4. Application de la discipline de gestion du risque de sécurité

 

La discipline de gestion du risque de sécurité est un processus détaillé qu'il est utile de mettre en œuvre pour déterminer les menaces et les vulnérabilités susceptibles de causer le plus de dommages à une organisation donnée. Dans la mesure où les impératifs en matière de gestion diffèrent d'une société à l'autre, il est impossible de créer une liste unique de vulnérabilités ayant le même impact sur tous les environnements.

Ce processus est décrit en détail au chapitre 3, « Présentation de la discipline de gestion du risque de sécurité ». Dans le présent chapitre, il est appliqué à un client générique. Des indications sont fournies au sujet de l'environnement cible afin que vous disposiez de données de base suffisantes pour cet exemple. En guise de conclusion, ce chapitre propose une analyse et une description complètes des risques spécifiques identifiés.

 

Présentation du scénario

La démonstration repose sur une société fictive de prospection commerciale appelée Contoso SA. Contoso possède deux sites, tous deux aux États-Unis : un siège social situé à Atlanta, en Géorgie, ainsi qu'une succursale implantée à Boston, dans le Massachusetts. Cette entreprise de taille relativement importante compte plusieurs milliers d'employés qui utilisent des ressources informatiques. L'an dernier, elle a affiché un chiffre d’affaires de 829 millions d’euros.

L'infrastructure de la société a fait l'objet d'une mise à niveau intégrale vers Microsoft® Windows® 2000 Server. Les clients continuent quant à eux d'utiliser des systèmes d'exploitation différents, et notamment Microsoft® Windows 98 SR2, Microsoft® Windows NT® Workstation version 4.0, ® Windows 2000 et Windows XP.

Modèle d'administration

Contoso a segmenté les groupes administratifs de la société en divisions, affectées chacune à des aspects technologiques précis. Un groupe d'administrateurs s'occupe de toute l'administration à l'échelle du domaine, de celle des contrôleurs de domaine notamment. Un deuxième groupe gère les services d'infrastructure, comme WINS (Windows Internet Name Service), DHCP (Dynamic Host Configuration Protocol) et DNS (Domain Name Systems), ainsi que les services de fichiers et d'impression de l'organisation.

En outre, un groupe affecté aux services Web est chargé de l'administration de tous les serveurs IIS (Internet Information Services) de l'environnement. IIS est le logiciel serveur Web de Microsoft. Il utilise les protocoles HTTP (Hypertext Transfer Protocol) et FTP (File Transfer Protocol). Ces groupes d'administration sont décrits en détail dans le tableau suivant :

Tableau 4.1. Groupes d'administration de Contoso

Nom du groupe

Responsabilités

Ingénierie du domaine

Administration du domaine, Administration du contrôleur de domaine, DNS

Opérations

WINS, DHCP, Services de fichiers, Services d'impression

Services Web

Administration IIS

Organisation de l'infrastructure

Structure du réseau

Contoso possède deux centres de données connectés par deux lignes T1. Chaque site comprend une partie du personnel des opérations et des ingénieurs responsables des services d'infrastructure réseau. Tous les serveurs Web sont implantés dans le centre de données principal d'Atlanta.

Chaque site bénéficie de connexions à 100 Mbits/s avec tous les serveurs et de connexions à 10 Mbits/s avec tous les postes de travail clients. Les serveurs font partie d'un sous-réseau qui leur est propre. Les ordinateurs clients sont installés dans un sous-réseau distinct. Tous les ordinateurs ont accès à Internet via une connexion à Atlanta.

Structure d'Active Directory

Contoso a déployé une forêt Windows 2000 Server unique avec une racine vide et un seul domaine enfant. Un domaine racine vide est un domaine distinct qui héberge uniquement les comptes d'ordinateur des contrôleurs de ce domaine et les comptes d'utilisateur par défaut.

Un domaine racine vide peut être créé si vous souhaitez disposer de plusieurs domaines enfants équitablement répartis sur le plan géographique et gérés par un groupe central. La sécurité n’en sera pas renforcée pour autant. Toutefois, dans la mesure où il permet de dissocier les administrateurs de l'entreprise des administrateurs du domaine régional, il empêche que des erreurs malencontreuses ne causent des dégâts à la forêt tout entière. Dans la société Contoso, un domaine racine vide a été créé pour permettre éventuellement une connexion future à d'autres pays.

Le diagramme ci-dessous représente le domaine de haut niveau.

Figure 4.1.

Structure d'Active Directory au sein de Contoso SA.

Contoso a également scindé son réseau en deux sites de services d'annuaire Microsoft® Active Directory® : Atlanta et Boston. Les rôles de maîtres des opérations (FSMO, Flexible Single Master Operations) sont répartis entre ces deux sites.

Chaque site possède des contrôleurs de domaine sur lesquels le service Active Directory est intégré aux serveurs DNS et DHCP ainsi qu'aux serveurs de fichiers et d'impression. Atlanta héberge les serveurs WINS de toute l'organisation. La plupart des serveurs IIS de l'organisation y résident également, même si un nombre réduit de serveurs Web départementaux de plus petite taille sont installés à Boston.

Contoso procède actuellement à la mise à niveau de son réseau interne. Elle envisage une migration vers une topologie de réseau commuté, mais certains de ses immeubles comportent encore un grand nombre d'ordinateurs connectés par des concentrateurs.

Figure 4.2.

Structure de services de Contoso SA.

La figure ci-dessus indique la répartition des services sur les serveurs au sein de Contoso, sans toutefois représenter le nombre total de serveurs de l'organisation.

 


Impératifs de gestion

Vous le savez déjà, Contoso est une société de recherche en marketing. Ce secteur se concentre sur la planification et le contrôle du volume d'activités intervenant dans l'acheminement d'un flux de marchandises et de services du producteur au consommateur (avec notamment le conditionnement des produits, la tarification, les offres promotionnelles et la distribution physique) en vue de répondre aux besoins d'un marché particulier.

Pour identifier les besoins du marché, les spécialistes des études de marché doivent réunir le plus d'informations possibles sur leurs clients. Pour leur simplifier la tâche, Contoso leur propose des informations détaillées sur les marchés cibles.

La majeure partie des données commerciales de Contoso est hébergée sur des serveurs IIS au sein de l'organisation. Le personnel de recherche en marketing de Contoso utilise les serveurs Web de recherche commerciale internes lorsqu'il collecte des données détaillées pour les clients. Certaines de ces informations sont également stockées dans des partages de fichiers, mais elles ne constituent qu'un sous-ensemble des données disponibles sur les serveurs de l'intranet.

Contoso souhaite s'assurer que ses données internes sont parfaitement sécurisées et qu’elles le resteront. Dans le secteur de la recherche commerciale, la concurrence est sévère, et les données de recherche dont dispose la société constituent son principal avantage sur ses rivaux. Il est donc important pour elle de sécuriser le plus possible ces données.

Un projet distinct a déjà été mis en place pour garantir la sécurité des connexions externes de Contoso et de son réseau périmétrique. Nous ne nous pencherons pas sur ce projet dans le cadre de ce guide.


Identification des risques de sécurité

La première étape de tout projet de sécurité consiste à identifier les risques de sécurité qu'il est nécessaire d'éliminer. Les risques de sécurité sont la somme de ressources, des menaces qui pèsent sur elles et des vulnérabilités que ces ressources présentent et qui sont susceptibles d'être exploitées d'une quelconque façon. Pour mieux illustrer les relations qui unissent ces éléments, procédons par analogie en partant d'une maison.

Considérons la maison comme un bien ou une ressource. Elle possède de la valeur et doit donc être protégée. Un cambrioleur est un agent de menace pour la maison, qu'il peut endommager ou vider d'une partie de son contenu. Les fenêtres de la maison constituent des éléments de sécurité indispensables. Toutefois, lorsqu'une fenêtre reste ouverte, elle représente une vulnérabilité dans la mesure où notre voleur peut l'exploiter pour pénétrer dans la maison. Cet exemple simple illustre la manière dont un agent de menace peut tirer profit d'une vulnérabilité pour accéder à une ressource.

Pour sécuriser intégralement l'environnement informatique d'une organisation, il faut commencer par identifier ses ressources ainsi que les menaces et les vulnérabilités potentielles. La mise en place de ce processus au sein d'une organisation facilite la mise en évidence d'un ensemble de risques de sécurité qui pourront ensuite être analysés correctement et classés par ordre de priorité.

Identification des ressources

Les ressources peuvent inclure un large éventail d'éléments. Un seul sous-ensemble de ressources informatiques est envisagé dans ce chapitre. L'identification des ressources peut être très simple dans certaines organisations et très compliquée dans d'autres : tout dépend des processus d'approvisionnement et des mécanismes de suivi des ressources employés.

Il ne suffit pas de connaître le nombre de serveurs déployés au sein de l'organisation, il faut aussi, et surtout, définir les fonctions assurées par ces serveurs. Par exemple, Contoso est une société de recherche en marketing qui utilise des serveurs Web pour que ses employés aient accès aux données d'études de marché. La société peut considérer que ces serveurs Web revêtent une plus grande importance qu'un serveur d'impression et que, parmi eux, certains sont plus importants que d'autres pour l'organisation en général.

De plus, les ressources ne se limitent pas aux composants matériels qui les constituent. Dans un environnement informatique, des services tels que les services de noms assurés par un serveur DNS représentent des ressources qui doivent être évaluées. Il en va de même pour les comptes d'utilisateur ou d'administrateur.

Classement des ressources par ordre de priorité

Si l'identification des ressources est un processus qualitatif, le calcul de la valeur potentielle de chaque serveur ou groupe de serveurs doit prendre en considération le rôle général que ceux-ci jouent dans le cadre de la réalisation des objectifs stratégiques de l'organisation. Pour cela, une priorité de la ressource (PR) peut être attribuée à chaque serveur ou groupe de serveurs. Les principaux facteurs à envisager dans le cadre de ce processus sont les suivants :

·         valeur financière de la ressource ;

·         coût de création ou d'acquisition de la ressource ;

·         coût de protection de la ressource ;

·         valeur de la ressource aux yeux de la concurrence ;

·         coût de récupération de la ressource.

Il peut être très difficile de classer toutes les ressources d'une organisation d'après une même échelle. Par conséquent, il peut s’avérer judicieux de les répartir en groupes représentant des technologies similaires et ensuite de les évaluer. Une telle approche facilite la comparaison des valeurs relatives des différentes ressources sur la base d'une échelle similaire.

Calcul de la valeur d'une ressource

Lors de l'identification des ressources, il est également très important de déterminer la valeur de chaque ressource (VR). La valeur de la ressource correspond à sa valeur monétaire. Pour la déterminer, il faut absolument prendre en compte un certain nombre d'éléments, et notamment la valeur physique et la valeur commerciale des données qu'hébergent ces ressources.

