Lorsqu'il inclut des centaines de postes couvrant plusieurs départements répartis sur des implantations distantes, le paramétrage de la sécurité applicative d'un parc de machines sous Windows 2000 devient délicat. Accessibles depuis une batterie d'interfaces d'administration, les fonctions de sécurité du système d'exploitation de Microsoft s'adossent à un annuaire (ActiveDirectory) stockant l'ensemble du référentiel (certificats, profils, etc.) nécessaire à la prise en charge des logiciels supportés. Spécialisée dans les domaines des PKI, de la sécurisation des systèmes, des annuaires et des cartes à puces, Dictao a développé une méthodologie pour sécuriser ce type architecture.

La sécurisation d'une architecture Windows 2000
En vue d'améliorer le niveau de sécurité d'un parc de postes existant, Dictao débute ses missions de façon classique par une démarche d'audit. De l'analyse de l'architecture en passant par l'identification des risques, cette étape se conclut par la correction immédiate des failles jugées les plus critiques. Une fois cette opération effectuée, un travail de fond prend en charge la révision de la sécurité globale, puis la définition et la mise en oeuvre de la politique de sécurité.

"En amont de la phase d'audit, nous nous appuyons sur un outil d'évaluation des niveaux de sécurité", commente Jérôme Bordier, responsable technique chez Dictao. Une application qui liste l'ensemble des paramètres de sécurité de Windows 2000 en leur affectant des critères de pondération pour aboutir à un classement de points fonctionnels par degré de criticité. Quel sont les éléments susceptibles d'arriver en tête de cette liste ? "Il peut s'agir d'un système d'achat en ligne s'appuyant sur le protocole de chiffrement SSL (Secure Socket Layer) dont la base de données serait accessible à n'importe quel salarié de l'entreprise", indique le porte-parole.

Allié conseils en sécurité et en organisation
Au delà du paramétrage de l'architecture et de la correction des failles, la sécurité passe donc également par la définition de procédures couvrant accès utilisateur et administrateur. "Dans le cas du déploiement de l'outil de chiffrement de Windows 2000 par exemple, une étude préalable est nécessaire, notamment pour les droits de recouvrement des certificats", insiste t-on chez Dictao. Tarifés au forfait, les projets mis en oeuvre par la société demandent entre 6 et 12 semaine de travail -pour une à deux personnes- en fonction des besoins. Parmi ses principaux clients dans le domaine du conseil en sécurité des systèmes, Dictao compte les sociétés d'assurance Gras Savoye et MMA.