Académique Documents
Professionnel Documents
Culture Documents
Analyse de risques
Chamseddine Talhi
École de technologie supérieure (ÉTS)
Dép. Génie logiciel et des TI
1
Plan
• Motivations & contexte
• Objectif
• Méthode OWASP
• Méthode NIST
• Conclusion
2
Motivation & Contexte
Source: http://laststandonzombieisland.com/2012/09/04/situational-awareness-get-some/
4
Yosr Jarraya, ÉTS MGR850 - A12
Motivation & Contexte
• Les technologies de l'information sont
notre plus grande force et en même
temps, notre plus grande faiblesse ...
Dr. Ron Ross
Computer Security Division
Information Technology Laboratory
NIST
5
Yosr Jarraya, ÉTS MGR850 - A12
Motivation & Contexte
Analyse de Risque
Les questions à se poser:
• Quels sont les actifs à protéger, leurs valeurs et leurs
propriétés?
• Quelles sont les menaces, leurs motivations et leurs
moyens?
• Quelles sont les mesures de protection en place et
celles qui sont requises?
• Quelle est la vraisemblance qu’une vulnérabilité soit
exploitée par une source de menace?
• Quel est l’impact de cette menace sur les objectifs de
sécurité?
6
Yosr Jarraya, ÉTS MGR850 - A12
Motivation & Contexte
Crédibilité de l’analyse (incidents réels)
Instead of being concerned about what CAN happen
(theoretical scenarios), perhaps we should first be dealing
with what IS happening (analysis of real-world web
compromises)…
Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 8
Chamseddine Talhi, ÉTS MGR850- A12
Motivation & Contexte
Compiler des incidents réels - défis!
Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 9
Chamseddine Talhi, ÉTS MGR850- A12
Motivation & Contexte
Analyse de risques: Principes de base
Actifs à protéger:
o Valeurs: $$
o Importances: confidentiels, top secret , ..
o Propriétés: confidentialité, intégrité, disponibilité, ..
Menaces:
o Attaquants potentiels : amateurs, terroristes, états, concurrents, ..
o Scénarios d’attaques : déni de services, …
o Vulnérabilités exploitées: débordements de tableaux, …
Mesures de protection:
o Déjà en place: Menaces (vulnérabilités) couvertes
o Requis: Classés par priorité/urgence.
Évaluation de risques:
o Vraisemblance * impact
10
Chamseddine Talhi, ÉTS MGR850- A12
Objectif
• Comprendre les risques repérés lors du processus de
détermination des risques
12
Yosr Jarraya, ÉTS MGR850 - A12
Méthode OWASP
Risque = Vraisemblance * Impact
Source: http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
13
Yosr Jarraya, ÉTS MGR850 - A12
Méthode OWASP
Étape 1 : Identification du risque
Objectif: Identifier un risque pour la sécurité qui doit être évalué
• Entité menaçante
• Attaque
• Vulnérabilité
• Impact
16
Jean-Marc Robert, ÉTS MGR850- A12
Méthode OWASP
Étape 1 : Identification du risque
Cibles d’attaques
Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 17
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 1 : Identification du risque
Objectifs d’attaques
Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 18
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 1 : Identification du risque
Techniques d’attaques
Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 19
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 1 : Identification du risque
Vulnérabilités
exploitées
Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 20
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 2 : Estimation de la vraisemblance
Objectif: Estimer la probabilité d'une attaque réussie
lorsqu’effectuée par un groupe d’attaquant spossibles.
21
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 2 : Estimation de la vraisemblance
A- Facteurs en relation avec l’entité menaçante:
• Niveau de compétence: Pas de compétences (1) certaines compétences (3),
utilisateurs avancés de systèmes d’information (4), compétences réseaux et
logiciels (6), compétences de pénétration de sécurité (9)
• Motivation: Peu ou pas de récompenses (1), récompense possible (4), forte
rentabilité (9)
• Opportunités d’exploitation nécessitant: accès complet ou ressources très
coûteuses (0), des ressources et droits d’accès spéciaux (4), quelques
ressources et droits d’accès (7), aucun droit d’accès et aucune ressource (9)
• Nature de la communauté menaçante: développeurs (2), administrateurs
système (2), utilisateurs de l'intranet (4), partenaires (5), utilisateurs
authentifiés (6), Utilisateurs Internet (9)
22
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 2 : Estimation de la vraisemblance
B- Facteurs en relation avec la vulnérabilité:
23
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 2 : Estimation de la vraisemblance
Sources d’information
• Agences gouvernementales ou paragouvernementales
– FBI InfraGard (http://www.infragard.net/)
– US Computer Emergency Readiness Team (http://www.us-cert.gov/)
– CMU Software Engineering Institute CERT (www.cert.org)
– US National Vulnerability Database (http://nvd.nist.gov/ )
– Mitre, Common Vulnerabilities and Exposure (http://cve.mitre.org/cve/)
• Organismes commerciaux
– SANS (http://www.sans.org/)
– Sites des entreprises: Microsoft, Oracle, Symantec, …
– SecurityFocus (http://www.securityfocus.com/)
• Outils de détection
– Nessus, Codenomicon, …
• Media
24
Jean-Marc Robert, ÉTS MGR850- A12
Méthode OWASP
Étape 3 : Estimation de l’impact
Objectif: Estimer l’impact d'une attaque réussie lorsqu’effectuée
par un groupe d’attaquant spossibles.
