MGR850 – Hiver 2013

Analyse de risques

Chamseddine Talhi
École de technologie supérieure (ÉTS)
Dép. Génie logiciel et des TI

1
 Plan
• Motivations & contexte

• Objectif

• Méthode OWASP

• Autres Méthodes d’analyse de risque

• Méthode NIST

• Post Analyse de risques

• Conclusion
2
 Motivation & Contexte

Source de la figure: http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database 3

Chamseddine Talhi, ÉTS MGR850- H12
 Motivation & Contexte

Source: http://laststandonzombieisland.com/2012/09/04/situational-awareness-get-some/
4
Yosr Jarraya, ÉTS MGR850 - A12
 Motivation & Contexte
• Les technologies de l'information sont
notre plus grande force et en même
temps, notre plus grande faiblesse ...
Dr. Ron Ross
Computer Security Division
Information Technology Laboratory
NIST

5
Yosr Jarraya, ÉTS MGR850 - A12
 Motivation & Contexte
Analyse de Risque
Les questions à se poser:
• Quels sont les actifs à protéger, leurs valeurs et leurs
propriétés?
• Quelles sont les menaces, leurs motivations et leurs
moyens?
• Quelles sont les mesures de protection en place et
celles qui sont requises?
• Quelle est la vraisemblance qu’une vulnérabilité soit
exploitée par une source de menace?
• Quel est l’impact de cette menace sur les objectifs de
sécurité?
6
Yosr Jarraya, ÉTS MGR850 - A12
 Motivation & Contexte
Crédibilité de l’analyse (incidents réels)
Instead of being concerned about what CAN happen
(theoretical scenarios), perhaps we should first be dealing
with what IS happening (analysis of real-world web
compromises)…

Au lieu d'être préoccupés par ce qui peut arriver

(scénarios théoriques), peut-être nous devrions d'abord
considérer ce qui est réellement en train de se passer
(analyse des compromis web dans le monde réel) ...
Ryan Barnett
WASC WHID Project Leader
Senior Security Researcher
7
Chamseddine Talhi, ÉTS MGR850- A12
 Motivation & Contexte
Compiler des incidents réels - défis!

 Il faut d’abord les détecter!

 Attaques détectées après X jours.

 Il faut les retracer!

o Faible traçabilité OU
o Aucune vérification en vue de détection
d’attaques!

Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 8
Chamseddine Talhi, ÉTS MGR850- A12
 Motivation & Contexte
Compiler des incidents réels - défis!

 Les victimes cachent les violations

 Les incidents les plus visibles sont les plus
médiatisés
 Exemple : Les banques ne sont pas obligés
de divulguer les vols effectués sur les
comptes de leurs clients.

Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 9
Chamseddine Talhi, ÉTS MGR850- A12
 Motivation & Contexte
Analyse de risques: Principes de base
 Actifs à protéger:
o Valeurs: $$
o Importances: confidentiels, top secret , ..
o Propriétés: confidentialité, intégrité, disponibilité, ..
 Menaces:
o Attaquants potentiels : amateurs, terroristes, états, concurrents, ..
o Scénarios d’attaques : déni de services, …
o Vulnérabilités exploitées: débordements de tableaux, …
 Mesures de protection:
o Déjà en place: Menaces (vulnérabilités) couvertes
o Requis: Classés par priorité/urgence.
 Évaluation de risques:
o Vraisemblance * impact

10
Chamseddine Talhi, ÉTS MGR850- A12
 Objectif
• Comprendre les risques repérés lors du processus de
détermination des risques

• Estimer la probabilité d’occurrence de chacun des

risques repérés

• Déterminer l’impact d’un scénario dans lequel un risque

se matérialise

• Fournir une stratégie pour protéger les actifs et réduire

les risques à un niveau tolérable avec des coûts
raisonnables
11
Yosr Jarraya, ÉTS MGR850 - A12
 Méthode OWASP
• Estimer la sévérité de l'ensemble des risques pour
prendre une décision éclairée sur ce qu'il faut faire à leur
sujet.

• Estimer l’importance du risque aide à gagner du temps et

à bien définir les priorités.

• Ne vous laissez pas distraire par les petits risques, tout

en ignorant les plus graves qui sont moins bien compris.