La valeur physique est relativement simple à calculer. Elle est la somme des coûts suivants :

·         coût du matériel ;

·         coût des logiciels ;

·         coût de support ;

·         coût de remplacement.

Quant à la valeur commerciale des données contenues dans les ressources, il peut être très difficile de l'exprimer par une valeur numérique. Elle peut en effet être fondée sur l'importance que revêtent ces données pour la réalisation des objectifs financiers généraux de la société ou sur l'intérêt qu'elles présentent pour une organisation ou une personne externe. En règle générale, cette valeur est souvent sujette à discussion. Elle doit cependant indiquer l'impact relatif qu'aurait sur l'organisation la perte de ces données, par comparaison à la perte de données de ressources similaires. Le plus souvent, la valeur des données dépasse largement la valeur du matériel qui compose la ressource.

Cela étant, la plus difficile à quantifier est vraisemblablement la valeur indirecte de la ressource. Elle doit refléter les montants que la société accepte de perdre en raison de la publicité négative, des poursuites judiciaires ou des pertes commerciales qu'elle aurait à subir si la ressource était perdue ou compromise. De plus, cette valeur peut inclure le coût que représente pour l'entreprise le remplacement de la ressource ou la réparation des dommages causés par sa perte.

Pour terminer, il faut également évaluer la valeur qu'ont les données pour une organisation externe. À l'instar de la valeur commerciale indirecte, elle est difficile à chiffrer. Le montant estimé doit refléter la valeur monétaire qu'un agent externe payerait pour obtenir les données effectivement hébergées par la ressource.

La valeur de la ressource (VR) est un montant monétaire qui peut être utilisé pour déterminer sa perte estimée. Pour la calculer, il faut additionner la valeur physique de la ressource, sa valeur commerciale directe, sa valeur commerciale indirecte et la valeur qu'elle représente auprès d'une organisation externe.

Rappelons-le, ce nombre est très compliqué à calculer. La valeur physique d'un serveur n'est qu'une fraction de la valeur totale que représente cet ordinateur. La valeur réelle que représente une ressource pour une organisation se mesure en termes de fonctionnalités ou d'après les données qu'elle contient.

Liste des ressources de Contoso

Dans le cadre du processus d'analyse des risques de sécurité, les ressources de l'organisation doivent être identifiées et évaluées. Les résultats serviront à établir l'énoncé du risque de sécurité global et permettront de calculer la valeur relative des ressources pour l'organisation. Le processus d'analyse des risques de sécurité permet non seulement d'identifier les risques, mais aussi d'évaluer les dommages potentiels afin de justifier l'application de mesures de protection.

Contoso a identifié plusieurs groupes de ressources qu'elle souhaite sécuriser lors d'une première phase du projet. Parmi ces groupes de ressources, il faut citer l'infrastructure Windows 2000. Ce groupe comprend les contrôleurs de domaine, les serveurs de fichiers et d'impression, les serveurs IIS et les serveurs d'infrastructure. Le groupe des serveurs d'infrastructure de Contoso englobe les services DNS, DHCP et WINS.

Ces serveurs ont été classés d'après les critères exposés précédemment. Au cours de ce processus, les équipes chargées de l'ingénierie du domaine, des opérations, des services Web et de la sécurité étendue ont déterminé une valeur globale de priorité de ressource (PR) pour chaque groupe de serveurs. Pour cela, elles ont adopté l'échelle suivante, allant de 1 à 10, afin de classer les ressources par ordre croissant d’importance pour l'entreprise :

·         1 - Serveur assurant des fonctionnalités de base et sans impact financier sur l'entreprise

·         3 - Serveur hébergeant des informations importantes, mais pouvant être récupérées rapidement et aisément en cas de besoin

·         5 - Serveur contenant des données importantes dont la récupération prend un certain temps

·         8 - Serveur hébergeant des informations importantes pour la réalisation des objectifs stratégiques de l'entreprise et dont la perte nuirait gravement à la productivité de l'ensemble des utilisateurs

·         10 - Serveur ayant un impact majeur sur les activités de l'entreprise et dont la perte entraînerait un net recul de l'entreprise face à la concurrence

Le tableau ci-dessous indique les notes de priorité appliquées à quelques-unes des ressources de Contoso. S'il ne fournit pas une liste exhaustive, il propose un échantillon représentatif du classement général des ressources de l'environnement de Contoso.

Tableau 4.2. Notes de priorité des ressources de Contoso

Classe de serveur

Priorité de la ressource (AP)

Contrôleurs de domaine racine

8

Comptes d'administrateur de l'entreprise

10

Contrôleurs de domaine enfants

8

Comptes d'administrateur du domaine Ameriquenord

10

Comptes d'utilisateur du domaine Ameriquenord

5

Services DNS racines

4

Services DNS enfants

5

Serveurs WINS

3

Serveurs DHCP

1

Serveurs de fichiers et d'impression

8

Serveurs IIS de recherche

10

Serveurs IIS de département

6

Serveurs IIS des ressources humaines

7

Une valorisation des ressources a également été effectuée pour chacun des serveurs. Les résultats sont indiqués dans le tableau qui suit.

Une décomposition détaillée de ces valeurs est disponible dans la documentation de travail 1, « Gestion du risque de sécurité ».

Tableau 4.3. Valorisation des ressources de Contoso

Classe de serveur

Valeur physique
(en
€)

Valeur supplémentaire
(en
€)

Valeur de la ressource (AV)
(en
€)

Contrôleur de domaine racine unique

18 000

10 000

28 000

Comptes d'administrateur de l'entreprise

0

829 millions

829 millions

Contrôleur de domaine enfant unique

18 000

50 000

68,000

Comptes d'administrateur du domaine Ameriquenord 0

0

829 millions

829 millions

Comptes d'utilisateur du domaine Ameriquenord 0

0

1 000

1 000

Services DNS racines

18 000

30 000

48 000

Services DNS enfants

18 000

30 000

48 000

Serveur WINS

18 000

0

18 000

Serveur DHCP

18 000

0

18 000

Serveur de fichiers et d'impression

40 000

480 000

520 000

Serveur IIS de recherche

46 000

550 000

596 000

Serveur IIS de département

32 000

50 000

82 000

Serveur IIS des ressources humaines

32 000

300 000

332 000

Explication des priorités et des valeurs des ressources

Les ressources de la société peuvent être classées de nombreuses façons. Cette section décrit en détail les critères adoptés pour classer les ressources de Contoso par ordre de priorité. Les informations ci-dessous expliquent les décisions qui ont été prises dans ce scénario. Dans la mesure où votre environnement est certainement différent de l’exemple choisi, les calculs de valeurs seront différents et dépendront des impératifs et des besoins de votre entreprise. Certes, ces valeurs sont extrêmement subjectives, mais elles vous donnent néanmoins un aperçu du processus appliqué à l'environnement spécifique de la société Contoso.

Contrôleurs du domaine racine

Les contrôleurs du domaine racine constituent un élément important de l'infrastructure même s'ils contiennent peu de données qui ne puissent être facilement recréées. Contoso possède plusieurs contrôleurs de domaine dans son domaine racine, afin d'assurer la redondance des services fournis. Si leur valeur financière directe pour l'entreprise est faible, ces serveurs jouent un rôle extrêmement important. Nous leur avons donc attribué la priorité de ressource 8.

Très peu de données hébergées sur les contrôleurs du domaine racine représentent une valeur financière à l'extérieur de l'entreprise. Toutefois, si ces serveurs étaient compromis, l'accès aux informations par les utilisateurs serait probablement limité. Nous avons donc évalué la valeur de leurs données commerciales à environ 10 000 €. Si l'on inclut le coût du matériel, la valeur totale de la ressource d'un contrôleur de domaine racine est estimée à 28 000 €.

Ces chiffres se rapportent à un seul contrôleur de domaine et ne reflètent pas la priorité des services de domaine globaux. Les comptes d'administrateur de l'entreprise et de domaine ont été envisagés comme des ressources distinctes pour le calcul du risque que chacun d’entre eux représente.

Dans le scénario Contoso, nous aurions pu évaluer en plus la priorité et la valeur des services de domaine globaux de façon à tenir compte des risques susceptibles d'anéantir toutes les fonctionnalités du domaine. Ce sujet dépasse toutefois le cadre du projet qui nous occupe.

Comptes d'administrateur de l'entreprise

Les comptes du groupe Administrateurs de l'entreprise sont les comptes les plus importants de l'organisation. Un administrateur d'entreprise peut en effet contrôler n'importe quel ordinateur de la forêt. Ces comptes doit uniquement être utilisés lorsque c'est nécessaire et bénéficier d'une sécurité maximale au sein de l'organisation.

Au vu du pouvoir immense qu'accorde le groupe Administrateurs de l'entreprise à ses membres, cette ressource a obtenu la note de priorité 10. Une perte de contrôle de ces comptes serait un réel désastre pour l'organisation.

Les comptes du groupe Administrateurs de l'entreprise ont une valeur énorme, qui équivaut à celle de toutes les données hébergées ou sécurisées par la forêt Windows 2000. Pour cette raison, nous avons estimé cette valeur à 829 millions d’euros, soit les recettes de l'organisation au cours de l'année précédente. Le groupe Administrateurs de l'entreprise doit bénéficier du plus haut niveau de protection dans la mesure où l'entreprise tout entière en dépend.

Contrôleurs de domaine enfants

Les contrôleurs de domaine enfants hébergent des informations critiques relatives aux utilisateurs de l'organisation, et notamment leurs mots de passe. Si ces données étaient perdues ou compromises, l'impact sur la société serait considérable. Tous les sites de Contoso ont été dotés de plusieurs contrôleurs de domaine, afin de réduire l'impact d'une défaillance unique. Dès lors, en cas de perte d'un seul contrôleur de domaine, sa récupération n'est pas compliquée. La combinaison de ces facteurs a amené tout naturellement Contoso à attribuer la note de priorité 8 à cette ressource.

Quant aux données d'un contrôleur de domaine enfant, elles ont été valorisées à 50 000 €. Cette estimation s'appuie sur le montant que payerait une organisation externe pour obtenir les numéros de téléphone et les adresses de messagerie des utilisateurs. Si l'on ajoute à cela la valeur du matériel, un contrôleur de domaine enfant représente une valeur de ressource totale estimée de 68 000 €.

Comme pour les contrôleurs du domaine racine, ces chiffres ne tiennent pas compte d'une situation où les comptes de domaine seraient compromis ou les services du domaine perdus. Ces estimations sont essentiellement basées sur les données et les fonctions qu'héberge un seul contrôleur de domaine.

