Qu’est-ce qu’un modèle de menace ?
Chaque jour semble apporter son lot d’annonces médiatiques concernant de nouvelles menaces pour la sécurité de votre environnement informatique : cyberpirates, attaques par déni de service, ransomwares, divulgations non autorisées d’informations, etc. Il n’est pas toujours aisé de déterminer comment lutter efficacement contre toutes ces menaces, sans y consacrer toute son énergie pour autant. La modélisation des menaces peut vous aider.
Un modèle de menace identifie les risques et détermine leur priorité. Bien qu’il soit souvent associé au domaine informatique, un modèle de menace peut servir à identifier de nombreux types de risques. Ainsi, un modèle de menace peut établir que les ouragans constituent un risque pour les propriétaires fonciers du sud-est des États-Unis. Une fois les risques identifiés, le modèle permet de les prioriser et de pondérer les coûts et les avantages associés à leur gestion. Par exemple, un modèle de menace comparant des fenêtres plus résistantes à des volets de protection pourrait prioriser ces derniers comme constituant la meilleure mesure à prendre.
Dans le domaine informatique, un modèle de menace permet de profiler les cyberattaquants et les cyberpirates probables et d’identifier à la fois les vecteurs d’attaque les plus probables ainsi que le matériel et les logiciels les plus susceptibles d’être ciblés. Les responsables de la sécurité peuvent alors déterminer les contrôles de sécurité nécessaires pour protéger le système contre ces menaces et décider lesquels seront implémentés, sur la base des coûts et avantages de chacun.
Objectifs de la modélisation des menaces
La modélisation des menaces évalue les menaces et les risques qui pèsent sur les systèmes informatiques, identifie la probabilité que chaque menace aboutisse et analyse la capacité de l’organisation à faire face à chaque menace identifiée.
1. Identification des exigences et vulnérabilités de sécurité
Le processus de modélisation des menaces nécessite d’identifier les exigences et vulnérabilités de sécurité. L’identification des vulnérabilités et l’évaluation des contrôles de sécurité sont généralement confiées à un expert externe, ce qui se révèle généralement plus économique.
Commencez par élaborer un diagramme des déplacements des données au sein du système, de leurs points d’entrée dans le système, des méthodes d’accès et des personnes qui peuvent y accéder. Établissez la liste de tous les logiciels et autres applications au sein du système et déterminez l’architecture du système.
Utilisez ensuite la modélisation des menaces pour identifier les menaces possibles pour le système. Par exemple, existe-t-il des terminaux dans des espaces publics qui ne sont pas protégés par un mot de passe ? Le serveur se trouve-t-il dans une pièce qui ne ferme pas à clé ? Les données sensibles sont-elles chiffrées ?
2. Quantification de la criticité des menaces et des vulnérabilités
Un système informatique lambda peut être vulnérable à des milliers, voire des millions, de menaces potentielles. Aucune entreprise ne peut se permettre de gérer toutes les menaces de la même façon, ou de les ignorer toutes. Par ailleurs, il est impossible pour une entreprise de traiter chaque menace potentielle comme si sa survie en dépendait. Les budgets et le temps disponibles étant limités, les entreprises doivent impérativement accorder une priorité plus grande aux menaces les plus graves.
Le système CVSS (Common Vulnerability Scoring System) classe les menaces potentielles sur une échelle de 1 à 10 en fonction de leur gravité inhérente et de leur exploitation effective depuis leur découverte. Un score CVSS de 1 correspond à la menace la moins grave, 10 représentant la menace la plus dangereuse. Le système de classification CVSS permet aux professionnels de la sécurité de se référer à une source fiable de renseignement sur les menaces développée par un organisme tiers.
Un score CVSS brut ne tient pas compte du contexte de la vulnérabilité, ni de l’endroit où elle se trouve au sein du système informatique concerné. Ainsi, certaines vulnérabilités seront plus critiques pour certaines entreprises que pour d’autres.
3. Priorisation des méthodes de correction
Une fois que vous connaissez la criticité de chaque vulnérabilité pour votre entreprise, vous pouvez décider quelles sont celles à corriger en priorité, un processus connu sous le nom d’analyse des menaces. L’analyse des menaces identifie les points faibles du système ainsi que la menace potentielle que représenteraient des attaques exploitant chacune de ces failles. Les vulnérabilités les plus critiques peuvent nécessiter une attention immédiate et l’ajout rapide de contrôles de sécurité. À l’inverse, il est possible que les vulnérabilités les moins critiques n’exigent aucune attention, car la probabilité qu’elles soient exploitées est faible ou parce qu’elles ne poseront qu’un faible risque si elles le sont.
Comment approcher la modélisation des menaces ?
La modélisation des menaces peut être abordée sous différents angles. Le choix de la méthodologie appropriée commence par une compréhension plus approfondie du processus de modélisation des menaces.
Comprendre le processus de modélisation des menaces
La modélisation des menaces identifie les types des menaces susceptibles d’affecter une application ou un système informatique. Idéalement, cette modélisation doit être appliquée dès la phase de conception du logiciel ou du système, afin que les vulnérabilités puissent être corrigées avant que le système ne soit intégré dans l’environnement de production. Les modifications apportées aux logiciels, à l’infrastructure et à l’environnement de menaces constituent également d’excellentes occasions de revisiter les modèles de menace.