• Une vulnérabilité qui est « très grave » pour une

organisation peut ne pas être très importante pour
l'autre.

12
Yosr Jarraya, ÉTS MGR850 - A12
 Méthode OWASP
Risque = Vraisemblance * Impact

Étape 2: Étape 4: Étape 5:

Étape 1: Étape 3:
Estimation de Évaluation Choix
Identification Estimation
la de la gravité d’aspects à
du risque de l'impact
vraisemblance du risque corriger

Source: http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
13
Yosr Jarraya, ÉTS MGR850 - A12
 Méthode OWASP
Étape 1 : Identification du risque
Objectif: Identifier un risque pour la sécurité qui doit être évalué

• Entité menaçante

• Attaque

• Vulnérabilité

• Impact

Opter pour l’excès de prudence en utilisant le pire des

scenarios, qui se traduira par le plus grand risque global
14
Yosr Jarraya, ÉTS MGR850 - A12
 Méthode OWASP
Étape 1 : Identification du risque
Entité menaçante = Capacités + Intentions + historique d’activités

Classification des entités menaçantes:

• Sans cibles spécifiques: virus informatiques, vers
• Employés
• Crime organisé et criminels
• Industriels (Sociétés)
• Humains non-intentionnés: accidents, négligence, etc.
• Humain intentionnés: interne (Insider), externe (outsider).
• Naturelles: inondations, incendie, foudre, etc.
15
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 1 : Identification du risque
Sources d’information
• Agences gouvernementales ou paragouvernementales
– FBI InfraGard (http://www.infragard.net/)
– US Computer Emergency Readiness Team (http://www.us-cert.gov/)
– CMU Software Engineering Institute CERT (www.cert.org)
– Web-Hacking-Incident-Database
• Organismes commerciaux
– SANS (http://www.sans.org/)
– SecurityFocus (http://www.securityfocus.com/)
• Media

16
Jean-Marc Robert, ÉTS MGR850- A12
 Méthode OWASP
Étape 1 : Identification du risque
Cibles d’attaques

Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 17
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 1 : Identification du risque
Objectifs d’attaques

Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 18
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 1 : Identification du risque
Techniques d’attaques

Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 19
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 1 : Identification du risque

Vulnérabilités
exploitées

Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 20
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 2 : Estimation de la vraisemblance
Objectif: Estimer la probabilité d'une attaque réussie
lorsqu’effectuée par un groupe d’attaquant spossibles.

• Influencée par 2 types de facteurs:

1) Entités menaçantes : impact de la nature de l’attaquant sur la
vraisemblance d’une attaque réussie. Pessimisme recommandé!
2) Vulnérabilités: la vraisemblance d’une découverte de la vulnérabilité
et son exploitation par les entités menaçantes considérées dans 1)

• Chaque facteur a un ensemble d’options notées sur 9

21
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 2 : Estimation de la vraisemblance
A- Facteurs en relation avec l’entité menaçante:
• Niveau de compétence: Pas de compétences (1) certaines compétences (3),
utilisateurs avancés de systèmes d’information (4), compétences réseaux et
logiciels (6), compétences de pénétration de sécurité (9)
• Motivation: Peu ou pas de récompenses (1), récompense possible (4), forte
rentabilité (9)
• Opportunités d’exploitation nécessitant: accès complet ou ressources très
coûteuses (0), des ressources et droits d’accès spéciaux (4), quelques
ressources et droits d’accès (7), aucun droit d’accès et aucune ressource (9)
• Nature de la communauté menaçante: développeurs (2), administrateurs
système (2), utilisateurs de l'intranet (4), partenaires (5), utilisateurs
authentifiés (6), Utilisateurs Internet (9)
22
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 2 : Estimation de la vraisemblance
B- Facteurs en relation avec la vulnérabilité:

• Facilité de découverte: pratiquement impossible (1), difficile (3), facile (7),

outils automatiques disponibles (9)
• Facilité d'exploitation: théorique (1), difficile (3), facile (5), des outils
automatiques disponibles (9)
• Disponibilité de l’information: information inconnue (1), cachée (4),
évidente (6), publique (9)
• Détection d’intrusion: détection active dans l’application (1), audit et
révision (3), audit sans révision (8), absence d’audit (9)