Comptes d'administrateur du domaine Ameriquenord

Contoso possède un domaine enfant appelé « Ameriquenord ». Ce domaine abrite la majorité des ressources de la société, notamment des serveurs, des données et des comptes. S'ils sont moins nombreux que les comptes du groupe Administrateurs de l'entreprise, les comptes du groupe Administrateurs du domaine Ameriquenord possèdent des pouvoirs très étendus.

Les administrateurs de domaine ont en général le contrôle total de toutes les ressources du domaine, c'est pourquoi les comptes d'administrateur du domaine Ameriquenord se sont vu accorder la priorité 10. Les conséquences de la violation d'un de ces comptes sont aussi désastreuses que celle d'un compte du groupe Administrateurs de l'entreprise, la violation de comptes des deux groupes est susceptible de compromettre tous les ordinateurs de l'organisation.

Comme nous l'avons déjà dit, la valeur des comptes du groupe Administrateurs du domaine est colossale. Nous avons encore une fois estimé que cette valeur devait être l'équivalent des recettes de l'organisation au cours de l'année précédente, à savoir 829 millions d’euros.

Comptes d'utilisateur du domaine Ameriquenord

Les administrateurs du domaine ne sont pas les seuls comptes essentiels pour une organisation. Si un compte d'utilisateur n'a pas intrinsèquement le même pouvoir qu'un administrateur de domaine, il peut servir néanmoins de tremplin à un intrus pour compromettre une organisation. La stabilité et l'intégrité des comptes d'utilisateur figurent parmi les principaux objectifs d'Active Directory. Nous avons donc accordé la note de priorité 5 à ces comptes.

La valeur physique d'un compte d'utilisateur unique est minime. Un compte compromis peut provoquer la perte de certaines fonctionnalités et sa restauration nécessiter quelques heures de travail administratif. De toutes les ressources, ces comptes sont les plus difficiles à valoriser. Le coût nécessaire pour recréer le compte et pallier la perte de productivité facilite cependant le travail d'estimation de la valeur de la ressource, chiffrée à environ 1 000 €.

Services DNS racines

Les serveurs DNS racines fournissent une foison de fonctionnalités, mais ils sont faciles à recréer. Les données qu'ils hébergent ne sont guère intéressantes pour des tiers, et leur perte n'aurait qu'un impact global minime. Cependant, en cas de corruption des serveurs DNS, les utilisateurs peuvent être redirigés vers d'autres emplacements et ainsi ne plus avoir accès aux ressources requises. Ces raisons nous ont poussé à attribuer la priorité de ressource 4 aux serveurs DNS racines.

Un serveur DNS limité à ce rôle ne contient pas de données commerciales. Cependant, la moindre perturbation de ces services peut donner lieu à une perte de fonctionnalité et de productivité. Pour calculer la valeur supplémentaire des services DNS racines, nous avons tenu compte du temps que nécessiteraient le rétablissement de ces fonctionnalités et la correction des éventuels problèmes, ainsi que la perte de productivité approximative. Le résultat se chiffre à environ 30 000 €. Ajoutons à cela la valeur du matériel, et nous obtenons une estimation de la valeur globale pour cette ressource de 48 000 €.

Notez que les serveurs DNS de Contoso sont exécutés sur les contrôleurs de domaine, mais nous avons pris la décision de considérer ces services comme des entités distinctes.

Serveurs DNS enfants

Les serveurs DNS enfants contiennent des informations relatives à tous les serveurs, stations de travail clientes et certains services réseau du domaine enfant qui pourraient se révéler précieuses aux yeux de tiers. Ils n'ont pas d'incidence directe sur les bénéfices de la société, même s'ils jouent un rôle extrêmement important dans le bon fonctionnement du réseau de Contoso. Dans la mesure où leurs données peuvent facilement être recréées sur d'autres serveurs DNS, nous avons accordé à ces serveurs la priorité de ressource 5.

Comme c'est le cas dans le domaine racine, un serveur DNS limité à ce rôle ne contient pas de données commerciales. Cependant, la moindre perturbation de ses services peut donner lieu à une perte de fonctionnalité et de productivité. Pour calculer la valeur supplémentaire des services DNS du domaine Ameriquenord, nous avons encore une fois tenu compte du temps qu'exigeraient le rétablissement de ces fonctionnalités et la résolution des éventuels problèmes, ainsi que la perte de productivité approximative. Nos calculs ont donné le même résultat que pour les services DNS du domaine racine, à savoir environ € 30 000. Si nous ajoutons à cela la valeur du matériel, la valeur globale pour cette ressource se chiffre à 48 000 €.

Rappelons une nouvelle fois que les serveurs DNS de Contoso sont exécutés sur les contrôleurs de domaine, mais que nous avons pris la décision de considérer ces services comme des entités distinctes.

Serveur WINS

Les informations résidant sur les serveurs WINS sont comparables à celles des serveurs DNS. Toutefois, dans l'environnement de Contoso, l'emploi de serveurs WINS est principalement limité aux anciennes stations de travail clientes exécutant Windows 98 et Windows NT Workstation 4.0. Là encore, leurs données sont faciles à reconstituer, c'est pourquoi la priorité de ressource 3 a été définie pour ces serveurs.

Un serveur WINS ne contient pas de données commerciales, mais seulement des informations de noms NetBIOS (Network Basic Input/Output System) relatives aux hôtes de l'environnement. Une perte de productivité pourrait découler de la perturbation des services WINS de l'environnement, mais ce risque est atténué grâce à la redondance de ces serveurs. La valeur de ressource totale d'un serveur WINS est estimée à 18 000 €.

Il convient toutefois de noter qu'elle n'inclut pas la valeur des services WINS de l'organisation tout entière, mais celle d'un seul serveur WINS.

Serveurs DHCP

Les serveurs DHCP abritent très peu de données intéressantes pour des organisations tierces. Ils sont faciles à recréer et ne contribuent aucunement aux bénéfices directs de la société. Nous leur avons donc attribué la priorité de ressource 1.

Le serveur DHCP comporte uniquement des informations au sujet des ordinateurs et de leurs adresses IP, ainsi que des informations sur les étendues DHCP. Il n'héberge aucune donnée pouvant offrir une quelconque valeur commerciale, mais il fournit malgré tout des fonctionnalités stratégiques de l'entreprise. Contoso a implémenté plusieurs serveurs DHCP dans son environnement ; la règle 80/20 a été adoptée pour créer les étendues DHCP de façon que la perte d'un serveur DHCP puisse être tolérée. Cette mesure a permis de réduire considérablement l'impact de la perte d'un serveur DHCP, dont la valeur de ressource est ainsi estimée à 18 000 €.

Notez cependant que cette valeur n'inclut pas celle des services DHCP de l'organisation tout entière, mais celle d'un serveur DHCP unique.

Serveurs de fichiers et d'impression

Les serveurs de fichiers et d'impression renferment une grande quantité de données de propriété intellectuelle de l'entreprise. Leur perte constituerait une véritable catastrophe financière pour la société et une aubaine pour ses concurrents. De plus, il faudrait dépenser des sommes astronomiques pour recréer les données de ces serveurs. Tous ces facteurs nous ont poussé à attribuer aux serveurs de fichiers et d'impression de Contoso la valeur de priorité de ressource 8.

Les données hébergées sur chacun de ces serveurs ont été évaluées à 200 000 € par serveur. Un tel chiffre est représentatif de la valeur qu'elles revêtent pour l'organisation et du coût requis pour les générer.

Serveurs IIS de recherche

Au sein de la société Contoso, des serveurs IIS de recherche publient la majorité des données de recherche commerciale à l'intention des utilisateurs internes. Ces serveurs abritent les données grâce auxquelles la société bénéficie d'un solide avantage sur la concurrence. Essentiels, voire vitaux, ils ont donc reçu la note de priorité de ressource 10.

Chacun des serveurs IIS de recherche héberge des données valorisées à 450 000 €, montant qui reflète une fois encore la valeur de ces données pour l'organisation et le coût requis pour les générer. Il faut ajouter à cela la valeur que ces informations présentent pour une organisation tierce, à savoir environ 80 000 €, ainsi que le coût du matériel : nous obtenons donc une valeur de ressource de 596 000 € pour chacun des serveurs IIS dédiés à l'hébergement des données de recherche commerciale.

Serveur IIS de département

Les serveurs IIS de département renferment également des données précieuses sur les projets actuels et futurs de Contoso ; le volume de données avec valeur commerciale pure est en revanche très limité. Ces serveurs sont principalement utilisés comme un moyen de communication. Ces raisons nous ont incité à attribuer la priorité de ressource 6 aux serveurs IIS de département.

Les données de ces serveurs ont été valorisées en moyenne à 50 000 € par serveur. Ce chiffre est encore une fois obtenu compte tenu de la valeur que ces données revêtent pour l'organisation et du coût requis pour les générer. Si nous l'additionnons au coût du matériel, nous arrivons à une valeur totale de la ressource de 82 000 € pour les serveurs IIS de département.

Serveurs IIS des ressources humaines

Ces serveurs jouent le rôle de serveurs frontaux pour un autre système principal de gestion des ressources humaines. Ils peuvent être facilement recréés et n'hébergent pas une grande quantité de données commerciales critiques. Cependant, leur développement est extrêmement onéreux, c'est pourquoi nous leur avons attribué la priorité de ressource 7.

La valeur des données commerciales de ces serveurs a été estimée à 100 000 €. Parmi ces données figure un volume considérable de données personnelles et de données internes de la société, fort précieuses pour une organisation tierce. De plus, la divulgation de ces informations pourrait entraîner des poursuites judiciaires et une publicité négative, globalement estimées à 200 000 €. Si l'on ajoute à cela la valeur du matériel du serveur IIS, la valeur de la ressource se chiffre à 332 000 €.

Identification des menaces

Après l'identification et la valorisation des ressources qui doivent être intégrées dans le projet de sécurité de Contoso, l'étape suivante consiste à déterminer les menaces à neutraliser pour protéger ces ressources. Les menaces se présentent sous de très nombreuses formes et les risques qu'elles posent aux ressources de la société sont multiples. Elles sont décrites en détail au chapitre 2, « Définition du paysage de sécurité ». En bref, il existe trois principales catégories de menaces : naturelles, mécaniques et humaines.

