Activité 3.1

Activité 3.1 – Étude des origines des menaces
Liens pour Naviguer dans ce module Accueil Module 3 Activité 3.1 Activité 3.2 Activité 3.3 Module 4 Exercices
Cette activité a pour but de sélectionner les méthodes d'attaque qui sont pertinentes pour le système cible. Chacune des méthodes d'attaque est caractérisée par les critères de sécurité qu'elle peut affecter (disponibilité, intégrité, confidentialité). Elle est associée à des éléments menaçants. Ces éléments menaçants sont caractérisés par leur type (naturel, humain ou environnemental) et leurs causes possibles (accidentelle, délibérée). Cette caractérisation peut être synthétisée sous la forme d'un potentiel d'attaque. Si les méthodes d'attaque composent des risques réels pour le système cible, le niveau des mesures de sécurité devra être cohérent avec ce potentiel d'attaque. Cette activité correspond à l'identification des sources dans le processus de gestion des risques.
	Cette page présente l'activité 3.1, première activité de l'étape 3 (Étude des menaces). Les étudiants devraient d'abord se familiariser avec les concepts présentés sur cette page. Les étudiants devraient ensuite compléter l'exercice 6.
Préalables L'Activité 1.2 est préalable à cette activité. Données en entrée La liste des enjeux du système cible est utilisée. Actions: Lister les méthodes d'attaque pertinentes. Caractériser les méthodes d'attaque par les critères de sécurité qu'elles peuvent affecter. Caractériser, pour chaque méthode d'attaque retenue, les éléments menaçants associés par leur type (naturel, humain ou environnemental) et leur cause (accidentelle ou délibérée). Ajouter une valeur représentant le potentiel d'attaque de l'élément menaçant. Mettre en évidence les méthodes d'attaque non retenues avec des justifications. Données en sortie: Liste des origines des menaces (méthodes d'attaque et éléments menaçants). Liste des méthodes d'attaque non retenues et justifications. Conseils pratique: Il est conseillé d'utiliser les méthodes d'attaque et éléments menaçants génériques décrits dans le guide "Outillage pour l'appréciation des risques SSI" pour lister et caractériser les méthodes d'attaque pertinentes et éléments menaçants. Les méthodes d'attaque sont recensées par un expert sécurité auprès du responsable du système concerné ou des missions considérées. Les justifications permettant de les retenir ou de les rejeter doivent être clairement exprimées. La caractérisation des éléments menaçants devrait aussi être exprimée sous la forme d'une valeur qui représente le potentiel d'attaque ; elle facilitera la détermination de la résistance des mécanismes pour les objectifs et exigences de sécurité.
L'activité 3.1

Concepts principaux
Lister les méthodes d'attaque pertinentes
La sélection des méthodes d'attaque consiste, en s'appuyant sur la liste de méthodes d'attaques et éléments menaçants génériques proposée dans le guide "Outillage pour l'appréciation des risques SSI". Il est nécessaire de retenir les méthodes d'attaque que l'on considère comme pertinentes, par rapport au contexte, aux missions et aux entités qui composent le système cible. Elle s'effectue avec le groupe de travail (créé lors de l'activité 2.2) à partir d'une liste de méthodes d'attaque relatives à des thèmes. Ces thèmes sont : sinistres physiques événements naturels perte de services essentiels perturbations dues aux rayonnements compromission des informations défaillances techniques actions illicites compromission des fonctions Ce classement permet de sélectionner plus facilement les méthodes d'attaque concernées. Certains thèmes (sinistres physiques, événements naturels, perte de services essentiels) peuvent être écartés à condition de le justifier. Par exemple, il se peut que des études antérieures aient déjà traité le sujet. Une méthode d’attaque doit être retenue si son accomplissement est réaliste et si on peut supposer qu'elle aura un impact. Il est recommandé de justifier la non sélection d'une méthode d'attaque ou d'un thème, afin de garder une trace des choix effectués. Pour que la traçabilité des choix effectués soit la plus claire possible, il est possible de transformer toutes les méthodes d'attaque non retenues en hypothèses (sachant que plusieurs méthodes d'attaques non retenues peuvent être regroupées dans une seule hypothèse). Les méthodes d'attaque proposées dans les bases de connaissances sont dites génériques, parce qu'elles définissent une catégorie dans laquelle peuvent entrer des méthodes d'attaque décrites dans un degré de granularité beaucoup plus fin. La liste proposée peut donc prétendre à l'exhaustivité dans la mesure où il est toujours possible de faire entrer une méthode d'attaque précise dans une catégorie proposée. Cependant, cette liste peut être adaptée au contexte de l'organisme et de celui d'utilisation du système cible. Des méthodes d'attaque peuvent être également obtenues à partir d'études de sécurité effectuées sur les systèmes voisins ou issues de documents de portée générale (politique de sécurité, charte de sécurité).
