Les paramètres d'intégrité vous aident à atténuer les menaces visant l'intégrité des données et des processus de votre entreprise. Les utilisateurs malveillants attaquent l'intégrité des outils professionnels en endommageant les documents, présentations et feuilles de calcul. Par exemple, des utilisateurs malveillants peuvent se servir d'une macro VBA (Microsoft® Visual Basic® for Applications) ou d'un contrôle Microsoft ActiveX® dans un fichier ou un courrier électronique pour nuire aux ordinateurs de votre entreprise. De même, ils peuvent porter préjudice à l'intégrité des données ou des processus de votre entreprise en remplaçant un fichier par un autre fichier semblable contenant des données endommagées.
Pour contribuer à l'atténuation des menaces en termes de sécurité et des agents de menace, vous pouvez mettre en œuvre des mécanismes d'approbation reposant sur des preuves. Il s'agit de technologies de sécurité qui apportent la preuve qu'un fichier ou un outil professionnel est fiable et qu'il n'a pas été altéré ou endommagé par des utilisateurs non autorisés.
Microsoft Office 2007 offre une série de paramètres permettant d'atténuer les menaces en termes d'intégrité. Ces paramètres correspondent à trois types de mécanismes d'approbation reposant sur des preuves, dont les suivants :
Liste des éditeurs approuvés. Ce mécanisme vous permet de distinguer les éditeurs de contenu sûrs des autres éditeurs. Tout fichier signé par un éditeur de contenu qui ne figure pas sur la liste des éditeurs approuvés est jugé comme susceptible de contenir des données malveillantes.
Emplacements approuvés. Ce mécanisme vous permet d'identifier les dossiers contenant des fichiers de sources sûres. Tout fichier non stocké dans un emplacement de fichier approuvé est considéré comme susceptible de contenir des données malveillantes.
Signatures numériques. Ce mécanisme permet aux utilisateurs de signer des documents, des présentations et des feuilles de calcul au moyen d'une signature numérique, ce qui apporte une preuve quant à l'auteur du fichier.
Important
Outre les paramètres abordés dans ce chapitre, assurez-vous de toujours mettre à jour vos ordinateurs à l'aide des mises à jour de sécurité Microsoft les plus récentes. Pour assurer la sécurité au sein d'une entreprise, une bonne gestion des correctifs est nécessaire.
La liste des éditeurs approuvés vous permet de spécifier les éditeurs de contenu auxquels vous faites confiance. Un éditeur peut être un développeur, une société qui fabrique des logiciels ou une entreprise ayant créé et distribué des contenus, tels que les contrôles ActiveX, les compléments ou les macros. Un éditeur approuvé est un éditeur dont le certificat numérique a été ajouté à la liste des éditeurs approuvés. Lorsqu'un fichier est ouvert et que son contenu actif a été signé par un certificat numérique qui figure sur la liste des éditeurs approuvés, son contenu est considéré comme fiable et sans risque en termes d'intégrité.
Les menaces en termes d'intégrité peuvent être exploitées par divers moyens, mais parmi les plus courants, on trouve l'utilisation de contrôles ActiveX, de compléments et de macros VBA. Ces technologies peuvent être exploitées par des programmeurs qui créent un code ou des programmes malveillants, lesquels s'exécutent sur l'ordinateur des utilisateurs. Les menaces en termes d'intégrité peuvent être dangereuses pour les entreprises qui autorisent les utilisateurs à :
exécuter des contrôles ActiveX, des compléments et des macros ;
recevoir des pièces jointes ;
partager des documents sur un réseau public, comme Internet ;
ouvrir des documents provenant de sources externes à leur entreprise (clients, fournisseurs, partenaires, etc.).
Par défaut, les contrôles ActiveX et les macros signées par un éditeur figurant sur la liste des éditeurs approuvés sont activés et s'exécutent sans préavis si les conditions suivantes sont vraies :
Le contrôle Active X ou la macro est signé à l'aide d'une signature numérique.
La signature numérique est valide.
La signature numérique est active (non expirée).