Menaces identifiées dans l'environnement de Contoso

Dans le cadre du projet de sécurisation de Windows 2000, Contoso a décidé qu'elle s'attacherait uniquement aux menaces potentiellement hostiles. La société a mis en place des procédures d'exploitation et des stratégies de formation pour mieux réduire la menace que représente une mauvaise utilisation accidentelle de l'environnement système. L'environnement de Contoso dispose en outre d'une conception du réseau physique et de configurations système spécialement étudiées pour réduire les menaces mécaniques. La société a également mis au point des plans de secours bien définis pour faire face à une éventuelle catastrophe naturelle.

En minimisant le nombre de menaces que doit gérer le projet de sécurité, vous appréhenderez plus facilement la surface d'attaque et les limites de projet, données nécessaires à l'établissement de procédures et de stratégies de sécurité. Toutefois, imposer de telles limites au projet peut engendrer la nécessité de mettre en place d'autres projets afin de contrer parfaitement toutes les menaces posées à l'environnement.

Analyse des risques de sécurité : calcul de la probabilité d'une menace

Déterminer les probabilités de menaces spécifiques est une étape cruciale du processus global d'analyse des risques de sécurité. Lors de la création d'énoncés du risque de sécurité pour votre organisation, ces valeurs de probabilité vous aideront à mieux évaluer la gravité de chaque risque.

Pour Contoso, la probabilité d'une menace (PM) représente les risques de voir cette menace potentielle se concrétiser. La société a mis au point une échelle pour toutes les menaces sévères et a classé celles-ci de 0 à 1. Lorsqu'une menace possède la notation 0,1 sur cette échelle, les risques de la voir se vérifier sont très minces, alors que les menaces affectées de la valeur de probabilité 1 ont toutes les chances de se concrétiser un jour ou l'autre. Voyez à ce sujet le tableau ci-dessous.

Tableau 4.4. Probabilité des menaces dans l'environnement de Contoso

Menace

Probabilité

Incendie

0,05

Inondation

0,025

Vents violents

0,025

Tremblement de terre

0,001

Panne de courant

0,0002

Défaillance matérielle

0,1

Panne du réseau

0,3

Utilisateurs mal informés

0,2

Code malveillant (virus)

0,6

Espions industriels

0,1

Attaques internes

0,6

Attaques externes

0,4

La note de probabilité attribuée aux attaques internes et externes repose sur les résultats de l'enquête « Computer Crime and Security Survey » réalisée en 2002 (sur la sécurité et les délits informatiques) et sur des expériences vécues au sein de Contoso au cours de l'année précédente.

Il ne s'agit là que d'un sous-ensemble des menaces qui ont pu être identifiées, mais cela démontre qu'il est possible de dresser une liste des menaces sur la base des expériences antérieures, des conditions environnementales, de la situation géographique et du secteur économique auquel l'organisation appartient.

Évaluations de la sécurité

Comme c'est le cas pour la majorité des projets liés au système informatique, la meilleure approche pour planifier un projet de sécurité consiste à conduire des investigations au sein de l’environnement existant. Outre les stratégies et les procédures, il faut passer en revue les technologies employées et la manière dont elles sont exploitées à divers niveaux : matériel, périmètre, réseau, hôtes, applications et données. L'évaluation de la sécurité poursuit plusieurs objectifs, et les tâches nécessaires à leur réalisation sont nombreuses. Il s'agit notamment :

·         des évaluations des opérations ;

·         des tests d'intrusion ;

·         des évaluations des vulnérabilités ;

·         de l'audit de détection des intrusions.

Dans ces domaines, de nombreux partenaires Microsoft peuvent vous proposer leurs services. Pour obtenir la liste des partenaires certifiés Microsoft, consultez la page Web suivante : http://mcspreferral.microsoft.com/default.asp. Les quatre catégories d'évaluation de la sécurité sont décrites dans le détail ci-dessous.

Évaluations des opérations

La sécurité, c'est avant tout une stratégie correctement définie. La première étape pour sécuriser une organisation doit consister en un examen approfondi des stratégies documentées dont celle-ci dispose. En principe, une évaluation des opérations se traduit par une étude détaillée des stratégies et des procédures d'une société. Elle est parfois étendue à l'examen des procédés et méthodes généraux d'utilisation des technologies.

Une évaluation des opérations a pour objectif d'aider l'organisation à déterminer sa situation actuelle en ce qui concerne la sécurité et sa capacité de gestion des opérations. En outre, elle doit contribuer à formuler des recommandations générales et spécifiques qui améliorent le niveau de sécurisation et réduisent le coût total de possession (TCO) pour l'organisation.

Tests d'intrusion

Les tests d'intrusion peuvent vous aider à mettre en lumière les méthodes qu'un individu non autorisé pourrait exploiter pour accéder à l'environnement de façon illicite. Ces tests sont nombreux :

·         L'analyse des ressources externes en vue d'identifier les cibles potentielles d'agressions.

·         Une technique nommée « war dialing », qui consiste à composer un grand nombre de numéros de téléphone pour identifier les cibles non sécurisées. Le « war dialer » est un outil que le pirate emploie pour accéder sans autorisation à un numéro de téléphone de modem.

·         Une technique similaire nommée « war pinging » qui permet d'identifier les hôtes externes disponibles en interrogeant les adresses IP. Ces ordinateurs peuvent être utilisés afin d'effectuer d'autres tests.

·         Un concept relativement récent, appelé « war driving », s'inscrivant dans la même lignée. Ce processus vise à localiser des points d'accès sans fil non sécurisés dans une organisation.

·         L'ingénierie sociale pour localiser les personnes dont il est possible d'obtenir par la ruse les mots de passe ou d'autres informations de sécurité susceptibles de donner accidentellement accès à des informations confidentielles.

·         Une intrusion physique pour déterminer s'il est possible d'accéder facilement aux installations.

Ces tests sont utiles dans la mesure où ils permettent d'accroître l'attention portée par une organisation sur les stratégies de sécurité. Cependant, l'une des principales difficultés qui se posent consiste à trouver une entité externe suffisamment fiable pour pouvoir les réaliser. Tout test d'intrusion doit être approuvé par écrit avant sa mise en œuvre. Dans la plupart des sociétés, si un employé exécute une action telle que celle-ci sans autorisation, il s'expose à une rupture de son contrat de travail.

Évaluation des vulnérabilités

L'évaluation des vulnérabilités pousse un peu plus loin les tests d'intrusion. Au lieu d'identifier certains procédés d'accès potentiels, elle définit tous les points d'entrée possibles de l'organisation. Au sein de cette dernière, l'équipe du projet de sécurité poursuit l’évaluation en identifiant d'autres points faibles des ressources internes. Ces tests sont généralement accomplis par du personnel interne doté de privilèges d'administration sur tous les ordinateurs.

Une vulnérabilité est une faille dans un système informatique ou dans l'un des ses composants (par exemple, les procédures de sécurité du système, la conception matérielle ou les contrôles internes) qui est susceptible d'être exploitée dans le but de compromettre des informations. En général, elle est étroitement liée à la configuration actuelle de la ressource. Si la configuration d'une ressource change, il faut recommencer l'évaluation des vulnérabilités afin de valider le système mis à jour et s'assurer qu'il demeure sécurisé.

Les vulnérabilités peuvent provenir de failles situées à n'importe quel point du modèle de défense en profondeur (« defense in-depth »). Ce modèle établit une stratégie en couches de protection des ressources contre les menaces externes et internes. L'expression « défense en profondeur » nous vient du jargon militaire et décrit la superposition de contre-mesures de protection pour former un environnement de sécurité bénéficiant d'une importante cohésion et dépourvu de points de défaillance. Ce modèle prévoit la résolution des problèmes liés au facteur humain, aux processus ou aux technologies et peut être mis au point à l'aide de cette stratégie d'évaluation.

L'analyse des vulnérabilités peut être réalisée manuellement ou à l'aide d'outils. Une analyse automatisée permet d'identifier chaque ordinateur ou composant du réseau. Après avoir détecté les cibles potentielles, elle exécute une série de tests destinés à déterminer les vulnérabilités potentielles de la ressource.

Des analyses manuelles peuvent tirer parti des informations fournies par un outil d'évaluation pour obtenir des détails supplémentaires au sujet de l'environnement cible. Parce qu'elles vont plus loin encore, ces analyses manuelles peuvent mettre à nu des zones de vulnérabilité non détectées par le processus automatisé.

Audit de détection des intrusions

Ce type d'audit combine en général les résultats de plusieurs autres tests et permet de vérifier le bon fonctionnement des outils de détection des intrusions d'une organisation. L'organisme responsable de cet audit s'appuie sur des informations issues de l'évaluation des opérations pour appréhender les stratégies et processus actuellement mis en œuvre par l'organisation. Les résultats des tests d'intrusion donnent un aperçu des différents domaines d'exposition de l'organisation. Quant à l'évaluation des vulnérabilités, elle permet de comprendre les problèmes qui existent actuellement au sein de l'organisation.

Un organisme tiers engagé pour effectuer un audit de détection des intrusions peut utiliser l'ensemble de ces connaissances pour tenter de s'introduire dans l'organisation à partir de l'extérieur. Cette tâche se distingue de l'évaluation des vulnérabilités en ce qu'elle est généralement confiée à un organisme externe, dépourvu de droits d'administration. Si ce processus peut être mené à bien, l'implémentation du système de détection des intrusions de la société cible doit être réévalué. Si l'intrusion aboutit, le groupe qui effectue ce test recommence le processus à l'intérieur de l'organisation pour déterminer les informations supplémentaires qu'il parvient encore à se procurer sans alerter ni le système de détection des intrusions, ni les administrateurs.

L'audit de détection des intrusions est le test le plus complet qui soit ; il doit être réalisé uniquement par des organismes dignes de confiance. Il nécessite en outre l'approbation de la haute direction et ses répercussions doivent être correctement mesurées au préalable.

Outils d'évaluation des vulnérabilités

Certaines sociétés peuvent acquérir un outil d'évaluation des vulnérabilités au lieu de confier les analyses à un tiers. Ces approches présentent l'une comme l'autre des avantages et des inconvénients. Il est extrêmement intéressant pour une société de faire examiner son infrastructure par un tiers, mais le coût de cette procédure peut se révéler prohibitif.

Si une organisation souhaite avoir recours à un outil d'évaluation des vulnérabilités, elle doit tenir compte des points suivants pour s'assurer que cet outil possède un maximum des fonctionnalités énumérées ci-dessous.

Bases de données de listes de vulnérabilités

L'outil en question doit pouvoir utiliser plusieurs sources de listes de vulnérabilités. Parmi celles-ci, il faut citer les bulletins de sécurité Microsoft, la base de données CVE (Common Vulnerabilities and Exposures), le CERT Coordination Center ou BugTraq.