La modélisation des menaces suit généralement les cinq étapes ci-dessous :
- Définition des objectifs de l’analyse
- Création d’un modèle visuel du système à analyser
- Utilisation du modèle visuel pour identifier les menaces qui pèsent sur le système
- Application de mesures pour neutraliser les menaces
- Confirmation que les menaces ont bien été neutralisées
Comparaison des méthodologies de modélisation des menaces
La modélisation des menaces identifie les menaces en se concentrant sur les attaques potentielles, les ressources du système ou le logiciel lui-même. La modélisation des menaces axée sur les ressources se concentre sur les ressources du système et l’impact qu’aurait sur l’entreprise la perte de chaque ressource ciblée. Ce type de modélisation peut par exemple tenter de déterminer quel serait l’impact sur l’entreprise d’un blocage de l’accès au système de gestion des commandes en ligne par un cybercriminel. La réponse pourrait mettre en lumière un impact considérable. En revanche, un virus qui infecte un logiciel utilisé uniquement pour rendre compte des actifs immobilisés pourrait n’avoir qu’un impact très limité, étant donné ces derniers font également l’objet d’un inventaire papier.
La modélisation des menaces axée sur les attaques identifie les menaces pour le système qui ont le plus de chances de réussir. Ce type de modélisation peut par exemple tenter de déterminer la probabilité qu’un cyberattaquant réussisse à paralyser le système de gestion des commandes en ligne dans le cadre d’une attaque par déni de service. Il se peut que cette probabilité soit élevée si le système présente une vulnérabilité inhérente et bien connue.
Enfin, la modélisation des menaces axée sur les systèmes s’attache à comprendre le système modélisé avant d’évaluer les menaces qui le visent. Par exemple, ce type de modélisation tentera de déterminer dans un premier temps où résident les données dans le système de commandes en ligne, et comment et depuis quel endroit il est possible d’accéder au système.
Choisir la méthodologie de modélisation des menaces la plus adaptée
Quelle méthodologie de modélisation des menaces convient le mieux à votre système ? Tout dépend du type de menaces que vous souhaitez modéliser. Vous devez prendre en compte les critères suivants :
- Les types de menaces et de risques auxquels sont confrontées les autres entreprises de votre secteur
- La taille et les compétences de vos équipes
- Vos ressources disponibles — financières et autres
- Votre tolérance au risque
GLOBAL THREAT REPORT 2022 DE CROWDSTRIKE
Téléchargez notre rapport pour en savoir plus sur les dernières menaces et les principaux événements de cybersécurité.
TéléchargerExemples de cadres de modélisation des menaces
Voici quelques exemples des méthodologies de modélisation des menaces les plus courantes :
Arbres d’attaque
Les arbres d’attaque reposent sur des arbres décisionnels. La « racine » ou la base de l’arbre représente l’objectif de l’attaquant. Les « branches » et les « feuilles » de l’arbre d’attaque représentent quant à elles les moyens d’atteindre l’objectif. Les arbres d’attaque montrent que les cyberattaquants ont souvent plusieurs possibilités pour atteindre leur cible.
STRIDE
Le modèle STRIDE a été mis au point par Microsoft pour identifier de manière systématique un large éventail de menaces susceptibles de cibler ses produits. STRIDE est un acronyme pour six menaces potentielles :
- Spoofing (usurpation d’identité) : le cyberattaquant accède au système en se faisant passer pour un utilisateur autorisé.
- Tampering (manipulation de données) : le cyberattaquant modifie les données du système sans autorisation.
- Repudiation (reniement) : le cyberattaquant nie la responsabilité de l’exécution d’une action, sans qu’il soit possible de prouver si c’est vrai ou faux.
- Information disclosure (divulgation d’informations) : le cyberattaquant fournit des informations à une personne non autorisée à y accéder.
- Denial of service (déni de service) : le cyberattaquant épuise les ressources nécessaires pour fournir des services à des utilisateurs légitimes.
- Elevation of privilege (élévation de privilèges) : le cyberattaquant effectue une action (comme accéder à des données confidentielles) qu’il n’est pas autorisé à exécuter.
PASTA
Le modèle PASTA (Process for Attack Simulation and Threat Analysis) (processus de simulation d’attaques et d’analyse des menaces) visualise l’application comme le ferait un cyberattaquant. Ce modèle comporte sept étapes :
- Définition des objectifs métier, des exigences de sécurité des systèmes et de l’impact sur l’entreprise des diverses menaces
- Définition du périmètre technique de l’environnement et des dépendances entre l’infrastructure et les logiciels
- Élaboration d’un diagramme du flux de données au sein de l’application
- Exécution de simulations d’attaques à l’encontre du système
- Mise en correspondance des menaces avec les vulnérabilités existantes
- Élaboration des arbres d’attaque
- Analyse des risques résultants et mise en place de mesures rentables pour les contrer
Trike
Trike utilise des modèles de menace pour gérer, plutôt qu’éliminer, les risques en définissant des niveaux de risque acceptables pour divers types de ressources. Pour chaque ressource et chaque utilisateur du système, Trike indique le niveau d’accès de l’utilisateur à chaque ressource (création, lecture, modification et suppression) et précise si l’utilisateur dispose de l’autorisation d’effectuer chaque action en permanence, parfois ou jamais.
VAST
Visual, Agile and Simple Threat (VAST) (analyse visuelle, agile et simple des menaces) est un processus automatisé de modélisation des menaces qui est appliqué soit aux menaces ciblant les applications, soit aux menaces opérationnelles. Pour modéliser les menaces ciblant les applications, VAST établit un diagramme de la menace pour l’architecture du système. Pour modéliser les menaces visant la capacité opérationnelle, VAST élabore un diagramme de la menace en se plaçant du point de vue du cyberattaquant.
CVSS
Le système CVSS (Common Vulnerability Scoring System) attribue un score de gravité à chaque vulnérabilité. Ce score est fonction de la vulnérabilité intrinsèque, de l’évolution de la vulnérabilité dans le temps et du niveau de sécurité de l’entreprise.