23
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 2 : Estimation de la vraisemblance
Sources d’information
• Agences gouvernementales ou paragouvernementales
– FBI InfraGard (http://www.infragard.net/)
– US Computer Emergency Readiness Team (http://www.us-cert.gov/)
– CMU Software Engineering Institute CERT (www.cert.org)
– US National Vulnerability Database (http://nvd.nist.gov/ )
– Mitre, Common Vulnerabilities and Exposure (http://cve.mitre.org/cve/)
• Organismes commerciaux
– SANS (http://www.sans.org/)
– Sites des entreprises: Microsoft, Oracle, Symantec, …
– SecurityFocus (http://www.securityfocus.com/)
• Outils de détection
– Nessus, Codenomicon, …
• Media
24
Jean-Marc Robert, ÉTS MGR850- A12
 Méthode OWASP
Étape 3 : Estimation de l’impact
Objectif: Estimer l’impact d'une attaque réussie lorsqu’effectuée
par un groupe d’attaquant spossibles.

• Influencée par 2 types de facteurs:

1) Impact technique : estimer l'ampleur de l'impact sur le système si
la vulnérabilité est exploitée
2) Impact sur le domaine d’affaires: découle de l'impact technique,
mais nécessite une compréhension approfondie des priorités de
l'entreprise

• Chaque facteur a un ensemble d’options notées sur 9

25
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 3 : Estimation de l’impact
A- Impact technique:
• Perte de confidentialité: peu de données non-sensibles divulguées (2),
peu de données critiques divulguées (6), nombreuses données non-
sensibles divulguées (6), nombreuses données critiques divulguées (7),
toutes les données divulguées (9)
• Perte d'intégrité: peu de données légèrement corrompues (1), peu de
données gravement corrompues (3), nombreuses données légèrement
corrompues (5), nombreuses données gravement corrompues (7), toutes
les données complètement corrompues (9)
• Perte de disponibilité: peu de services secondaires interrompus (1), peu
de services importants interrompus (5), nombreux services secondaires
interrompus (5), nombreux services de base interrompus (7), tous les
services complètement interrompus (9)
• Perte de traçabilité : traçabilité complète (1), traçabilité probable (7),
aucune traçabilité (9) 26
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 3 : Estimation de l’impact
B- Impact sur le domaine d’affaires:
• Préjudice financier: moins important que le coût requis pour fixer la
vulnérabilité (1), effet minime sur les bénéfices annuels (3), effet
significatif sur les bénéfices annuels (7), faillite (9)
• Atteinte à la réputation: dommages minimes (1), perte de grands
comptes (4), chute d’écart d’acquisition (goodwill) (5), vaste dommages
(9)
• Non-conformité: violation mineure (2), violation flagrante (5), violation
de haut niveau (7)
• Atteinte à la vie privée: un individu (3), des centaines de personnes (5),
des milliers de personnes (7), des millions de personnes (9)

27
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 4 : Évaluation de la gravité du risque
Niveaux de vraisemblance et d’impact
0 à <3 Faible
3 à <6 Moyen
6à9 Élevé
Étape 2

Étape 3

28
Chamseddine Talhi, ÉTS MGR850- H12
 Méthode OWASP
Étape 4 : Évaluation de la gravité du risque
Gravité du risque

Élevé Moyenne Élevée Critique

Moyen Faible Moyenne Élevée

Impact
Faible Très faible Faible Moyenne

Faible Moyenne Élevée

Vraisemblance

Étape 5 : Choix des vulnérabilités à résoudre

• Pas tous les risques qui valent la peine d’être fixés
• Certaines pertes ne sont pas seulement prévues, mais justifiables
en se basant sur le coût de fixation du problème. 29
Chamseddine Talhi, ÉTS MGR850- H12
 Méthodes Analyse de Risque
• EBIOS MEHARI
• CRAMM
• EMR
• FISMA
• NIST
• SANS
• OCTAVE
• FRAP
• COBRA (outil)
• RISK WATCH (outil)

30
Yosr Jarraya, ÉTS MGR850 - A12
 Méthodes Analyse de Risque
• EBIOS et MEHARI
– Deux méthodes françaises d’analyse des risques
relatives à la sécurité des systèmes d’information
– Conforme à l’ISO 31000, 27001 et 27005

