Evaluer la vulnérabilité

conseille
aussi fortement de consulter des
sources comme Microsoft TechNet et
le MSDN (Microsoft Developer Network)
pour en savoir plus sur les composants
affectés.

Ensuite, examinez les divers éléments
de votre environnement pour
déterminer si la vulnérabilité vous
concerne. En effet, tous les systèmes
ne sont pas affectés de la même manière.
Ce faisant, vous ne consacrerez
pas un temps précieux à  corriger des
vulnérabilités qui ne vous menacent
pas. Par exemple, si Microsoft annonce un correctif pour Microsoft SQL Server
et que vous n’utilisiez pas ce dernier,
vous n’avez rien à  faire.

Si la vulnérabilité vous touche, il
faut savoir à  quel degré. Traiter des défauts
de Microsoft IIS est plus urgent si
vous avez un serveur connecté à 
Internet que si vous n’avez qu’un serveur
IIS interne. Déterminez qui pourrait
bénéficier du bogue et quels dégâts il pourrait causer dans le pire
des cas.

Souvent, les administrateurs justifient
la décision de ne pas appliquer
promptement un correctif en pensant,
« Je connais tous mes utilisateurs et je
leur fais confiance. Aucun d’eux ne
profiterait d’une vulnérabilité ». C’est
vrai, la plupart des utilisateurs ne vont
pas se dévoyer pour semer la pagaille dans votre environnement. Mais il y a
toujours le risque de la curiosité et celui
de l’employé mécontent et rancunier.
Vous devez peser le risque du défaut
de sécurité pour votre société.
Plus la vulnérabilité est grave et plus il
faut de l’attention. Ainsi, si vous utilisez
SQL Server sur un serveur ouvert à 
Internet, il est impérieux de corriger
une vulnérabilité Windows 2000 ou
Windows NT.