Caractériser les méthodes d'attaque par les critères de sécurité qu'elles peuvent affecter
Chaque méthode d'attaque peut affecter au moins un critère de sécurité (disponibilité, intégrité, confidentialité). Il convient donc de caractériser toutes les méthodes d'attaque retenues par les critères de sécurité qu'elles peuvent toucher. Cette caractérisation consiste à déterminer les impacts directs sur les critères de sécurité, et non toutes les possibilités induites.
	Exemple : l'incendie affecte en premier lieu le critère de disponibilité, bien qu'il puisse aussi affecter l'intégrité et la confidentialité par voie de conséquence ; on caractérisera donc généralement l'incendie par une atteinte à la disponibilité.
La caractérisation de chaque méthode d’attaque par les critères de sécurité (identiques à ceux qui ont permis l’expression de besoins de sécurité) permettra lors d’une étape suivante de pouvoir confronter aisément les besoins de sécurité aux menaces afin de déterminer les risques réels.
Caractériser les éléments menaçants associés par leur type et leurs causes
Les méthodes d'attaque sont employées par des éléments menaçants qu'il convient de caractériser pour chaque méthode d'attaque. Doivent être décrits : le type d'élément menaçant (naturel, humain ou environnemental, c'est-à-dire externe au système cible), les causes de chaque élément menaçant (accidentelle ou délibérée) ; elles peuvent être affinées en précisant l'exposition et les ressources disponibles dans le cas d'une cause accidentelle et en précisant l'expertise, les ressources disponibles et la motivation dans le cas d'une cause délibérée.
	Il est conseillé d'utiliser la partie relative aux méthodes d'attaque et éléments menaçants génériques du guide "Outillage pour l'appréciation des risques SSI" pour caractériser les éléments menaçants. Une autre typologie des menaces peut également être appliquée.
Ajouter une valeur représentant le potentiel d'attaque de l'élément menaçant
La caractérisation des éléments menaçants peut être synthétisée par une valeur unique pour chaque méthode d'attaque retenue : il s'agit du potentiel d'attaque, généralement égale à l'une des valeurs suivantes : 1 (accidentel et aléatoire), 2 (opportunités ou ressources limitées), 3 (haut degré d'expertise, d'opportunité et de ressources). Ce potentiel d'attaque permettra de déterminer un niveau de résistance adéquat pour les objectifs de sécurité. Un tableau présente un exemple de sélection et de caractérisation de méthodes d'attaque.
Mettre en évidence les méthodes d'attaque non retenues avec des justifications
Il convient de justifier dûment l'écartement de toute méthode d'attaque. Qu'elle soit jugée improbable, jugée sans conséquence, traitée par ailleurs ou volontairement écartée, il est important d'expliquer pourquoi elle n'est pas retenue, car elle ne sera pas étudiée dans la suite de l'étude bien qu'elle puisse être à l'origine de risques pour l'organisme.
	Les étudiants devraient compléter l'exercice 6.