Le certificat associé à la signature numérique a été émis par une autorité de certification digne de confiance.
Par défaut, les compléments d'application peuvent s'exécuter sans avoir été signés par des éditeurs appartenant à la liste des éditeurs approuvés. Si vous souhaitez qu'ils soient signés, la stratégie de groupe ou l'interface utilisateur le permet. Pour plus d'informations, consultez la rubrique « Exiger la signature des compléments d'application par un éditeur approuvé » du guide d'accompagnement Menaces et contre-mesures.
Par défaut, la liste des éditeurs approuvés ne contient aucun éditeur. Néanmoins, la liste des éditeurs approuvés est activée, de sorte que vous pouvez ajouter les certificats numériques des éditeurs que vous jugez fiables.
Pour ajouter des certificats à la liste des éditeurs approuvés, préférez l'Outil de personnalisation Office (OPO) à la stratégie de groupe. Pour ajouter des certificats à l'aide de l'OPO lors de la personnalisation d'un nouveau déploiement d'Office 2007 ou de la mise à jour d'installations existantes, vous devez disposer du certificat numérique (fichier .cer) de l'éditeur approuvé. Si vous n'obtenez pas le certificat directement de l'éditeur, vous pouvez en exporter un à partir d'un fichier que l'éditeur a signé, par exemple un fichier .dll (dynamic-link library) ou un fichier .exe (exécutable).
Le tableau suivant répertorie des paramètres d'Office 2007 qui peuvent vous aider dans l'utilisation et la configuration de la fonctionnalité relative aux éditeurs approuvés. Pour plus d'informations sur ces paramètres, consultez le guide d'accompagnement Menaces et contre-mesures.
Tableau 3.1. Paramètres de sécurité d'éditeur approuvé
Nom du paramètre
S'applique à
Exiger la signature des compléments d'application par un éditeur approuvé
Microsoft Office 2007 conserve des certificats d'éditeurs approuvés dans la banque Éditeurs approuvés de Microsoft Internet Explorer®. Dans les versions précédentes de Microsoft Office, les informations relatives aux certificats des éditeurs approuvés (en particulier, l'empreinte des certificats) étaient stockées dans une banque spéciale d'éditeurs approuvés Office. Dans Office 2007, il est toujours possible de lire les informations relatives aux certificats des éditeurs approuvés à partir de la banque Éditeurs approuvés Office, mais il n'est pas possible d'écrire des informations dans cette banque.
Par conséquent, si vous avez créé une liste d'éditeurs approuvés dans une version antérieure d'Office et que vous êtes passé à la version 2007, votre liste d'éditeurs approuvés sera reconnue. Cependant, tout certificat d'éditeur approuvé que vous ajoutez à la liste sera stocké dans la banque Éditeurs approuvés d'Internet Explorer. Cette fonctionnalité est identique pour toutes les applications qui utilisent la liste des éditeurs approuvés, avec notamment :
- Microsoft Office Access™ 2007
- Microsoft Office Excel® 2007
- Microsoft Office InfoPath® 2007
- Microsoft Office Outlook® 2007
- Microsoft Office PowerPoint® 2007
- Microsoft Office Word 2007
En général, la majorité des certificats que vous ajoutez à la liste des éditeurs approuvés concernent des contrôles ActiveX, des compléments et macros que votre entreprise a développés en interne ou achetés auprès d'une société autre que Microsoft. Si vous exigez que tous les compléments soient signés par un éditeur approuvé, vous souhaitez certainement ajouter les certificats Microsoft à la liste des éditeurs approuvés. Les certificats Microsoft se nomment Mscert01.cer, Mscert02.cer, Mscert03.cer, Mscert04.cer. Ils sont disponibles sur le site Web de Microsoft. Si vous activez le paramètre « Exiger la signature des compléments d'application par un éditeur approuvé » sans ajouter les certificats Microsoft à la liste des éditeurs approuvés, les utilisateurs verront des notifications dans la barre des messages et dans des boîtes de dialogue quand ils utiliseront des applications et des fonctionnalités d'application qui reposent sur des compléments fournis avec Microsoft Office 2007.
