Activité 4.1 – Confrontation des menaces aux besoins

Liens pour Naviguer dans ce module

Accueil  Activité 4.1  Activité 4.2  Activité 4.3  Module 5  Exercices

Préalables

• Activité 1.3, Activité 2.2 et Activité 3.3.

Données en entrée

• Tableaux entités / éléments.
• Fiche de synthèse des besoins de sécurité.
• Liste des menaces retenues.

Actions

• Déterminer les risques en confrontant menaces et besoins de sécurité.
• Formuler explicitement les risques.
• Hiérarchiser les risques selon l'impact sur les éléments essentiels et l'opportunité des menaces.
• Mettre en évidence les risques non retenus (risques résiduels) avec des justifications.

Données en sortie

• Liste hiérarchisée des risques.
• Liste des risques résiduels (défauts de couverture des risques) et justifications.

Conseils pratiques

• Plus la formulation d'un risque est précise, plus il sera facile au lecteur d'appréhender le risque et aux personnes réalisant l'étude d'identifier des objectifs de sécurité précis et concrets. Le risque a en effet un caractère spécifique au système cible. Ainsi, le libellé d'un risque peut comprendre l'élément menaçant, les vulnérabilités exploitées, les entités sur lesquelles elles reposent, les éléments essentiels qui peuvent être affectés et les conséquences possibles en termes de besoins de sécurité et d'impacts.
• Ce n'est pas aux personnes réalisant l'étude de hiérarchiser les risques, mais aux utilisateurs et responsables du système. Il sera néanmoins possible de faciliter cette tâche à l'aide de l'étude. Par exemple, les valeurs maximales des besoins de sécurité qui peuvent être touchés par les risques et l'opportunité des menaces permettent de juger de l'importance des risques.
• Le classement des risques permet la détermination des priorités dans le choix et la mise en oeuvre des contre-mesures.

L'activité 4.1

Concepts principaux

Déterminer les risques en confrontant menaces et besoins de sécurité

La détermination des risques auxquels l'organisme est confronté consiste à mettre en évidence la manière dont les éléments essentiels peuvent être touchés par les menaces, c'est-à-dire à déterminer comment ce à quoi l'organisme tient peut être affecté par ce à quoi il est exposé.

Cette association est réalisée en confrontant les menaces aux besoins. D'un côté, les besoins de sécurité des éléments essentiels ont été exprimés selon différents critères de sécurité (disponibilité, intégrité, confidentialité…). D'un autre côté, les menaces ont été caractérisées par les critères de sécurité qu'elles peuvent affecter (d'après la caractérisation des méthodes d'attaque et selon les mêmes critères de sécurité). Il est donc possible de confronter chaque élément essentiel avec chaque menace selon les critères de sécurité afin de déterminer les conséquences possibles de la réalisation des menaces.

Pour chaque élément essentiel, un tableau listant les méthodes d'attaque est réalisé. Les méthodes d'attaque retenues à ce stade de l’étude ne sont uniquement celles susceptibles d’exploiter des vulnérabilités de l’élément essentiel (on effectue cette vérification à l'aide des tableaux des relations entités / éléments établis lors de l'étude du contexte). Les besoins de sécurité de l'élément essentiel étudié et les critères de sécurité qui peuvent être affectés par chaque méthode d'attaque retenue sont alors reportés.

Les fiches peuvent être réalisées par méthode d'attaque ou affinées par menace, mais les renseignements utiles sont les critères de sécurité affectés par les méthodes d'attaque. Ils sont donc reportés à chaque menace correspondante. Il est possible de faire figurer les menaces à la place des méthodes d'attaque, mais ce sont les atteintes des méthodes d'attaque qui sont confrontées aux besoins, c'est pourquoi on factorise généralement cette opération avec les méthodes d'attaque.

On applique alors les règles suivantes pour chaque critère de sécurité :

• si un critère de sécurité ne peut pas être affecté, alors les besoins de sécurité concernés sont nuls ;
• si un critère de sécurité peut être affecté, alors les besoins de sécurité concernés sont égaux aux besoins de sécurité de l'élément considéré.

Exemple de tableau

Les valeurs résultantes représentent le risque pour l'organisme car elles intègrent la valeur du besoin.

Nous cherchons en fait à déterminer les risques d’atteinte des besoins de sécurité des éléments essentiels. Si une menace se concrétise, elle est en effet susceptible de porter atteinte à ces besoins et aux impacts majeurs identifiés et utilisés pour les établir.

L'ensemble des tableaux peut alors être synthétisé afin d'avoir une vision globale des risques. Cette synthèse peut être réalisée à l'aide des méthodes d'attaque ou des menaces. Par l'intermédiaire de cette synthèse, la réflexion est menée sur l'impact réel des menaces sur les éléments essentiels, et donc sur l'organisme.

Exemple de synthèse des risques en fonction des méthodes d'attaque.

Il est possible de déterminer les valeurs maximales des besoins de sécurité concernés par menace ou méthode d'attaque. Ceci constituera un élément de hiérarchisation des risques.

Formuler explicitement les risques

En utilisant le tableau de synthèse des risques, la formulation des menaces et éventuellement l'échelle de besoins, il convient de rédiger le libellé des risques le plus explicitement possible. La finesse de la formulation dépend de la granularité souhaitée.

Dans le meilleur des cas, la formulation d'un risque comporte :

• l'élément menaçant avec ses caractéristiques, notamment son potentiel d'attaque,
• la méthode d'attaque employée par l'élément menaçant,
• les vulnérabilités exploitées,
• les entités qui présentent ces vulnérabilités,
• l'opportunité de la menace,
• les principaux besoins de sécurité concernés,
• les impacts sur l'organisme (d'après l'échelle de besoins).

Exemple.

Hiérarchiser les risques selon l'impact sur les éléments essentiels et l'opportunité des menaces

La liste des risques résultante peut être triée par ordre décroissant des valeurs maximales des besoins de sécurité concernés et par ordre décroissant d'opportunité des menaces concernées. Cette liste est un outil de communication auquel il convient d'apporter une grande attention. Elle permet en effet d'exprimer le plus explicitement possible les risques réels pesant sur l'organisme. Les risques pouvant affecter les besoins de sécurité les plus grands et dont l'opportunité des menaces est importante devraient donc apparaître en premier dans la liste afin de sensibiliser les acteurs efficacement. Ceci permettra de les traiter de manière prioritaire.

Un autre moyen pour hiérarchiser les risques tout en obtenant l'adhésion des participants est de leur faire hiérarchiser les risques. En effet, ce sont eux qui prendront la décision de considérer ou non chaque risque et de le traiter. Il est donc important qu'ils soient impliqués à ce niveau de l'étude.
Il est aussi possible de proposer une hiérarchisation des risques selon la première méthode et de la revoir avec la seconde méthode.

Mettre en évidence les risques non retenus avec des justifications

Le groupe de travail peut suggérer d'écarter les risques qui n'affectent que peu de besoins de sécurité et dont l'opportunité des menaces est faible. Il convient alors de mettre ces risques en évidence et de justifier dûment leur rejet car ils constituent des risques résiduels pour l'organisme. 

Activité 4.2

Liens pour Naviguer dans ce module

Accueil  Activité 4.1  Activité 4.2  Activité 4.3  Module 5  Exercices

mise à jour: 27/05/2008 09:04:41 AM -0400