Activité 3.3

Activité 3.3 – Formalisation des menaces
Liens pour Naviguer dans ce module Accueil Module 3 Activité 3.1 Activité 3.2 Activité 3.3 Module 4 Exercices
Cette activité a pour but de déterminer les menaces pouvant affecter le système cible. Elles résultent de l'association des méthodes d'attaque (utilisées par des éléments menaçants identifiés) aux vulnérabilités retenues (reposant sur des entités identifiées). À l'issue de cette activité, il sera possible de disposer d'une vision objective et exhaustive des menaces réelles pesant sur le système cible. Cette activité contribue à l'estimation des risques dans le processus de gestion des risques.
	Cette page présente l'activité 3.3, troisième activité de l'étape 3 (Étude des menaces). Les étudiants devraient d'abord se familiariser avec les concepts présentés sur cette page. Les étudiants devraient ensuite compléter l'exercice 8.
Préalables Activité 3.1 et Activité 3.2. Données en entrée Liste des origines des menaces (méthodes d'attaque et éléments menaçants). Liste des vulnérabilités retenues et de leur niveau. Actions Formuler explicitement les menaces. Hiérarchiser éventuellement les menaces selon leur opportunité. Données en sortie Liste des menaces retenues. Conseils pratiques La formalisation des menaces doit être la plus précise possible et mettre en évidence la méthode d'attaque, l'élément menaçant, la ou les vulnérabilités exploitées ainsi que les entités concernées. Les menaces peuvent être caractérisées par leur opportunité. Celle-ci est déterminée selon le niveau des vulnérabilités exploitées par les éléments menaçants.
L'activité 3.3

Concepts principaux
Formuler explicitement les menaces
La formulation des menaces peut être plus ou moins riche. Il s'agit avant tout d'exprimer explicitement un scénario d'attaque, le niveau de détail pouvant varier selon la finalité de l'étude. Dans le meilleur des cas, la formulation de la menace comporte : l'élément menaçant avec ses caractéristiques, notamment son potentiel d'attaque, la méthode d'attaque employée par l'élément menaçant et les critères de sécurité touchés, les vulnérabilités exploitées avec leur niveau, les entités qui présentent ces vulnérabilités. Les menaces peuvent être caractérisées par une valeur d’opportunité déterminée selon le niveau des vulnérabilités exploitées. Bien que les valeurs d’opportunité puissent être subjectives, leur intérêt réside dans le fait qu’elles soient relatives les une par rapport aux autres. Si une menace comporte l’exploitation d’une seule vulnérabilité, l’opportunité de la menace est égale au niveau de la vulnérabilité. Si une menace comporte l'exploitation de plusieurs vulnérabilités, il convient de déterminer l'opportunité de la menace d'après les niveaux respectifs des vulnérabilités : généralement en reconsidérant l'opportunité de la menace, soit en retenant le plus faible niveau des vulnérabilités dans le cas où la menace ne se réalise qu'en exploitant l’ensemble des vulnérabilités, soit en retenant le plus fort niveau des vulnérabilités dans le cas où la menace peut se réaliser en n’exploitant qu'une des vulnérabilités. Voir un exemple
Hiérarchiser les menaces selon leur opportunité
La liste des menaces résultante peut être triée par ordre décroissant d'opportunité des menaces. Cette liste est un outil de communication auquel il convient d'apporter une grande attention. Elle permet en effet d'exprimer le plus explicitement possible ce à quoi l'organisme est exposé. Les menaces dont l'opportunité est importante devraient donc apparaître en premier dans la liste afin de sensibiliser les acteurs efficacement.
	Les étudiants devraient compléter l'exercice 8.
Liens pour Naviguer dans ce module Accueil Module 3 Activité 3.1 Activité 3.2 Activité 3.3 Module 4 Exercices
mise à jour: 27/05/2008 09:04:36 AM -0400