#### Consignes d'utilisation des Paramètres d'éditeur approuvé
Lorsque vous utilisez les Paramètres d'éditeur approuvé, respectez les consignes suivantes :
- Utilisez la Stratégie de groupe pour vous assurer que les paramètres d'éditeur approuvé sont appliqués dans l'ensemble de l'entreprise.
- Ajoutez à la liste des éditeurs approuvés uniquement les éditeurs que vous jugez totalement fiables. Les contrôles ActiveX et les macros contenus dans les documents peuvent s'exécuter sans préavis si leur éditeur figure sur la liste des éditeurs approuvés.
- Vous pouvez utiliser la Stratégie de groupe pour exiger que tous les compléments soient signés par un éditeur approuvé. Le cas échéant, ajoutez également à la liste des éditeurs approuvés les certificats Microsoft pour les compléments intégrés.
- Utilisez l'Outil de personnalisation Office (OPO) pour ajouter des certificats à la liste des éditeurs approuvés.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres d'emplacement approuvé
La fonctionnalité d'emplacement approuvé de Microsoft Office 2007 vous permet de définir les dossiers se trouvant sur votre disque dur ou sur les partages réseau comme des sources de fichier approuvées. Tout fichier enregistré dans un emplacement approuvé est considéré comme un fichier approuvé. Lorsqu'un fichier approuvé est ouvert, son contenu est considéré comme fiable et sans risque en termes d'intégrité. L'ensemble du contenu du fichier est activé et actif et les utilisateurs ne reçoivent aucune notification au sujet des risques potentiels du fichier, comme les macros non signées, les contrôles ActiveX ou les liens vers des contenus Internet.
Comme indiqué précédemment, les menaces en termes d'intégrité peuvent être exploitées par plusieurs moyens. Parmi les moyens les plus courants, on trouve l'utilisation de contrôles ActiveX, de compléments et de macros VBA. Ces technologies peuvent être exploitées par des programmeurs qui créent un code ou des programmes malveillants, lesquels s'exécutent sur l'ordinateur des utilisateurs. Les menaces en termes d'intégrité peuvent être dangereuses pour les entreprises, notamment celles qui autorisent les utilisateurs à :
- exécuter des contrôles ActiveX, des compléments et des macros ;
- recevoir des pièces jointes ;
- partager des documents sur un réseau public, comme Internet ;
- ouvrir des documents provenant de sources externes, telles que des clients, des fournisseurs ou des partenaires.
La liste suivante décrit les paramètres par défaut des emplacements approuvés :
- Les emplacements approuvés sont activés. Les utilisateurs peuvent donc créer des emplacements approuvés.
- Les utilisateurs ne peuvent pas définir les partages réseau comme des emplacements approuvés. Ils peuvent néanmoins modifier ce paramètre.
- Les utilisateurs peuvent ajouter des dossiers à la liste des emplacements approuvés.
- Vous pouvez avoir une combinaison d'emplacements approuvés définis par les utilisateurs et par les stratégies.
De plus, plusieurs dossiers sont définis comme des emplacements approuvés (en fonction de chaque application). Les dossiers par défaut pour chaque application sont répertoriés dans les tableaux suivants.
> [!NOTE]
> InfoPath 2007 et Outlook 2007 n'utilisent pas les emplacements approuvés.
**Tableau 3.2. Emplacements approuvés par défaut pour Office Access 2007**
Emplacements approuvés par défaut
Description du dossier
Sous-dossiers approuvés
Program Files\Microsoft Office\Office12\ACCWIZ
Bases de données d'Assistant
Non autorisé
**Tableau 3.3. Emplacements approuvés par défaut pour Office Excel 2007**
Le tableau suivant répertorie des paramètres d'Office 2007 qui peuvent vous aider à utiliser et à configurer les emplacements approuvés. Pour plus d'informations sur des paramètres spécifiques, consultez le guide d'accompagnement *Menaces et contre-mesures*.
