passe d'administrateur local.	Élevé / un seul ordinateur	Faible	Contrôles de sécurité physiques.
Compromission d'un compte utilisateur	L'attaquant parvient à accéder à un compte utilisateur ordinaire.	Moyen / un seul ordinateur	Faible	Contrôles d'accès physiques ; signature SMB ; authentification NTLMv2.

Haut de page

Prise de décisions en matière de risques

Quand le personnel informatique de la société Trey a fini d'identifier les risques les plus importants qui menaçaient la société (risques répertoriés et classés par degré de priorité dans les tableaux précédents), il a été en mesure de décider des mesures de minimisation à prendre en fonction de l'impact potentiel de menaces particulières et de la probabilité de les voir se produire. Il est impossible de minimiser efficacement certaines des menaces les plus importantes sur des ordinateurs exploitant Windows 98 et Windows NT 4.0. C'est pourquoi Trey a décidé de faire migrer ses systèmes d'infrastructure vers Windows Server 2003. D'autres risques peuvent être minimisés en associant des étapes spécifiques aux systèmes d'exploitation, des configurations de réseau et des modifications des règles. En examinant chaque menace potentielle et en calculant le coût d'une défense en conséquence, Trey a développé un plan de minimisation pour le plus grand nombre possible de risques sévères. Les autres chapitres de ce guide décrivent les mesures spécifiques choisies par Trey.

Haut de page

Résumé

Ce chapitre vous a décrit certaines des considérations régissant l'appliquant d'une discipline SRMD à un scénario client classique. Toutes les informations fournies dans cet exemple sont basées sur des données réelles ; cependant, ces informations ne constituent qu'une petite partie de l'ensemble des renseignements requis pour qu'une entreprise puisse effectuer une évaluation détaillée des risques de sécurité. En effet, présenter l'intégralité des analyses des risques ou l'ensemble des risques de sécurité dans des tableaux n'aurait fait que rendre les informations de ce chapitre plus confuses. C'est pourquoi il a été jugé préférable de mettre en avant quelques exemples appropriés pour en simplifier la compréhension et faciliter les références.

Les conseils contenus dans ce chapitre ont été mis en application pour créer une liste des risques contre lesquels des mesures protectrices spécifiques ont été développées. Une fois cette liste créée, les ingénieurs de la société Trey seront en mesure de chercher à identifier les actions requises pour limiter les risques en sécurisant leurs systèmes contre les vulnérabilités répertoriées. Les autres chapitres de ce guide examinent ces actions en détail.

Informations complémentaires

Pour plus d'informations sur la façon d'appliquer la discipline SRMD à un environnement d'entreprise, consulter les ressources suivantes :

•	Le module "Understanding the Security Risk Management Discipline" (Présentation de la discipline de gestion du risque de sécurité) sur le site TechNet de Microsoft à l'adresse http://www.microsoft.com/france/technet/themes/secur/secmod134.mspx.
•	Le module "Applying the Security Risk Management Discipline" (Application de la discipline de gestion du risque de sécurité) du document "Identifying and Managing Security Risks" (Identification et gestion des risques de sécurité) sur le site TechNet de Microsoft à l'adresse http://www.microsoft.com/france/technet/themes/secur/secmod135.mspx.

Haut de page

2 sur 9

Dans cet article

•	Chapitre 1 : Introduction
•	Chapitre 2 : application d'une discipline de gestion du risque de sécurité au scénario Trey Research
•	Chapitre 3 : sécurité du réseau et renforcement
•	Chapitre 4 : renforcement de Microsoft Windows NT 4.0
•	Chapitre 5 : renforcement de Microsoft Windows 98
•	Chapitre 6 : gestion des correctifs
•	Chapitre 7 : protection antivirus
•	Chapitre 8 : conclusion
•	Remerciements