27
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 4 : Évaluation de la gravité du risque
Niveaux de vraisemblance et d’impact
0 à <3 Faible
3 à <6 Moyen
6à9 Élevé
Étape 2
Étape 3
28
Chamseddine Talhi, ÉTS MGR850- H12
Méthode OWASP
Étape 4 : Évaluation de la gravité du risque
Gravité du risque
Vraisemblance
30
Yosr Jarraya, ÉTS MGR850 - A12
Méthodes Analyse de Risque
• EBIOS et MEHARI
– Deux méthodes françaises d’analyse des risques
relatives à la sécurité des systèmes d’information
– Conforme à l’ISO 31000, 27001 et 27005
31
Yosr Jarraya, ÉTS MGR850 - A12
Méthodes Analyse de Risque
• CRAMM - CCTA Risk Analysis and Management
Method (Conforme à ISO 27001)
– Créée en 1987 par “Central Computing and
Telecommunications Agency (CCTA) du government du
Royaume Uni.
– En cours d'utilisation par l'OTAN, les forces armées
néerlandaises, et les sociétés qui travaillent activement sur
la sécurité, comme Unisys et RAC
– Comprend trois étapes, chacune soutenue par
questionnaires, objectifs et des lignes directrices.
– Les deux premières étapes identifient et analysent les
risques pour le système. La troisième étape recommande
la façon dont ces risques doivent être gérés.
32
Yosr Jarraya, ÉTS MGR850 - A12
Méthodes Analyse de Risque
• EMR
– Méthodologie harmonisée d'évaluation des menaces et
des risques (EMR) développé par le Centre de la Sécurité
des Télécommunications Canada (CSTC)
– Depuis 2009, le CSTC est devenu l'organisme responsable
de l'élaboration et de la prestation des activités de
formation et de sensibilisation liées à la sécurité des TI
pour le gouvernement du Canada.
– Parmi les objectifs la flexibilité:
• EMR doit être extensible pour pouvoir être appliquée à tous
les biens, matériels et TI, grands et petits, suffisamment en
détail pour satisfaire aux objectifs opérationnels
33
Yosr Jarraya, ÉTS MGR850 - A12
Méthodes Analyse de Risque
• Federal Information Security Management Act
(FISMA)
– C’est une législation des Etats Unis qui définit un
cadre global pour protéger l'information du
gouvernement, les opérations et les actifs contre les
menaces naturelles ou artificielles. FISMA a été
signée dans le cadre de la Loi faisant partie du
gouvernement électronique de 2002.
• NIST Special Publication 800-30-Revision 1:
– Fournir des orientations pour l'évaluation des risques
des systèmes d'information et organismes fédéraux
des Etats Unis
34
Yosr Jarraya, ÉTS MGR850 - A12
Méthodes Analyse de Risque
• OCTAVE:
– Processus défini par le Software Engineering Institute
(SEI) de l’université Carnegie Mellon.
– L'objectif principal est d'aider les organisations à
améliorer leur capacité à gérer et à se protéger contre
les risques de sécurité de l'information.
• Phase 1 rassemble les connaissances sur les actifs
importants, les menaces et les stratégies de protection des
cadres supérieurs
• Phase 2 rassemble les connaissances des gestionnaires du
domaine opérationnel
• Phase 3 rassemble les connaissances du personnel
35
Yosr Jarraya, ÉTS MGR850 - A12
Méthodes Analyse de Risque
• The Facilitated Risk Analysis and Assessment
Process (FRAAP)
– Créée par Thomas Peltier
– FRAP utilise une méthodologie formelle d’analyse
qualitative des risques à l'aide de l’analyse des
vulnérabilités, l'analyse d'impact des risques, l'analyse
des menaces et des questionnaires.
36
Yosr Jarraya, ÉTS MGR850 - A12
NIST: SP 800-30-R1
Étape 1: Préparer l'évaluation du risque
Dérivé du cadre des risques organisationnels
Étape 3: Transmettre les résultats
37
Yosr Jarraya, ÉTS MGR850 - A12
NIST: SP 800-30-R1
Tache Description
Étape 1: Préparer l’évaluation de risque
T1-1: Identifier les objectifs Définir le but de l'évaluation des risques en termes
de l'information que l'évaluation vise à produire et
les décisions quel'évaluation est destinée à soutenir.
T1-2: Identifier le champ Déterminer la portée de l'évaluation des risques en
d’application termes d'applicabilité au niveau de l'organisation, le
calendrier pris en charge et les considérations
architecturales/technologiques
T1-3:Identifier les hypothèses Identifier les hypothèses et les contraintes
et les contraintes spécifiques dans lesquelles l'évaluation des risques
est menée.
T1-4: Identifier les sources Identifier les sources de descriptifs, de menaces, de
d’information vulnérabilités et de l'impact des informations à
utiliser dans l'évaluation des risques.