**Tableau 3.6. Paramètres de sécurité d'emplacement approuvé**
Nom du paramètre
S'applique à
Autoriser la combinaison d'emplacements de stratégie et d'utilisateur
Version 2007 d'Office System
Autoriser les emplacements approuvés ne se trouvant pas sur l'ordinateur
#### Consignes d'utilisation des paramètres d'emplacement approuvé
Lorsque vous utilisez les Paramètres d'emplacement approuvé, respectez les consignes suivantes :
- Utilisez la Stratégie de groupe pour vous assurer que les paramètres d'emplacement approuvé sont appliqués dans l'ensemble de l'entreprise.
- Soyez vigilant lorsque vous placez des fichiers dans des emplacements approuvés. Ces fichiers sont susceptibles d'avoir du contenu actif activé et les utilisateurs ne recevront aucun avertissement. Dans certaines circonstances, il peut être prudent de désactiver entièrement les paramètres d'emplacement approuvé.
- Utilisez la sécurité au niveau du fichier lorsque vous placez des fichiers dans des emplacements approuvés.
- Utilisez des signatures numériques pour valider la source des fichiers qui se trouvent dans des emplacements approuvés.
- Utilisez le chiffrement pour empêcher des utilisateurs non autorisés de visualiser et de modifier des fichiers qui se trouvent dans des emplacements approuvés.
- Les emplacements approuvés sur le réseau peuvent être une cible intéressante pour les personnes malveillantes potentielles. Si vous choisissez d'utiliser des emplacements approuvés sur le réseau, suivez les consignes de la page [Isolation de serveur et de domaine](http://technet.microsoft.com/en-us/network/bb545651.aspx) (la page peut être en anglais) sur le site Web Microsoft TechNet.
[](#mainsection)[Haut de page](#mainsection)
### Paramètres des signatures numériques
La fonctionnalité de signature numérique d'Office 2007 permet aux utilisateurs d'appliquer une signature numérique sur des documents, présentations et feuilles de calcul.
Les utilisateurs peuvent également ajouter des lignes de signature à des documents, présentations et feuilles de calcul. Cette option dispense votre entreprise de l'utilisation de papier pour toutes les signatures qui doivent être apposées sur les contrats, accords, etc. Du point de vue de l'aspect, une ligne de signature numérique est semblable à un espace réservé à la signature classique qui apparaîtrait sur la version papier d'un document (par exemple, la lettre X suivie d'une ligne horizontale). Son fonctionnement est toutefois différent. Lorsqu'une ligne de signature est insérée dans un document Office, l'auteur du document peut indiquer des informations qui concernent le futur signataire du document et lui adresser des instructions. Lorsqu'une version électronique du document est envoyée au futur signataire, ce dernier voit la ligne de signature ainsi qu'une notification l'invitant à signer le document. Le signataire peut cliquer sur la signature pour signer numériquement le document. Il peut ensuite saisir une signature, sélectionner une image numérique de sa signature ou faire une signature manuscrite à l'aide de la fonction entrée manuscrite d'un Tablet PC. Lorsque le signataire entre une représentation visible de sa signature sur un document, une signature numérique est simultanément ajoutée pour authentifier l'identité du signataire. Une fois qu'un document a été signé numériquement, il passe en mode de lecture seule afin d'empêcher toute modification de son contenu. Contrairement aux signatures papier, les signatures numériques peuvent désigner le contenu précis qui a été signé. Ce système permet également de vérifier une signature bien après qu'elle ait été insérée.
Les signatures numériques peuvent contribuer à l'atténuation des menaces en termes d'intégrité : elles apportent la garantie que les contenus des documents, des courriers électroniques, des présentations ou des feuilles de calcul n'ont pas été modifiés ou falsifiés après leur signature. En outre, les signatures numériques réduisent les menaces liées à l'authenticité. Non seulement, elles attestent de l'identité du signataire, mais elles permettent aussi de réduire les risques de démenti en garantissant l'origine du contenu signé. (Le « démenti » fait référence au cas de figure où un signataire nierait tout lien avec le contenu signé.)
