Activité 3.2 – Étude des vulnérabilités 

Liens pour Naviguer dans ce module

Accueil  Module 3  Activité 3.1  Activité 3.2  Activité 3.3  Module 4   Exercices

Cette activité a pour objet la détermination des vulnérabilités spécifiques du système cible et éventuellement la caractérisation de celles-ci en terme de niveau. Ces vulnérabilités intrinsèques du système cible proviennent des caractéristiques des entités qui le composent. Ces vulnérabilités étant exploitées pour affecter la sécurité du système, les objectifs de sécurité consisteront donc essentiellement à les diminuer. Cette activité contribue à l'estimation des risques dans le processus de gestion des risques.
Cette page présente l'activité 3.2, seconde activité de l'étape 3 (Étude des menaces). Les étudiants devraient d'abord se familiariser avec les concepts présentés sur cette page. Les étudiants débutant devraient ensuite compléter l'exercice 7.

Préalables:

Données en entrée:

  • Liste des entités.
  • Liste des origines des menaces (méthodes d'attaque et éléments menaçants).

Actions:

  • Identifier les vulnérabilités des entités selon les méthodes d'attaque.
  • Estimer éventuellement le niveau des vulnérabilités.

Données en sortie

  • Liste des vulnérabilités retenues et de leur niveau.

Conseils pratiques:

  • Il est conseillé d'utiliser les vulnérabilités génériques décrites dans le guide "Outillage pour l'appréciation des risques SSI" pour identifier les vulnérabilités des entités selon les méthodes d'attaque.
  • L'étude des vulnérabilités s'effectue avec les mêmes responsables sollicités lors de l'étude des origines des menaces.
  • Il faut noter que si la liste des méthodes d'attaque proposée peut prétendre à l'exhaustivité, du fait de son caractère générique, celle des vulnérabilités est par nature variable et doit être personnalisée.

L'activité 3.2

Concepts principaux

Identifier les vulnérabilités des entités selon les méthodes d'attaque

Pour chaque méthode d'attaque retenue, il convient de déterminer les vulnérabilités du système cible qui en permettent la réalisation (il est conseillé d'utiliser les vulnérabilités génériques du guide "Outillage pour l'appréciation des risques SSI" pour identifier les vulnérabilités selon les types ou sous-types d'entités et les méthodes d'attaque).

Une vulnérabilité est une caractéristique du système qui pourrait être exploitée par un élément menaçant et permettre alors la réalisation d'une méthode d'attaque. Cette caractéristique, attachée aux entités du système, peut constituer une faiblesse ou une faille au regard de la sécurité.

 
  • pour une entité de type matériel, la capacité à émettre des rayonnements ou l'attrait du matériel (ordinateur portable) constitue une caractéristique ;
  • pour une entité de type site, la facilité avec laquelle on peut y pénétrer constitue également une caractéristique.

Ces caractéristiques deviennent des vulnérabilités si des méthodes d'attaque peuvent les exploiter :

  • l'utilisation d'ordinateurs portables est une vulnérabilité face à la méthode d'attaque vol de matériels ;
  • la capacité à émettre des rayonnements est une vulnérabilité face à la méthode d'attaque interception de signaux parasites compromettants.

Une méthode d'attaque peut exploiter plusieurs vulnérabilités pour se réaliser.

La méthode d'attaque piégeage du matériel peut se réaliser si :

  • il est facile de pénétrer dans le site (vulnérabilité du type d'entités site) ;
  • le matériel permet la pose d'éléments additionnels (vulnérabilité des types d'entités matériels et logiciels) ;
  • il n'y a pas de plan de contrôle des matériels (entité de type organisation).
Une liste de vulnérabilités génériques associées à chaque méthode d'attaque et à chaque sous-type d'entités est fournie dans les bases de connaissances. La sélection s'effectue à partir de cette liste mais peut s'appuyer sur des éléments particuliers au système. Il est important de noter que la liste proposée est une base de réflexion personnalisable qui devra être adaptée au contexte étudié. Cette liste est par nature continuellement évolutive.

Estimer le niveau des vulnérabilités

Les vulnérabilités peuvent être caractérisées par leur niveau, représentant la possibilité de réalisation des méthodes d'attaque qui les exploitent.

Ce niveau s'apprécie en fonction de plusieurs critères :

  • du contexte propre au système ;
  • de l'état de l'art dans le domaine considéré.

Dans beaucoup de cas, il n'existe pas de données statistiques permettant d'élaborer des lois de comportement du système d'information. Seuls les risques naturels et technologiques disposent de chiffres qui rendent possible une évaluation à l'aide de techniques quantitatives, mais il faut souligner que ces analyses sont par nature subjectives.

Estimer le niveau des vulnérabilités a pour objectif de ne garder que les vulnérabilités pertinentes et les hiérarchiser. On peut se contenter de les sélectionner, mais l'estimation de cette valeur permet d'obtenir un degré de finesse supplémentaire.

Pour cela, il est possible d'utiliser l'échelle proposée.

Échelle du niveau des vulnérabilités

0

totalement improbable ou infaisable

1

faiblement probable ou nécessite des moyens très importants et/ou des connaissances très élevées dans le domaine considéré

2

moyennement probable ou nécessite un certain niveau d'expertise et/ou du matériel spécifique

3

fortement probable ou réalisable avec des moyens standards et/ou avec des connaissances de base

4

certain ou réalisable par tout public

Dans le cas de méthodes d'attaque naturelles ou humaines, l'estimation du niveau des vulnérabilités est basée sur leur faisabilité effective observée. Dans le cas de la malveillance, l'estimation du niveau des vulnérabilités est plutôt basée sur la faisabilité en termes de moyens, de compétences et de connaissances nécessaires.

On obtient la liste des vulnérabilités estimées associées aux méthodes d'attaque retenues par types ou sous-types d'entité. Un tableau propose un exemple du résultat.
Les étudiants devraient compléter l'exercice 7.

Liens pour Naviguer dans ce module

Accueil  Module 3  Activité 3.1  Activité 3.2  Activité 3.3  Module 4   Exercices

mise à jour: 27/05/2008 09:04:33 AM -0400