31
Yosr Jarraya, ÉTS MGR850 - A12
 Méthodes Analyse de Risque
• CRAMM - CCTA Risk Analysis and Management
Method (Conforme à ISO 27001)
– Créée en 1987 par “Central Computing and
Telecommunications Agency (CCTA) du government du
Royaume Uni.
– En cours d'utilisation par l'OTAN, les forces armées
néerlandaises, et les sociétés qui travaillent activement sur
la sécurité, comme Unisys et RAC
– Comprend trois étapes, chacune soutenue par
questionnaires, objectifs et des lignes directrices.
– Les deux premières étapes identifient et analysent les
risques pour le système. La troisième étape recommande
la façon dont ces risques doivent être gérés.
32
Yosr Jarraya, ÉTS MGR850 - A12
 Méthodes Analyse de Risque
• EMR
– Méthodologie harmonisée d'évaluation des menaces et
des risques (EMR) développé par le Centre de la Sécurité
des Télécommunications Canada (CSTC)
– Depuis 2009, le CSTC est devenu l'organisme responsable
de l'élaboration et de la prestation des activités de
formation et de sensibilisation liées à la sécurité des TI
pour le gouvernement du Canada.
– Parmi les objectifs la flexibilité:
• EMR doit être extensible pour pouvoir être appliquée à tous
les biens, matériels et TI, grands et petits, suffisamment en
détail pour satisfaire aux objectifs opérationnels

33
Yosr Jarraya, ÉTS MGR850 - A12
 Méthodes Analyse de Risque
• Federal Information Security Management Act
(FISMA)
– C’est une législation des Etats Unis qui définit un
cadre global pour protéger l'information du
gouvernement, les opérations et les actifs contre les
menaces naturelles ou artificielles. FISMA a été
signée dans le cadre de la Loi faisant partie du
gouvernement électronique de 2002.
• NIST Special Publication 800-30-Revision 1:
– Fournir des orientations pour l'évaluation des risques
des systèmes d'information et organismes fédéraux
des Etats Unis
34
Yosr Jarraya, ÉTS MGR850 - A12
 Méthodes Analyse de Risque
• OCTAVE:
– Processus défini par le Software Engineering Institute
(SEI) de l’université Carnegie Mellon.
– L'objectif principal est d'aider les organisations à
améliorer leur capacité à gérer et à se protéger contre
les risques de sécurité de l'information.
• Phase 1 rassemble les connaissances sur les actifs
importants, les menaces et les stratégies de protection des
cadres supérieurs
• Phase 2 rassemble les connaissances des gestionnaires du
domaine opérationnel
• Phase 3 rassemble les connaissances du personnel

35
Yosr Jarraya, ÉTS MGR850 - A12
 Méthodes Analyse de Risque
• The Facilitated Risk Analysis and Assessment
Process (FRAAP)
– Créée par Thomas Peltier
– FRAP utilise une méthodologie formelle d’analyse
qualitative des risques à l'aide de l’analyse des
vulnérabilités, l'analyse d'impact des risques, l'analyse
des menaces et des questionnaires.

36
Yosr Jarraya, ÉTS MGR850 - A12
 NIST: SP 800-30-R1
Étape 1: Préparer l'évaluation du risque
Dérivé du cadre des risques organisationnels
Étape 3: Transmettre les résultats

Étape 4: Maintenir l’évaluation

Étape 2: Conduire l’évaluation

Identifier les sources et les événements de menace

Identifier les vulnérabilités et les facteurs prédisposants

Déterminer l'ampleur de l'impact

Déterminer les risques

37
Yosr Jarraya, ÉTS MGR850 - A12
 NIST: SP 800-30-R1
Tache Description
Étape 1: Préparer l’évaluation de risque
T1-1: Identifier les objectifs Définir le but de l'évaluation des risques en termes
de l'information que l'évaluation vise à produire et
les décisions quel'évaluation est destinée à soutenir.
T1-2: Identifier le champ Déterminer la portée de l'évaluation des risques en
d’application termes d'applicabilité au niveau de l'organisation, le
calendrier pris en charge et les considérations
architecturales/technologiques
T1-3:Identifier les hypothèses Identifier les hypothèses et les contraintes
et les contraintes spécifiques dans lesquelles l'évaluation des risques
est menée.
T1-4: Identifier les sources Identifier les sources de descriptifs, de menaces, de
d’information vulnérabilités et de l'impact des informations à
utiliser dans l'évaluation des risques.
T1-5: Identifier le modèle de Identifier le modèle de risque et l'approche
risque et l’approche analytique analytique à utiliser dans l'évaluation des risques

