Avant d'aborder des articles plus techniques il me semble important de traiter ce sujet.
En effet, il peut être difficile de savoir par où et par quoi commencer dans sa stratégie ou politique de sécurisation du système d'information.
Les risques et le besoin de sécurité ne sont pas les mêmes en fonction des sociétés et de leurs activités.
Il faut donc être en mesure d'identifier d'où on part et où on veut arriver pour développer la politique de sécurisation du système d'information la plus efficiente.
Il existe des outils permettant de faire un état des lieux de la sécurité en place mais aussi d'identifier les risques et les menaces auxquels peuvent être exposer votre société.
L'ANSSI propose différents outils méthodologiques répondant à ce besoin tel que le Guide relatif à la maturité SSI mais aussi la Méthode EBIOS.
Cependant ces outils sont difficiles à prendre en main et ne fournissent pas de recommandation ni de solution aux problèmes de sécurité qu'ils permettent d'identifier.
Microsoft a mis à disposition un outil d’évaluation des risques qui fournit des informations et des recommandations sur les pratiques recommandées en matière de sécurité pour un environnement informatique.
Microsoft Security Assessment Tool 4.0
Cet outil adopte une approche globale pour évaluer votre situation de sécurité, en couvrant un éventail de domaines relatifs à vos employés, vos processus et vos technologies. Associés à des conseils et des opérations recommandées pour atténuer les risques, les résultats s’accompagnent également de liens vers des informations supplémentaires, vers d’autres recommandations du secteur. Ces ressources vous permettent de rester au courant des outils et méthodes spécifiques qui peuvent vous aider à modifier l’état de sécurité de votre environnement.
L'outil propose tout d'abord d’évaluer au travers d'une cinquantaine de questions le profil de risque de la société.
Une fois le profil de la société établit, on peut effectuer une évaluation plus en profondeur de la sécurité actuellement en place.
Cette évaluation est faite au travers de 150 questions.
Une fois l'évaluation terminée, un rapport est disponible et permet d'identifier le niveau actuel de la sécurité en fonction du profil de la société.
Un rapport détaillé est aussi disponible. Ce rapport peut être exporté.
Enfin le rapport peut être envoyé de façon anonyme pour pouvoir comparer la société avec d'autres sociétés ayant le même profil.
MSAT est très simple d'utilisation et permet de faire rapidement une évaluation du niveau de sécurité de la société.
MSAT n'a pas été mis à jour depuis longtemps mais les résultats et recommandations des évaluations restent pertinents.
Microsoft Security Assessment Tool 4.0 est disponible au téléchargement à cette adresse : Microsoft Security Assessment Tool 4.0
Aucun commentaire:
Enregistrer un commentaire