Fonctionnalité de mise à jour

L'outil doit pouvoir mettre automatiquement à jour ses résultats de tests. La liste de vulnérabilités qu'il utilise pour les analyses et les tests n'est valable que si elle a été mise à jour récemment. Un outil d'analyse nécessitant des mises à jour manuelles ne fait qu'accroître les risques de voir un administrateur passer à côté de certaines vulnérabilités.

Fonctionnalité de personnalisation

Cet outil doit pouvoir être personnalisé. Chaque environnement est différent. Il est certaines vulnérabilités que des organisations préfèrent accepter en raison de la configuration de leur environnement. En effet, elles ne souhaitent pas être alertées chaque fois qu'un problème connu est identifié. De plus, certaines organisations veulent analyser des éléments qui leur sont spécifiques et absents d'autres environnements.

Sécurité du réseau

L'outil d'analyse des vulnérabilités doit vérifier la sécurité du réseau. Ces tests doivent analyser les systèmes pour rechercher des ports ouverts, lesquels peuvent laisser apparaître des services insuffisamment sécurisés.

Sécurité des hôtes

Cet outil doit contrôler la sécurité du système d'exploitation hôte. Pour cela, il doit pouvoir identifier les éventuels services inutiles en cours d'exécution, les utilitaires superflus exécutés sur le serveur et analyser la sécurité des comptes d'utilisateur et de groupe de l'ordinateur. Il doit vérifier si les listes de contrôle d'accès (ACL, Access Control List) appropriées sont appliquées aux journaux des événements, si les autorisations du Registre sont suffisamment restrictives et que seuls les droits d'utilisateur véritablement requis sont accordés.

Sécurité des applications

La sécurité des applications doit également faire l'objet de tests. Les analyses doivent notamment porter sur les paramètres de base du système d'exploitation, les paramètres de domaine et de contrôleur de domaine, ainsi que les serveurs Web. En outre, si IIS est implémenté dans l'organisation, l'outil d'analyse doit surveiller les paramètres de la métabase IIS (qui contiennent des informations de configuration du serveur IIS), en plus de s'assurer que le répertoire inetpub a été déplacé vers un autre volume et que les utilitaires IIS Lockdown et URLScan ont été exécutés.

Sécurité des données

L'analyseur des vulnérabilités doit contrôler la sécurité des données. Parmi les éléments dont il faut vérifier la sécurité, citons les fichiers essentiels du système d'exploitation, les niveaux de Service Pack, les correctifs logiciels installés, les ACL et les autorisations de partage de fichiers. Les correctifs logiciels sont des packages cumulatifs composés d'un ou de plusieurs fichiers permettant de résoudre un défaut présent dans un produit. Ils pallient des situations problématiques spécifiques d'un client et ne peuvent pas être distribués à l'extérieur de l'organisation de celui-ci sans le consentement écrit de Microsoft.

Les correctifs de sécurité sont quelque peu différents dans la mesure où ils doivent être appliqués immédiatement à tous les serveurs répondant aux critères spécifiés. Ils ne nécessitent aucune autorisation légale et peuvent être distribués selon les besoins.

Classement par ordre de priorité

Enfin, cet outil doit vous aider à discerner les problèmes cruciaux constatés. Par exemple, le centre MSRC (Microsoft Security Response Center) identifie les correctifs d'après les vulnérabilités qu'ils éliminent et attribue à chacune de ces vulnérabilités un facteur de gravité. Ce centre, qui est une division de Microsoft, est chargé d'effectuer des recherches en vue de l'atténuation de toutes les vulnérabilités liées à la sécurité des produits Microsoft.

La classification des vulnérabilités s'effectue d'après les niveaux de gravité suivants : critique, importante, modérée et faible. Si ces termes peuvent paraître très génériques, ils permettent à une organisation de déterminer facilement les correctifs qu'il est urgent d'appliquer et les solutions qui doivent être envisagées avec différents groupes d'équipement.

Données requises pour le processus d'analyse des risques de sécurité

Dans le cadre du processus d'analyse des risques de sécurité, chaque vulnérabilité devra être évaluée sur la base de différents critères. Les données dégagées de ces évaluations vous aideront à déterminer le risque global auquel chaque menace expose l'organisation. Pour cela, vous pouvez créer un énoncé du risque concis pour chaque combinaison d'auteur d'attaque, d'exploit, de vulnérabilité et de ressource. Cette tâche peut vous paraître longue et fastidieuse, mais elle va vous permettre de définir de manière exhaustive les problèmes qu'il faut absolument résoudre dans le cadre du projet de sécurité global de l'organisation.

Énoncés des risques

Lors de l'élaboration des énoncés des risques de sécurité, chaque possibilité doit être envisagée séparément, avec une description des conséquences spécifiques de chaque risque. Si les conséquences sont multiples, l'énoncé du risque peut devenir trop large et doit être davantage caractérisé.

Tout énoncé du risque doit stipuler une condition dont découle une conséquence. Il doit être formulé de la manière suivante (reportez-vous au chapitre 2, « Définition du paysage de sécurité ») :

SI un agent de menace recourt à un outil, à une technique ou à une méthode pour exploiter une vulnérabilité, ALORS une perte de confidentialité, intégrité ou disponibilité de la ressource peut provoquer des dommages.

Calcul des facteurs de gravité

Le facteur de gravité (FG) est une mesure des dommages qu'une exploitation particulière peut causer à une ressource en tirant parti de la vulnérabilité en question. À cette dernière peuvent être associés différentes exploitations susceptibles d'être utilisées pour attaquer la ressource. Chaque exploitation peut avoir des effets différents sur l'ordinateur cible. Par conséquent, des recherches seront parfois nécessaires pour évaluer les exploitations potentielles associées à chaque vulnérabilité.

Le facteur de gravité doit être mesuré selon une échelle de 1 à 10 : 1 indique un impact très faible de l'exploitation et 10, la possibilité de dommages importants et irréversibles.

Mesure de l'effort requis pour exploiter les vulnérabilités identifiées

L'effort (E) représente la quantité de travail, de connaissances ou d'expérience nécessaires pour que le pirate puisse tirer profit d'une exploitation particulière. Le niveau d'effort requis pour profiter de l'exploitation en question doit être évalué d'après la simplicité ou la difficulté de l'attaque. Il existe une grande variété de profils d'auteurs d'attaques malveillantes. Il peut s'agir de petits pirates en herbe, les « script kiddies » qui ignorent tout du fonctionnement de l'attaque et des raisons pour lesquelles les leurs réussissent, mais qui savent quels outils employer pour accéder à l'information. Plus dangereux, le « cracker » (parfois appelé déplombeur) dispose de connaissances techniques approfondies et s'en sert pour détruire les protections des systèmes informatiques et ainsi accéder à ceux-ci sans autorisation.

L'effort requis par une exploitation spécifique repose sur la même échelle d'évaluation que le facteur de gravité, allant de 1 à 10. 1 indique que des compétences très réduites suffisent et 10, que seul un programmeur expérimenté spécialisé dans la sécurité peut tirer parti de l'exploitation en question.

Calcul des facteurs de vulnérabilité

Le facteur de vulnérabilité (FV) d'une ressource mesure sa susceptibilité à faire l'objet d'une forme particulière d'attaque.

Il est évalué selon une échelle allant de 1 à 10, 1 indiquant que la ressource en question n'est pas particulièrement sujette à la vulnérabilité envisagée et 10, qu'elle présente des risques accrus d'être confrontée à ce problème spécifique.

Vulnérabilités majeures identifiées dans l'environnement de Contoso

Un outil d'analyse des vulnérabilités a été exécuté sur le réseau de Contoso afin d'identifier les principaux problèmes que présente sa configuration. La liste retournée est longue, et les vulnérabilités sont classées en trois catégories de risque : élevé, moyen ou faible. Contoso a décidé de prendre immédiatement les mesures qui s'imposaient pour éradiquer les vulnérabilités à risque élevé et moyen au cours de cette phase du projet de sécurité.

De nombreuses vulnérabilités ont pu être regroupées en catégories plus larges. Nous allons à présent passer en revue ces groupes de vulnérabilités ainsi que les vulnérabilités plus spécifiques. Des notes sont en outre attribuées à chacune d'elles pour représenter l'effort, le facteur de gravité et le facteur de vulnérabilité.

Dépassement de capacité de la mémoire tampon

L'analyseur des vulnérabilités employé dans l'environnement de Contoso a mis en lumière un certain nombre de serveurs susceptibles d'être victimes de dépassements de capacité de la mémoire tampon liés à IIS. Ce problème peut être un type d'exploitation employé par les auteurs d'attaques pour accéder à un système. L'outil a permis d'identifier la vulnérabilité exploitée par le ver Code Red lorsque le dépassement de tampon dû aux extensions ISAPI ida et idq n'est pas protégé par un correctif. Un ver est un programme autonome qui se propage automatiquement et consomme généralement de plus en plus de mémoire, jusqu'à ce que l'ordinateur tombe en panne.

Énoncé des risques

SI un intrus utilise le ver Code Red pour exploiter les vulnérabilités liées aux extensions ida et idq, ALORS une perte d'intégrité et de disponibilité des serveurs IIS de recherche peut provoquer une augmentation du trafic sur le réseau.

Un énoncé du risque doit en principe être créé pour chaque ressource vulnérable, c'est pourquoi des énoncés similaires doivent être rédigés pour les serveurs IIS départementaux et des ressources humaines.

Facteur de gravité

Le ver Code Red a été découvert le 17 juillet 2001. Il s'est propagé via Internet à un rythme effréné, infectant un peu moins de 360 000 serveurs en 14 heures. Sur sa route, il a modifié les pages d'accueil sur les serveurs Web par un procédé nommé défiguration (« defacing » en anglais) et provoqué une hausse impressionnante du trafic sur de nombreux réseaux d'entreprises jusqu'à leur saturation.

Code Red s'est vu affecter le facteur de gravité 9 par l'équipe de sécurité de Contoso pour tous ses serveurs IIS en raison de l'impact qu'il pouvait avoir sur l'environnement de l'entreprise.

Effort

Il a été extrêmement difficile de créer Code Red. Le dépassement de capacité de la mémoire tampon liée aux extensions ISAPI ida et idq constitue une vulnérabilité très complexe, initialement très difficile à exploiter. Toutefois, en raison de sa nature, le ver s'est propagé de façon impressionnante et ce, automatiquement, c'est pourquoi tirer parti de cette exploitation nécessite peu ou pas de compétences du tout. La note 1 a donc été attribuée pour l'effort requis par l'exploitation.

Facteur de vulnérabilité

Des infections par le ver Code Red continuent de frapper les deux sites de domaine de serveurs de Contoso. Il est courant que les serveurs soient infectés pendant leur processus de création, avant même que les ordinateurs puissent recevoir l'ensemble des correctifs requis. Résoudre la vulnérabilité connue liée aux dépassements de capacité de mémoire tampon IIS constitue donc l'une des préoccupations premières de Contoso.

