Evaluer la vulnérabilité

conseille
aussi fortement de consulter des
sources comme Microsoft TechNet et
le MSDN (Microsoft Developer Network)
pour en savoir plus sur les composants
affectés.

Ensuite, examinez les divers éléments
de votre environnement pour
déterminer si la vulnérabilité vous
concerne. En effet, tous les systèmes
ne sont pas affectés de la même manière.
Ce faisant, vous ne consacrerez
pas un temps précieux à  corriger des
vulnérabilités qui ne vous menacent
pas. Par exemple, si Microsoft annonce un correctif pour Microsoft SQL Server
et que vous n’utilisiez pas ce dernier,
vous n’avez rien à  faire.

Si la vulnérabilité vous touche, il
faut savoir à  quel degré. Traiter des défauts
de Microsoft IIS est plus urgent si
vous avez un serveur connecté à 
Internet que si vous n’avez qu’un serveur
IIS interne. Déterminez qui pourrait
bénéficier du bogue et quels dégâts il pourrait causer dans le pire
des cas.

Souvent, les administrateurs justifient
la décision de ne pas appliquer
promptement un correctif en pensant,
« Je connais tous mes utilisateurs et je
leur fais confiance. Aucun d’eux ne
profiterait d’une vulnérabilité ». C’est
vrai, la plupart des utilisateurs ne vont
pas se dévoyer pour semer la pagaille dans votre environnement. Mais il y a
toujours le risque de la curiosité et celui
de l’employé mécontent et rancunier.
Vous devez peser le risque du défaut
de sécurité pour votre société.
Plus la vulnérabilité est grave et plus il
faut de l’attention. Ainsi, si vous utilisez
SQL Server sur un serveur ouvert à 
Internet, il est impérieux de corriger
une vulnérabilité Windows 2000 ou
Windows NT.

Pour faciliter l’évaluation des vulnérabilités
et pour déterminer les actions
à  mener, songez à  créer un comité
de sécurité. Il peut comporter
autant de gens que vous le jugez opportun.
Demandez aux membres des
groupes Unix, base de données et réseau
et de vos équipes d’audit internes
de jouer un rôle actif – leur expérience
et leur savoir-faire sont importants
pour déterminer le risque. Le comité
doit se réunir au moins une fois par
mois ; l’équipe Windows participant au
comité doit se réunir au moins une ou
deux fois par semaine.

Quand des vulnérabilités apparaissent,
le comité peut décider des correctif
à  appliquer et dans quel délai.
Utilisez le comité comme un outil d’entreprise
pour la supervision, tout en
laissant chaque groupe mettre en
oeuvre les changements. En cas de difficulté,
utilisez les étapes décrites dans
cet article comme base de prise de décision
par le comité. Quand le comité
de sécurité se réunit, pensez aussi à 
évaluer si le processus d’examen de la
sécurité fonctionne de manière satisfaisante.