Pour que les protections de la signature numérique soient efficaces, le contenu doit être signé conformément aux critères suivants :
- La signature numérique est valide.
- Le certificat associé à la signature numérique est actif (non expiré).
- La personne ou l'entreprise signataire, appelée éditeur, est approuvée.
- Le certificat associé à la signature numérique a été émis et adressé à l'éditeur signataire par une autorité de certification digne de confiance.
Microsoft Office 2007 détecte ces critères et alerte les utilisateurs si la signature numérique présente un problème au moment où ils tentent de signer un document, un courrier électronique, une présentation ou une feuille de calcul.
Par défaut, les documents, courriers électroniques, présentations ou les feuilles de calcul ne contiennent pas de signatures ou de lignes de signature numériques et n'en requièrent pas. Par ailleurs, aucun paramètre de stratégie ne vous permet de forcer les utilisateurs à signer numériquement des documents, présentations ou feuilles de calcul.
Le tableau suivant répertorie des paramètres d'Office 2007 qui peuvent vous aider à utiliser et à configurer les signatures numériques. Pour plus d'informations sur des paramètres spécifiques, consultez le guide d'accompagnement *Menaces et contre-mesures*.
**Tableau 3.7. Paramètres de sécurité des signatures numériques**
Nom du paramètre
S'applique à
Dossier temporaire sécurisé des pièces jointes
Office Outlook 2007
Filtrage EKU
Version 2007 d'Office System
Assurez-vous que tous les messages S/MIME signés comportent une étiquette
Office Outlook 2007
Filtrage de l'utilisation de la clé
Version 2007 d'Office System
Signatures au format hérité
Version 2007 d'Office System
Listes de révocation de certificats manquants
Office Outlook 2007
Certificats racines manquants
Office Outlook 2007
Promouvoir les erreurs de niveau 2 comme erreurs, pas comme avertissements
Office Outlook 2007
Demander un accusé S/MIME pour tous les messages signés S/MIME
Office Outlook 2007
Récupération de listes de révocation de certificats
Office Outlook 2007
Envoyer tous les messages signés comme messages signés en clair
Office Outlook 2007
Signer tous les messages électroniques
Office Outlook 2007
Avertissement de signature
Office Outlook 2007
Supprimer l'élément de menu des services de signature externes
Version 2007 d'Office System
Supprimer les fournisseurs de signature Office
Version 2007 d'Office System
URL des certificats S/MIME
Office Outlook 2007
#### Consignes d'utilisation des Paramètres des signatures numériques
Lorsque vous utilisez les signatures numériques dans votre entreprise, respectez les consignes suivantes :
- Utilisez la Stratégie de groupe pour vous assurer que les paramètres des signatures numériques sont appliqués dans l'ensemble de l'entreprise.
- Utilisez les signatures numériques dans les courriers électroniques pour valider l'identité de l'expéditeur et vérifier que le message n'a pas été altéré lors de sa transmission.
- Utilisez les signatures numériques dans d'autres documents Microsoft Office lorsque vous devez être sûr que leur origine est fiable et qu'ils n'ont pas été falsifiés après leur signature.
- Assurez-vous que les utilisateurs sont formés pour valider les signatures numériques.
- Il est prudent d'exiger des signatures numériques pour tous les messages électroniques sortants. Pour ce faire, tous les utilisateurs devront disposer d'un certificat de signature émis par une autorité de certification approuvée.
**Télécharger**
[Obtenir le Guide de sécurité de Microsoft Office 2007](http://go.microsoft.com/fwlink/?linkid=95736)
[Obtenir GPOAccelerator](http://go.microsoft.com/fwlink/?linkid=103576)
**Notifications de mise à jour**
[Abonnez-vous aux mises à jour et aux nouvelles versions](http://go.microsoft.com/fwlink/?linkid=54982)
**Commentaires**
[Envoyez-nous vos commentaires et vos suggestions.](mailto:secwish@microsoft.com?subject=guide%20de%20sécurité%20de%20microsoft%20office%202007)
[](#mainsection)[Haut de page](#mainsection)