Puisque Code Red continue à infecter les serveurs de l'organisation, le processus actuel de création de serveur est extrêmement vulnérable au ver. Cependant, l'équipe de sécurité applique les correctifs requis pour résoudre ce problème. Au vu des éléments qui précèdent, le facteur de vulnérabilité des serveurs Web de Contoso a été établi à 8.

Énumération NetBIOS

L'analyseur a identifié que toutes les machines étaient vulnérables à l'énumération NetBIOS. NetBIOS utilise un partage par défaut pour IPC (InterProcess Communications). Par défaut, n’importe qui peut se connecter à ce partage : aucun nom d'utilisateur ou mot de passe ne doit être fourni. Si la simple connexion au partage n'accorde pas à la personne les droits d'afficher des fichiers ou de contrôler des processus, elle permet de consulter une grande quantité d'informations système.

En créant une connexion nulle (c'est-à-dire sans nom d'utilisateur ni mot de passe) au partage IPC$ d'un ordinateur, l'intrus peut se servir des utilitaires courants pour prendre connaissance entre autres des informations suivantes :

·         noms de comptes ;

·         groupes ;

·         partages ;

·         champs de commentaires des comptes ;

·         date et heure de la dernière ouverture de session à l'aide d'un compte ;

·         dernières modifications du mot de passe d'un compte.

La liste ne s'arrête pas là, mais ces éléments représentent les types d'informations pouvant être obtenues sans fournir ni nom d'utilisateur, ni mot de passe.

Énoncé des risques

SI un intrus recourt à un outil d'énumération NetBIOS pour exploiter les sessions nulles, ALORS une perte de confidentialité du contrôleur de domaine Ameriquenord peut provoquer l'accès aux informations de comptes par un utilisateur non autorisé.

Il convient de créer un énoncé similaire pour le contrôleur de domaine racine.

Facteur de gravité

L'énumération NetBIOS avec utilisation de sessions nulles peut se traduire par une violation de sécurité très sérieuse. Si vous ne parvenez pas à empêcher un utilisateur non autorisé d'examiner les informations relatives à tous les noms de comptes d'utilisateur et leurs commentaires, aux groupes et aux partages, l'organisation se trouve face à un risque énorme. Un intrus peut très facilement découvrir un certain nombre de noms de comptes, ayant ainsi déjà fait la moitié du travail de recherche de la combinaison nom d'utilisateur-mot de passe.

Au vu de l'impact potentiel que peut avoir la compromission des noms d'utilisateur, le facteur de gravité 6 a été attribué à l'énumération NetBIOS pour tous les contrôleurs de domaine de la société Contoso. Contoso ne crée pas des noms d'utilisateur spécifiques sur les serveurs membres, mais vous pourriez rédiger un énoncé du risque distinct pour ces serveurs membres car ils contiennent des partages pouvant faire l'objet d'une énumération. Si la société avait considéré cela comme une menace majeure, ce qui n'est pas le cas, elle aurait évalué ce facteur de gravité à 3 pour les serveurs membres.

Effort

L'effort requis pour énumérer les informations NetBIOS sur un hôte donné est relativement faible. Plusieurs outils, disponibles gratuitement sur Internet, permettent d'automatiser cette tâche une fois une session nulle ouverte sur un ordinateur cible.

Contoso a attribué la note 2 à l'effort nécessaire pour exploiter cette vulnérabilité.

Facteur de vulnérabilité

Actuellement, aucune contre-mesure n'est implémentée dans l'environnement de Contoso pour empêcher l'énumération NetBIOS sur ses serveurs membres ou ses contrôleurs de domaine. Nous avons donc accordé la note 10 comme facteur de vulnérabilité pour tous ces serveurs.

Énumération SNMP

L'outil d'analyse a découvert que le protocole SNMP (Simple Network Management Protocol) était activé sur les ordinateurs et utilisait la chaîne « public » par défaut.

Contoso utilise les services SNMP sur les serveurs Windows 2000 pour la création de rapports sur les événements. Elle a toujours employé la chaîne « public » et ignorait jusque-là qu'en plus d'assurer la surveillance du matériel générique, SNMP permet également de retourner des informations sur d'autres aspects de l'ordinateur, et notamment :

·         des noms de comptes ;

·         des noms de partages ;

·         des chemins d'accès aux partages et commentaires ;

·         des services en cours d'exécution ;

·         des ports ouverts.

Énoncé des risques

SI un intrus recourt à un outil d'énumération SNMP pour exploiter des chaînes de communauté « public », ALORS une perte de confidentialité du contrôleur de domaine Ameriquenord peut provoquer l'accès aux informations de comptes par un utilisateur non autorisé.

Il convient de créer un énoncé similaire pour le contrôleur de domaine racine.

Facteur de gravité

L'énumération SNMP peut renvoyer une grande quantité d'informations et se révèle donc potentiellement dangereuse, en particulier si la chaîne de communauté spécifiée se voit accorder l'accès en écriture sur le serveur cible. Au vu de la configuration de l'environnement de Contoso, le facteur de gravité 6 a été attribué à cette vulnérabilité pour tous les serveurs.

S'il existait des chaînes de communauté SNMP avec accès en écriture dans l'environnement, un énoncé du risque distinct aurait dû être rédigé.

Effort

L'énumération SNMP peut facilement être exploitée à l'aide de simples logiciels publics ou à contribution volontaire disponibles sur Internet. Contoso a attribué la note 2 à l'effort nécessaire pour se servir de ces outils.

Facteur de vulnérabilité

Dans l'environnement de Contoso, SNMP est activé sur la plupart des serveurs aux fins de surveillance, et la société possède une chaîne de communauté par défaut nommée « public ». L'entreprise est par conséquent fortement vulnérable à l'énumération SMNP, qui s'est donc vu attribuer le facteur de vulnérabilité 10.

Énumération DNS

L'évaluation des vulnérabilités a permis de découvrir que les serveurs DNS n'imposaient pas de restrictions aux transferts de zone. Si cette fonctionnalité de DNS n'est pas sécurisée dans l'organisation, un intrus peut facilement mettre sur pied une attaque visant à obtenir des données d'un serveur DNS.

Contoso utilise les services DNS intégrés à Active Directory dans Windows 2000. DNS renferme une mine d'informations au sujet du domaine, y compris les noms de serveur et les adresses IP (Internet Protocol), les services en cours d'exécution sur le réseau et les serveurs hébergeant des services spécifiques, comme les serveurs de catalogue global ou les contrôleurs de domaine.

Énoncé des risques

SI un intrus a recours à nslookup pour exploiter des transferts de zone non verrouillés, ALORS une perte de confidentialité du serveur DNS Ameriquenord peut provoquer l'identification d'ordinateurs et de services.

Il convient de créer un énoncé similaire pour les serveurs DNS racines.

Facteur de gravité

L'énumération DNS peut donner accès à une grande quantité d'informations sur les hôtes et les services de l'environnement, mais elle ne fournit pas d'informations sur des utilisateurs spécifiques ou des données critiques de l'entreprise. Elle s'est donc vu affecter le facteur de gravité 2 pour les contrôleurs de domaine de l'environnement de Contoso.

Effort

L'énumération DNS peut être effectuée à l'aide d'outils inclus dans la plupart des systèmes d'exploitation. Contoso a attribué la note 1 à l'effort nécessaire pour se servir de ces outils.

Facteur de vulnérabilité

Contoso n'a pas sécurisé les transferts de zone DNS dans son environnement, c'est pourquoi elle attribue le facteur de vulnérabilité 7 à l'énumération DNS.

Mots de passe faibles

L'outil d'évaluation choisi par Contoso possède des fonctionnalités supplémentaires permettant d'effectuer des attaques par dictionnaire assez simples contre des comptes d'utilisateur afin d'identifier des mots de passe faiblement sécurisés. En outre, il examine les hachages de mots de passe dans la base de données du Gestionnaire de comptes de sécurité (SAM, Security Accounts Manager) afin de déterminer si celle-ci comporte des mots de passe vides ou en double. Si un grand nombre de mots de passe identiques sont détectés, l'intrus sait qu'il s'agit certainement du mot de passe attribué par défaut aux nouveaux comptes créés dans l'organisation.

Les informations de la base de données SAM sont cryptées, mais, même sans essayer de craquer les mots de passe, il est facile d'identifier les mots de passe vides ou en double d'après leur hachage. Contoso ne disposant d'aucune stratégie de verrouillage des comptes, le nombre de tentatives possibles pour deviner les mots de passe est illimité. L'outil d'analyse a détecté un certain nombre de mots de passe correspondant simplement à des mots courants présents dans n'importe quel dictionnaire et donc susceptibles d'être découverts en un tournemain.

Énoncé des risques

SI un intrus lance une attaque dite « par force brute » visant à découvrir des mots de passe en exploitant l'absence d'une stratégie de sécurisation des mots de passe, ALORS une perte d'intégrité et de confidentialité des comptes d'administrateur de l'entreprise peut provoquer l'accès par l'intrus à l'organisation sans autorisation.

Des énoncés des risques similaires doivent être formulés pour le groupe Admins du domaine et pour les comptes d'utilisateur génériques.

Facteur de gravité

Les mots de passe faiblement sécurisés sont la hantise des administrateurs système. Ils donnent à un intrus la possibilité de retrouver rapidement la combinaison compte d'utilisateur-mot de passe. Dans l'environnement de Contoso, ils ont donc reçu le facteur de gravité 10.

Effort

Les mots de passe faiblement sécurisés sont faciles à deviner à l'aide des outils d'attaque par dictionnaire disponibles sur Internet. Contoso a attribué la note 2 à l'effort nécessaire pour se servir de ces outils.

Facteur de vulnérabilité

Contoso n'a mis en place aucune stratégie de protection des mots de passe, et les échecs d'ouverture de session ne font pas l'objet d'un audit. Les mots de passe faiblement sécurisés se sont vu accorder le facteur de vulnérabilité 10.

Trafic SMB non chiffré

L'analyseur des vulnérabilités a détecté que des serveurs de Contoso utilisaient le paramètre par défaut pour les communications SMB (Server Message Block).

Par défaut, l'authentification par stimulation/réponse NTLM (Windows NT LAN Manager) ne transmet jamais les données d'authentification LM (LanManager) ou de hachage NTLM sur le réseau. Toutefois, il existe des outils capables de surveiller le trafic généré par ces échanges et de recourir à une technique de « force brute » pour remonter jusqu'à la valeur de hachage LM initiale.