38
Yosr Jarraya, ÉTS MGR850 - A12
 NIST: SP 800-30-R1
Tache Description
Étape 2: Conduire l’évaluation des risques
T2-1: Identifier les sources des Identifier et caractériser les sources de menaces de
menaces préoccupation, y compris la capacité, l'intention et
les caractéristiques de ciblage pour les menaces
contradictoires et non-contradictoires.
T2-2: Identifier les événements Identifier les événements de menaces potentielles,
de menaces la pertinence des événements, et les sources de
menaces qui pourraient lancer les événements.
T2-3:Identifier les vulnérabilités Identifier les vulnérabilités et les conditions
et conditions prédisposantes prédisposantes qui influent sur la probabilité des
événements de menace et leur impacts négatifs

39
Yosr Jarraya, ÉTS MGR850 - A12
 NIST: SP 800-30-R1
Tache Description
Étape 2: Conduire l’évaluation des risques (suite)
T2-4: Determiner la Déterminer la probabilité des événements de menace
vraisemblance en tenant compte: (i) des caractéristiques des sources
de menaces (ii) des vulnérabilités / conditions pré-
disposantes identifiées, et (iii) de la sensibilité
organisationnelle reflétant les garanties / contre-
mesures prévues ou mises en œuvre pour empêcher
de tels événements.
T2-5: Déterminer l’impact Déterminer les impacts négatifs des menaces, compte
tenu: (i) des caractéristiques des sources de menaces
(ii) des vulnérabilités / conditions pré-disposantes
identifiées, et (iii) de la vulnérabilité organisationnelle
reflétant les garanties / contre-mesures prévues ou
mises en œuvre pour empêcher de tels événements.
T2-6: Déterminer le risque Déterminer les risques pour l'organisation compte tenu
de: (i) l'impact qui en résulterait des événements, et (ii)
de la probabilité que les événements se produisent.

40
Yosr Jarraya, ÉTS MGR850 - A12
 NIST: SP 800-30-R1
Tache Description
Étape 3: Communiquer et partager les résultats
T3-1:Communiquer les Communiquer les résultats d'évaluation des risques
résultats pour les décideurs organisationnels destinés à soutenir
les réponses aux risques.
T3-2: Partager les Partager les risques liés à l'information produite lors de
information sur le risque l'évaluation des risques avec le personnel compétent
de l'organisation.
Étape 4: Maintenir l'évaluation des risques
T4-1: Surveiller les facteurs Assurer un contrôle continu des facteurs de risque qui
de risques contribuent aux changements dans le risque d'activités
de l'organisation et des biens, des personnes, des
organisations ou d'autres, de la Nation.
T4-2: Mettre a jours Mettre à jour l'évaluation des risques existant en
l’évaluation des risques utilisant les résultats de la surveillance continue des
facteurs de risque

41
Yosr Jarraya, ÉTS MGR850 - A12
 NIST: SP 800-30-R1
Modèle générique du risque avec les principaux facteurs de risque
Avec une probabilité Avec une Avec un
d’initiation probabilité de certain degré
succès

Source de Événement Impact

Initie Exploite Vulnérabilité Causant
menace de menace négatif
Avec leurs Avec séquence Avec sévérité avec le risque
caractéristiques d’actions, comme combinaison
(capacités, intentions, d’activités ou des d’Impact et de probabilité
Dans le contexte de
menaces ciblées) scénarios
Conditions produisant
Entrées de l'étape 1 sont dérivées du Pré-disposantes
cadre des risques organisationnels RISQUE D'ORGANISATION
Avec omniprésence
Pour les opérations de
l'organisation
(Stratégie de gestion des risques ou Contrôles de (mission, les fonctions,
approche) sécurité l'image, la réputation),
Influencent et modifient Planifiés et implémentés
les actifs de l'organisation,
des particuliers,
potentiellement les principaux de la Nation
facteurs de risque Avec efficacité
42
Yosr Jarraya, ÉTS MGR850 - A12
 Post Analyse de risque
Recommandations
Déterminer les moyens de contrôle à mettre en place
afin de réduire les risques identifiés à un niveau
acceptable en tenant compte des points suivants :

– Efficacité
– Compatibilité avec le système
– Impact sur les opérations
– Coûts
– Politique organisationnelle
– Loi et réglementation
43
Jean-Marc Robert, ÉTS MGR850- A12
 Post Analyse de risque
Atténuation des risques
• Il est impossible de réduire tous les risques à zéro.