T1-5: Identifier le modèle de Identifier le modèle de risque et l'approche
risque et l’approche analytique analytique à utiliser dans l'évaluation des risques
38
Yosr Jarraya, ÉTS MGR850 - A12
NIST: SP 800-30-R1
Tache Description
Étape 2: Conduire l’évaluation des risques
T2-1: Identifier les sources des Identifier et caractériser les sources de menaces de
menaces préoccupation, y compris la capacité, l'intention et
les caractéristiques de ciblage pour les menaces
contradictoires et non-contradictoires.
T2-2: Identifier les événements Identifier les événements de menaces potentielles,
de menaces la pertinence des événements, et les sources de
menaces qui pourraient lancer les événements.
T2-3:Identifier les vulnérabilités Identifier les vulnérabilités et les conditions
et conditions prédisposantes prédisposantes qui influent sur la probabilité des
événements de menace et leur impacts négatifs
39
Yosr Jarraya, ÉTS MGR850 - A12
NIST: SP 800-30-R1
Tache Description
Étape 2: Conduire l’évaluation des risques (suite)
T2-4: Determiner la Déterminer la probabilité des événements de menace
vraisemblance en tenant compte: (i) des caractéristiques des sources
de menaces (ii) des vulnérabilités / conditions pré-
disposantes identifiées, et (iii) de la sensibilité
organisationnelle reflétant les garanties / contre-
mesures prévues ou mises en œuvre pour empêcher
de tels événements.
T2-5: Déterminer l’impact Déterminer les impacts négatifs des menaces, compte
tenu: (i) des caractéristiques des sources de menaces
(ii) des vulnérabilités / conditions pré-disposantes
identifiées, et (iii) de la vulnérabilité organisationnelle
reflétant les garanties / contre-mesures prévues ou
mises en œuvre pour empêcher de tels événements.
T2-6: Déterminer le risque Déterminer les risques pour l'organisation compte tenu
de: (i) l'impact qui en résulterait des événements, et (ii)
de la probabilité que les événements se produisent.
40
Yosr Jarraya, ÉTS MGR850 - A12
NIST: SP 800-30-R1
Tache Description
Étape 3: Communiquer et partager les résultats
T3-1:Communiquer les Communiquer les résultats d'évaluation des risques
résultats pour les décideurs organisationnels destinés à soutenir
les réponses aux risques.
T3-2: Partager les Partager les risques liés à l'information produite lors de
information sur le risque l'évaluation des risques avec le personnel compétent
de l'organisation.
Étape 4: Maintenir l'évaluation des risques
T4-1: Surveiller les facteurs Assurer un contrôle continu des facteurs de risque qui
de risques contribuent aux changements dans le risque d'activités
de l'organisation et des biens, des personnes, des
organisations ou d'autres, de la Nation.
T4-2: Mettre a jours Mettre à jour l'évaluation des risques existant en
l’évaluation des risques utilisant les résultats de la surveillance continue des
facteurs de risque
41
Yosr Jarraya, ÉTS MGR850 - A12
NIST: SP 800-30-R1
Modèle générique du risque avec les principaux facteurs de risque
Avec une probabilité Avec une Avec un
d’initiation probabilité de certain degré
succès
– Efficacité
– Compatibilité avec le système
– Impact sur les opérations
– Coûts
– Politique organisationnelle
– Loi et réglementation
43
Jean-Marc Robert, ÉTS MGR850- A12
Post Analyse de risque
Atténuation des risques
• Il est impossible de réduire tous les risques à zéro.
44
Jean-Marc Robert, ÉTS MGR850- A12
Post Analyse de risque
Face aux risques – Plusieurs attitudes
46
Jean-Marc Robert, ÉTS MGR850- A12
Post Analyse de risque
Méthodes de contrôle
• Méthodes techniques
– Logiciel et matériel: contrôle d’accès, identification,
authentification, chiffrement, …
47
Jean-Marc Robert, ÉTS MGR850- A12
Post Analyse de risque
Méthodes de contrôle
• Prévenir les tentatives de violation des politiques de sécurité.
– Contrôle d’accès, chiffrement et authentification, systèmes de
prévention d’intrusions, …
48
Jean-Marc Robert, ÉTS MGR850- A12
Conclusion
• L’analyse de risque est le point de départ de n’importe quelle
solution de sécurité informatique.
• Permet d’identifier nos actifs informationnels et de
comprendre leur valeur et criticité.
• Permet d’identifier les risques potentiels, leurs vraisemblance
et la gravité de leur impact
• Permet de connaître les faiblesses et les forces de nos systèmes
et les besoin urgents (brèches à colmater, ..)
• La crédibilité de l’analyse dépend de la maitrise du domaine et
de la disponibilité de données réelles.
• Le risque est un facteur de l'environnement
• Les risques changent au fil du temps
49
Chamseddine Talhi, ÉTS MGR850- A12
NIST: SP 800-30-R1
Identification des menaces
50
Jean-Marc Robert, ÉTS MGR850- A12
NIST: SP 800-30-R1
Identification des menaces
51
Jean-Marc Robert, ÉTS MGR850- A12