Une fois les hachages obtenus, différents utilitaires peuvent être utilisés successivement pour les craquer et révéler le mot de passe en texte clair.

Énoncé des risques

SI un intrus recourt à un espion SMB pour exploiter le trafic SMB non crypté, ALORS une perte d'intégrité et de confidentialité des comptes d'administrateur de l'entreprise peut provoquer l'accès par l'intrus à l'organisation sans autorisation.

Des énoncés des risques similaires doivent être formulés pour le groupe Admins du domaine et pour les comptes d'utilisateur génériques.

Facteur de gravité

Le craquage des mots de passe permet à un intrus d'avoir illicitement accès aux fichiers et aux services inaccessibles à l'aide d'une session nulle. Dans l'environnement de Contoso, ce problème s'est vu accorder le facteur de gravité 10.

Effort

Des outils disponibles au grand public offrent cette fonctionnalité. L'outil choisi doit cependant être capable de surveiller tout le trafic simultanément, ce qui, sur un réseau commuté, est plus compliqué. Contoso procède actuellement à une mise à niveau de son infrastructure réseau, c'est pourquoi elle attribue la note 5 à l'effort requis pour se servir de cet outil.

Facteur de vulnérabilité

Dans la mesure où aucune stratégie de mots de passe n'est implémentée dans l'environnement de Contoso, de nombreux mots de passe courts peuvent rapidement être obtenus à l'aide de techniques de capture SMB. Cette situation a incité l'équipe de sécurité à attribuer le facteur de vulnérabilité 10 à ce problème.

Audit inefficace

Parmi les serveurs analysés, nombreux sont ceux sur lesquels les paramètres d'audit définis n'étaient pas suffisants pour permettre l'identification des attaques potentielles. Par exemple, l'option Auditer les événements de connexion aux comptes n'était pas activée, alors que celle-ci permet de déceler plus facilement les attaques par force brute contre les mots de passe.

Énoncé des risques

SI un intrus recourt à un outil capable de désactiver l'audit pour exploiter un audit inefficace, ALORS une perte d'intégrité du contrôleur de domaine Ameriquenord peut provoquer l'accès non détecté d'un intrus au système distant.

Il convient de créer des énoncés similaires pour les contrôleurs de domaine Ameriquenord, tous les serveurs IIS, les serveurs DHCP, les serveurs WINS et les serveurs de fichiers et d'impression.

Facteur de gravité

Une personne mal intentionnée peut tirer parti d'une configuration d'audit mal adaptée en recourant à un utilitaire du Kit de ressources tel qu'auditpol. Avec ce dernier, l'intrus peut désactiver l'audit purement et simplement. Contoso a attribué à cette exploitation le facteur de gravité 3 car cette situation ne compromet pas réellement les données mais elle peut entraver les recherches en cas d'attaque inattendue.

Effort

L'effort requis se limite à l'exécution de l'outil auditpol sur le système et à l'obtention d'un accès administratif. L'exécution de cet outil est très simple mais elle requiert un accès administratif, c'est pourquoi l'effort requis par cet exploit a reçu la note 4.

Facteur de vulnérabilité

Contoso n'a pas implémenté de stratégie d'audit et les événements de sécurité ne sont actuellement pas audités, c'est pourquoi l'équipe du projet de sécurité a décidé d'attribuer le facteur de vulnérabilité 9 à cet exploit.

Attaques de déni de service non contrôlées

Une attaque de déni de service est une attaque qui empêche les utilisateurs d'accéder aux ressources. Il en existe plusieurs variantes, mais les plus courantes portent sur IIS ou sur les pilotes TCP/IP (Transmission Control Protocol/Internet Protocol) d'ordinateurs individuels.

L'outil d'analyse a identifié plusieurs modifications qu'il est possible d'apporter aux ordinateurs pour les prémunir contre les attaques de déni de service exploitant le protocole TCP/IP.

Énoncé des risques

SI un intrus lance une attaque de déni de service pour exploiter les vulnérabilités de TCP/IP à ce type d'attaque, ALORS une perte de disponibilité du contrôleur de domaine racine peut provoquer une perte de productivité.

Il convient de créer des énoncés similaires pour les contrôleurs de domaine Ameriquenord, tous les serveurs IIS, les serveurs DHCP, les serveurs WINS et les serveurs de fichiers et d'impression.

Facteur de gravité

À la suite d'une attaque de déni de service basée sur TCP/IP, le système serait totalement inutilisable. Dans l'environnement de Contoso, le facteur de gravité 8 a été attribué à ce type d'attaque.

Effort

De nombreux utilitaires graphiques simples d'utilisation offrent cette possibilité aux pirates. La note 1 a donc été attribuée à l'effort requis pour exploiter cette vulnérabilité.

Facteur de vulnérabilité

Dans l'environnement de Contoso, aucune contre-mesure n'est prise à ce jour pour contrer les attaques de déni de service basées sur TCP/IP. Cette exploitation obtient donc le facteur de vulnérabilité 9.

Parcours des répertoires IIS

Une analyse des serveurs IIS a mis en lumière la présence d'un problème courant lié au parcours des répertoires. En exploitant cette vulnérabilité, un pirate serait non seulement à même de consulter des informations telles que les structures de répertoires et les contenus des fichiers de ces serveurs, mais il pourrait fort probablement écrire des fichiers et exécuter des commandes sur ces serveurs.

Énoncé des risques

SI un intrus a recours à une attaque par double décodage pour exploiter les problèmes liés à la représentation canonique des URL, ALORS une perte d'intégrité et de confidentialité des serveurs IIS de recherche peut permettre à cet intrus de consulter le contenu du système de fichiers et d'exécuter des commandes sur le serveur.

Il convient de créer des énoncés similaires pour les serveurs IIS de département et des ressources humaines.

Facteur de gravité

Les exploitations liées au parcours des répertoires IIS (directory traversal) peuvent se révéler dangereuses car il serait possible à un utilisateur distant d'exécuter certaines commandes système à partir d'un serveur Web. Toutefois, le contexte d'exécution de ces commandes est limité au compte IUSR dans IIS version 5.0. Il n'en reste pas moins que le risque posé par une telle attaque est considérable, raison pour laquelle son facteur de gravité a été établi à 7.

Effort

L'effort requis pour exploiter la vulnérabilité liée au parcours des répertoires IIS est pour ainsi dire minime. Divers outils peuvent être employés à cette fin, le plus simple restant sans doute le navigateur Web. La note 2 a donc été attribuée pour évaluer l'effort requis par l'exploit.

Facteur de vulnérabilité

Contoso possède un certain nombre de serveurs IIS ni dotés des derniers correctifs, ni conçus d'après les meilleures pratiques en la matière. Un facteur de vulnérabilité de 9 a donc été défini pour l'utilisation de cet exploit sur des serveurs IIS.

Analyse et classement par priorité des risques de sécurité

Analyse

Après diverses évaluations, les informations recueillies sont suffisantes pour commencer à analyser les risques de sécurité et à les classer par ordre de priorité sur la base de leur impact sur l'environnement de Contoso et de l'exposition de ce dernier à ces risques. Avant de créer les énoncés des risques, il peut être utile de regrouper toutes les informations. Le tableau ci-dessous montre une analyse partielle des risques de l'environnement de Contoso.

Tableau 4.5. Résumé de l'évaluation des risques dans la société Contoso

MenacePM, Exploit, FG, E, Vulnérabilité, FV, Ressource, PR

Code malveillant - 0,6 - Code Red - 9 - 1 - Vulnérabilités ida/idq - 8, Serveurs IIS de recherche - 10

Code malveillant - 0,6 - Code Red - 9 - 1 - Vulnérabilités ida/idq - 8 - Serveurs IIS départementaux - 6

Code malveillant - 0,6 - Code Red - 9 - 1 - Vulnérabilités ida/idq - 8 - Serveurs IIS des ressources humaines - 7

Pirate - 0,6 - Outil d'énumération NetBIOS - 6 - 2 - Sessions nulles - 10 - Contrôleur de domaine racine - 8

Pirate - 0,6 - Outil d'énumération NetBIOS - 6 - 2 - Sessions nulles - 10 - Contrôleur du domaine Ameriquenord - 8

Pirate - 0,6 - Outil d'énumération SNMP - 6 - 2 - Chaînes de communauté public - 10 - Contrôleur de domaine racine - 8

Pirate - 0,6 - Outil d'énumération SNMP - 6 - 2 - Chaînes de communauté public - 10 - Contrôleur du domaine Ameriquenord - 8

Pirate - 0,6 - Nslookup - 2 - 1 - Transferts de zone non verrouillés - 7 - DNS racine - 4

Pirate - 0,6 - Nslookup - 2 - 1 - Transferts de zone non verrouillés - 7 - DNS Ameriquenord - 5

Pirate - 0,6 - Attaque des mots de passe par force brute - 10 - 2 - Absence de stratégies de mots de passe - 10 - Comptes d'administrateurs de l'entreprise - 10

Pirate - 0,6 - Attaque des mots de passe par force brute - 10 - 2 - Absence de stratégies de mots de passe - 10 - Comptes d'administrateurs du domaine Ameriquenord - 10

Pirate - 0,6 - Attaque des mots de passe par force brute - 10 - 2 - Absence de stratégies de mots de passe - 10 - Comptes d'utilisateur Ameriquenord - 5

Pirate - 0,6 - Espion SMB - 10 - 5 - Trafic SMB non crypté - 10 - Comptes d'administrateur de l'entreprise - 10

Pirate - 0,6 - Espion SMB - 10 - 5 - Trafic SMB non crypté - 10 - Comptes d'administrateurs du domaine Ameriquenord - 10

Pirate - 0,6 - Espion SMB - 10 - 5 - Trafic SMB non crypté - 10 - Comptes d'utilisateur Ameriquenord - 5

Pirate - 0,6 - Outil de désactivation de l'audit - 3 - 4 - Audit inefficace - 9 - Contrôleur de domaine racine - 8

Pirate - 0,6 - Outil de désactivation de l'audit - 3 - 4 - Audit inefficace - 9 - Contrôleur du domaine Ameriquenord - 8

Pirate - 0,6 - Outil de désactivation de l'audit - 3 - 4 - Audit inefficace - 9 - Serveurs IIS de recherche - 10

Pirate - 0,6 - Outil de désactivation de l'audit - 3 - 4 - Audit inefficace - 9 - Serveurs IIS de départements - 6

Pirate - 0,6 - Outil de désactivation de l'audit - 3 - 4 - Audit inefficace - 9 - Serveurs IIS des ressources humaines - 7

Pirate - 0,6 - Outil de désactivation de l'audit - 3 - 4 - Audit inefficace - 9 - Serveurs de fichiers et d'impression - 8

