Lorsqu'il inclut des centaines de postes
couvrant plusieurs départements répartis sur des implantations
distantes, le paramétrage de la sécurité applicative
d'un parc de
machines
sous Windows 2000 devient délicat. Accessibles depuis une batterie
d'interfaces d'administration, les fonctions de sécurité
du système d'exploitation de Microsoft s'adossent à un annuaire
(ActiveDirectory) stockant l'ensemble du référentiel (certificats,
profils, etc.) nécessaire à la prise en charge des logiciels
supportés. Spécialisée dans les domaines des PKI,
de la sécurisation des systèmes, des annuaires et des cartes
à puces, Dictao
a développé une méthodologie pour sécuriser
ce type architecture.
La sécurisation
d'une architecture Windows 2000
En vue d'améliorer le niveau de sécurité d'un parc de postes
existant, Dictao débute ses missions de façon classique par une
démarche d'audit. De l'analyse de l'architecture en passant par l'identification
des risques, cette étape se conclut par la correction immédiate des failles
jugées les plus critiques. Une fois cette opération effectuée,
un travail de fond prend en charge la révision de la sécurité globale,
puis la définition et la mise en oeuvre de la politique de sécurité.
"En amont de la phase d'audit, nous nous appuyons sur un outil d'évaluation
des niveaux de sécurité", commente Jérôme Bordier, responsable technique
chez Dictao. Une
application
qui liste l'ensemble des paramètres de sécurité de Windows 2000 en leur
affectant des critères de pondération pour aboutir à un classement de
points fonctionnels par degré de criticité. Quel sont les éléments
susceptibles d'arriver en tête de cette liste ? "Il peut s'agir
d'un système d'achat en ligne s'appuyant sur le protocole de chiffrement
SSL (Secure Socket Layer) dont la base de données serait accessible à
n'importe quel salarié de l'entreprise", indique le porte-parole.
Allié
conseils en sécurité et en organisation
Au delà du paramétrage de l'architecture et de la correction
des failles, la sécurité passe donc également par
la définition de procédures couvrant accès utilisateur
et administrateur. "Dans le cas du déploiement de l'outil
de chiffrement de Windows 2000 par exemple, une étude préalable
est nécessaire, notamment pour les droits de recouvrement des certificats",
insiste t-on chez Dictao. Tarifés au forfait, les projets mis en
oeuvre par la société demandent entre 6 et 12 semaine de
travail -pour une à deux personnes- en fonction des besoins. Parmi
ses principaux clients dans le domaine du conseil en sécurité
des systèmes, Dictao compte les sociétés d'assurance
Gras Savoye et MMA.
[Antoine Crochet Damais, JDNet] |