• Ce qui est recherché:

La solution la moins coûteuse implémentant les

moyens de contrôle les plus appropriés, diminuant le
risque global auquel est exposé l’entreprise à un
niveau acceptable tout en minimisant l’impact
organisationnel.

44
Jean-Marc Robert, ÉTS MGR850- A12
 Post Analyse de risque
Face aux risques – Plusieurs attitudes

• Accepter les risques: Accepter les risques potentiels.

• Éviter les risques: Éliminer les sources de menaces, les
vulnérabilités ou les impacts.
• Limiter les risques:
– Réduire les risques en réduisant les impacts des exploits.
– Réduire les risques en cherchant les moyens de contrôle
pour corriger les vulnérabilités.
• Planification: Développer un plan hiérarchisant,
implémentant et maintenant les moyens de contrôle.
• Transférer les risques: Acheter une assurance.
45
Jean-Marc Robert, ÉTS MGR850- A12
 Post Analyse de risque
Quand déployer les moyens de contrôle?
• Lorsqu’une vulnérabilité existe.
– Mettre en place un moyen réduisant la probabilité qu’elle soit exploitée.
– Mettre en place les moyens de détection.
• Lorsqu’une vulnérabilité peut être exploitée.
– Mettre en place les moyens réduisant son impact ou prévenant son
utilisation.
– Mettre en place les moyens de détection.
• Lorsque le coût de l’attaquant est inférieur à son gain.
– Mettre en place les moyens afin de diminuer la motivation de l’attaquant
en augmentant son coût ou diminuant son gain.
• Lorsque la perte est trop grande.
– Mettre en place les moyens réduisant l’étendue de l’exploit, réduisant
ainsi la perte.

46
Jean-Marc Robert, ÉTS MGR850- A12
 Post Analyse de risque
Méthodes de contrôle
• Méthodes techniques
– Logiciel et matériel: contrôle d’accès, identification,
authentification, chiffrement, …

• Méthodes non techniques

– Politiques de sécurité, procédures opérationnelles, sécurité
du personnel, sécurité physique, …

47
Jean-Marc Robert, ÉTS MGR850- A12
 Post Analyse de risque
Méthodes de contrôle
• Prévenir les tentatives de violation des politiques de sécurité.
– Contrôle d’accès, chiffrement et authentification, systèmes de
prévention d’intrusions, …

• Détecter les tentatives (ou les réussites) de violation de

politiques de sécurité.
– Pistes de vérification (Audit trail) , systèmes de détection d’intrusions,
codes d’intégrité, …

• Réagir aux tentatives de violation de politiques de sécurité.

– Pare-feu bloquant le trafic malveillant, réseau de quarantaine, …

48
Jean-Marc Robert, ÉTS MGR850- A12
 Conclusion
• L’analyse de risque est le point de départ de n’importe quelle
solution de sécurité informatique.
• Permet d’identifier nos actifs informationnels et de
comprendre leur valeur et criticité.
• Permet d’identifier les risques potentiels, leurs vraisemblance
et la gravité de leur impact
• Permet de connaître les faiblesses et les forces de nos systèmes
et les besoin urgents (brèches à colmater, ..)
• La crédibilité de l’analyse dépend de la maitrise du domaine et
de la disponibilité de données réelles.
• Le risque est un facteur de l'environnement
• Les risques changent au fil du temps
49
Chamseddine Talhi, ÉTS MGR850- A12
 NIST: SP 800-30-R1
Identification des menaces

50
Jean-Marc Robert, ÉTS MGR850- A12
 NIST: SP 800-30-R1
Identification des menaces

51
Jean-Marc Robert, ÉTS MGR850- A12