Pirate - 0,6 - Outil de désactivation de l'audit - 3 - 4 - Audit inefficace - 9 - Serveur WINS - 3

Pirate - 0,6 - Outil de désactivation de l'audit - 3 - 4 - Audit inefficace - 9 - Serveur DHCP - 1

Pirate - 0,6 - Attaque de déni de service - 8 - 1 - Vulnérabilités de déni de service TCP/IP - 9 - Contrôleur de domaine racine - 8

Pirate - 0,6 - Attaque de déni de service - 8 - 1 - Vulnérabilités de déni de service TCP/IP - 9 - Contrôleur du domaine Ameriquenord - 8

Pirate - 0,6 - Attaque de déni de service - 8 - 1 - Vulnérabilités de déni de service TCP/IP - 9 - Serveurs IIS de recherche - 10

Pirate - 0,6 - Attaque de déni de service - 8 - 1 - Vulnérabilités de déni de service TCP/IP - 9 - Serveurs IIS de départements - 6

Pirate - 0,6 - Attaque de déni de service - 8 - 1 - Vulnérabilités de déni de service TCP/IP - 9 - Serveurs IIS des ressources humaines - 7

Pirate - 0,6 - Attaque de déni de service - 8 - 1 - Vulnérabilités de déni de service TCP/IP - 9 - Serveurs de fichiers et d'impression - 8

Pirate - 0,6 - Attaque de déni de service - 8 - 1 - Vulnérabilités de déni de service TCP/IP - 9 - Serveurs WINS - 3

Pirate - 0,6 - Attaque de déni de service - 8 - 1 - Vulnérabilités de déni de service TCP/IP - 9 - Serveurs DHCP - 1

Pirate - 0,6 - Attaque par double décodage - 7 - 2 - Problèmes de représentation canonique des URL - 9 - Serveurs IIS de recherche - 10

Pirate - 0,6 - Attaque par double décodage - 7 - 2 - Problèmes de représentation canonique des URL - 9 - Serveurs IIS de départements - 6

Pirate - 0,6 - Attaque par double décodage - 7 - 2 - Problèmes de représentation canonique des URL - 9 - Serveurs IIS des ressources humaines - 7

Niveau de fréquence d'une menace

Le niveau de fréquence d'une menace (NFM) est une mesure qui combine la fréquence attendue d'une attaque, les dommages susceptibles d'être causés et l'effort requis pour effectuer l'attaque. Il peut être calculé en multipliant la probabilité de la menace (PM) par le facteur de risque (FR). Ce dernier est le résultat de la division du facteur de gravité (FG) de l'attaque par l'effort (E) requis pour tirer partir de l'exploit.

Facteur d'impact

Le facteur d'impact (FI) définit également les pertes potentielles. Cette valeur est calculée en multipliant le facteur de vulnérabilité (FV) par la priorité de la ressource (PR).

Facteur d'exposition

Enfin, le facteur d'exposition (FE) au risque peut être calculé en multipliant la valeur NFM par la valeur FI. Les facteurs d'exposition de tous les risques peuvent être comparés pour déterminer les risques que l'organisation doit chercher à pallier en premier lieu.

Analyse des risques de la société Contoso

Risques majeurs identifiés

Le tableau ci-dessous fournit un récapitulatif des risques majeurs identifiés par le processus global d'analyse des risques de sécurité. Le facteur d'exposition a été calculé au moyen de la formule suivante :

FE = (NFM × FI) / 1000

FE = [(PM × FR) × FI] / 1000

FE = [(PM × (C / E)) × FI] / 1000

Ces équations peuvent être résumées sommairement comme suit :

FE = [(PM × (C / E)) × (FV × PR)] / 1000

Tableau 4.6. Risques majeurs identifiés dans l'environnement de Contoso

Vulnérabilité                           Ressource                                                                 FE

Attaque des mots de passe par force brute           Comptes d'administrateur de l'entreprise                             0,6

Attaque des mots de passe par force brute           Comptes d'administrateur de domaine Ameriquenord 0,6

Attaque de déni de service                     Serveurs IIS de recherche                                      0,432

Code Red                                                               Serveurs IIS de recherche                                      0,432

Attaque de déni de service                     Contrôleur de domaine racine                                               0,3456

Attaque de déni de service                     Contrôleur de domaine Ameriquenord                  0,3456

Attaque de déni de service                     Serveurs de fichiers et d'impression                      0,3456

Code Red                                                               Serveurs IIS des ressources humaines                   0,3024

Attaque de déni de service                     Serveurs IIS des ressources humaines                   0,3024

Attaque des mots de passe par force brute           Comptes d'utilisateur Ameriquenord                    0,3

Code Red                                                               Serveurs IIS départementaux                                 0,2592

Attaque de déni de service                     Serveurs IIS départementaux                                                0,2592

Attaque par double décodage                                Serveurs IIS de recherche                                      0,189

Outil d'énumération NetBIOS                               Contrôleurs du domaine racine                                             0,144

Outil d'énumération NetBIOS                               Contrôleur de domaine Ameriquenord                  0,144

Autres outils d'analyse quantitative

L'identification et le classement des risques majeurs présents dans une organisation ne sont souvent que le début du processus d'analyse des risques. La phase suivante consiste à déterminer les mesures requises pour contrer ou atténuer chaque risque identifié. Les mesures de prévention peuvent certes être faciles à définir, mais il est souvent très difficile de les mettre en œuvre.

Pour justifier les coûts des mesures de protection, d'autres informations peuvent se révéler nécessaires. Les procédures suivantes peuvent vous aider à déterminer la valeur de l'implémentation de certaines mesures de réparation dans le cadre du projet de sécurité de l'organisation.

Perte estimée unique

La perte estimée unique (PEU) permet d'apposer en quelque sorte une étiquette de prix sur un système donné. Elle représente une élément de risque unique : l'impact attendu, qu'il soit monétaire ou autre, de la concrétisation d'une menace spécifique. La valeur PEU peut être calculée en multipliant le facteur d'exposition d'une menace donnée par la valeur financière de la ressource (VR).

Par exemple, la valeur PEU de l'impact de l'infection par Code Red d'un serveur IIS de recherche peut être calculée en multipliant le facteur d'exposition identifié ci-dessus, soit 0,432, par la VR du serveur IIS de recherche, qui se chiffre à 596 000 €.

PEU = 0,432 x 596 000 = 257 472 €.

Taux annuel d'occurrence

Le taux annuel d'occurrence (TAO) reflète la probabilité qu'une menace se concrétise en l'espace d'un an. Ainsi, une menace qui se vérifie une fois tous les 10 ans présente une valeur TAO de 1/10, ou 0,1. Une autre qui survient 50 fois en une année a une valeur TAO de 50,0. La plage des valeurs de fréquence possibles va de 0,0 (menace ayant peu de chances de se vérifier un jour) à un nombre qui dépend entièrement du type et du nombre des sources de menaces. Dans une organisation de grande taille, certains risques peuvent se concrétiser des milliers de fois, avec pour résultat une valeur TAO très élevée.

Dans l'environnement de Contoso, le ver Code Red n'a cessé d'infecter des serveurs, à tel point que jusqu'à 25 serveurs sur 50 ont été touchés au cours de l'année précédente. La valeur TAO s'établit donc à 1/2, ou 0,5.

Perte estimée annuelle

La perte estimée annuelle (PEA) est le résultat de la multiplication de la perte estimée unique (PEU) par le taux annuel d'occurrence (TAO).

Pour identifier les risques de façon efficace et planifier correctement les cycles budgétaires, il peut être intéressant de calculer la perte estimée sur une base annuelle. Ainsi, si l'on sait que Code Red présente une valeur TAO de 0,5 (fois par an) et touche un des serveurs IIS de Contoso dont la PEU s'élève à 257 472 €, sa valeur PEA est de 128 736 €. Si l'on intègre le niveau de fréquence de la menace (NFM) à l'équation, l'on obtient une estimation précise de l'impact financier de ce risque.

Valeur des mesures de protection

S'il est possible de prévoir une estimation du coût des mesures de protection et du coût récurrent annuel requis pour maintenir la contre-mesure, nous pouvons déterminer la valeur globale de l'implémentation de chaque mesure de protection. Ce processus est le fondement d'une analyse coût-profit rationnelle des mesures de réduction des risques.

La valeur d'une mesure de protection peut être calculée en soustrayant de la valeur PEA le coût initial de la contre-mesure, puis son coût récurrent annuel. Si l'on s'appuie sur l'exemple d'analyse des risques de l'équation ci-dessus, nous pouvons établir ceci : sachant que le coût estimé de l'implémentation de la contre-mesure de la menace identifiée est de 20 000 € et que le coût annuel du maintien de cette contre-mesure s'élève à 1 000 €, la valeur de la mesure de protection est de 128 736 – (20 000 + 1 000), soit 107 736 €.


Résumé

Le présent chapitre décrit l'application de la discipline de gestion du risque de sécurité à un scénario courant d'entreprise cliente. Toutes les informations fournies pour cet exemple sont basées sur des données véritables, mais elles ne représentent qu'un fragment des informations globales requises pour qu'une organisation puisse effectuer une évaluation approfondie des risques de sécurité. Si ce chapitre avait passé en revue l'intégralité du tableau d'analyse des risques ou l'ensemble des énoncés des risques de sécurité, son contenu aurait été plus difficile à appréhender. Dès lors, nous nous sommes attachés à présenter des exemples pertinents afin que le lecteur puisse s'y référer et les comprendre rapidement.

La discipline de gestion du risque de sécurité n'est que l'une des centaines d'approches permettant de classer et d'évaluer les risques présents dans une organisation. Ces informations peuvent venir compléter des stratégies et procédures existantes ou contribuer à définir pour la première fois des normes en la matière au sein de l'organisation.

Les instructions proposées dans ce chapitre ont été appliquées pour dresser une liste des risques que des mesures de prévention spécifiques permettent de neutraliser. Cette liste établie, la phase suivante consiste à identifier les processus requis pour sécuriser les vulnérabilités identifiées.

Informations complémentaires

L'analyse des risques de sécurité est basée sur le processus d'analyse des risques du modèle Microsoft Solutions Framework (MSF). Informations sur le modèle MSF : http://www.microsoft.com/business/services/mcsmsf.asp (en anglais)

Autres références

L'ouvrage ci-dessous (en anglais) contient des informations très utiles au sujet de vulnérabilités spécifiques des systèmes Windows 2000 :

Hacking Exposed Windows 2000: Network Security Secrets & Solutions, par Joel Scambray et Stuart McClure (McGraw-Hill Professional Publishing, ISBN : 0072192623)