Lorsqu'il inclut des centaines
de postes couvrant plusieurs départements répartis
sur des implantations distantes, le paramétrage
de la sécurité applicative d'un parc de
machines
sous Windows 2000 devient délicat. Accessibles
depuis une batterie d'interfaces d'administration, les
fonctions de sécurité du système
d'exploitation de Microsoft s'adossent à un annuaire
(ActiveDirectory) stockant l'ensemble du référentiel
(certificats, profils, etc.) nécessaire à
la prise en charge des logiciels supportés. Spécialisée
dans les domaines des PKI, de la sécurisation
des systèmes, des annuaires et des cartes à
puces, Dictao
a développé une méthodologie pour
sécuriser ce type architecture.
En vue d'améliorer le niveau de sécurité
d'un parc de postes existant, Dictao débute ses missions
de façon classique par une démarche d'audit.
De l'analyse de l'architecture en passant par l'identification
des risques, cette étape se conclut par la correction
immédiate des failles jugées les plus critiques. Une
fois cette opération effectuée, un travail
de fond prend en charge la révision de la sécurité globale,
puis la définition et la mise en oeuvre de la politique
de sécurité.
"En amont de la phase d'audit, nous nous appuyons sur
un outil d'évaluation des niveaux de sécurité", commente
Jérôme Bordier, responsable technique chez Dictao. Une
application
qui liste l'ensemble des paramètres de sécurité de Windows
2000 en leur affectant des critères de pondération pour
aboutir à un classement de points fonctionnels par degré
de criticité. Quel sont les éléments susceptibles
d'arriver en tête de cette liste ? "Il peut s'agir
d'un système d'achat en ligne s'appuyant sur le protocole
de chiffrement SSL (Secure Socket Layer) dont la base
de données serait accessible à n'importe quel salarié
de l'entreprise", indique le porte-parole.
Au delà du
paramétrage de l'architecture et de la correction
des failles, la sécurité passe donc également
par la définition de procédures couvrant
accès utilisateur et administrateur. "Dans
le cas du déploiement de l'outil de chiffrement
de Windows 2000 par exemple, une étude préalable
est nécessaire, notamment pour les droits de
recouvrement des certificats", insiste t-on chez
Dictao. Tarifés au forfait, les projets mis en
oeuvre par la société demandent entre
6 et 12 semaine de travail -pour une à deux personnes-
en fonction des besoins. Parmi
ses principaux clients dans le domaine du conseil en
sécurité des systèmes, Dictao compte
les sociétés d'assurance Gras Savoye et
MMA.
|