Les phases de la modélisation des menaces :

Conception : capturer toutes les exigences de votre système et créer un diagramme de flux de données .
Détection : appliquer un framework de modalisation des menaces au diagramme de flux de données et trouver
de problème de sécurité potentiels.
Correction : décider comment aborder chaque problème avec la combinaison de contrôles de sécurité
appropriée.
Vérification : vérifier que les exigences sont satisfaites.que les problèmes sont détectes et que contrôles de
sécurité sont implémente.
Threat modeling (modélisation des menaces) est une activité initialement technique, limitée aux
développements d’envergure, dans un contexte agile. L’objectif est de découvrir par une analyse simple les
points structurels, en risque vis-à vis de la sécurité de l’information, tant à la fois d’une architecture que d’un
système comme une application développée.
Threat modeling Tools
Creat a model : Ouvre un canevas vide pour que vous puissiez dessiner votre diagramme. Veillez à sélectionner
le modèle que vous souhaitez utiliser pour votre modèle.
Open A model : Ouvre des modèles de menaces précédemment enregistrés. La fonctionnalité Modèles
récemment ouverts est idéale si vous devez ouvrir vos fichiers les plus récents.
Create new template : Ouvre un modèle vide à générer. À moins d’avoir une connaissance approfondie de la
création de modèles à partir de rien, nous vous recommandons de
construire à partir de types existants.
Opne template : Ouvre des modèles existants pour vous permettre d’y apporter des modifications.
Modèle STRIDE
est un modèle de classification de Menaces (Threats) développé par Microsoft E qui classifie les
différents types de menaces et simplifie les conversations de sécurité globale.
s: pour Spoofing : l' usurpation d'identité qui permet à un attaquant de se faire passer pour un autre utilisateur
ou une autre machine.
T: pour Tampering : la modification de données ou de logiciels sur un système pour obtenir un avantage.
R : pour Répudiation : la négation de la participation à une transaction ou à une activité.
I : pour Information Disclosure : la divulgation non autorisée d'informations confidentielles ou sensibles.
D : Denial of Service (DoS) : l'indisponibilité des ressources d' un système ou d' un réseau pour les utilisateurs
légitimes.
E : Elevation of Privilege : l'élévation des privilèges pour obtenir un accès non autorisé à des ressources qui ne
sont normalement pas accessibles.
diagramme de flux de donnees :
DFD: représentation graphique du flux de donnees dans un SI.
AVANTAGE:
C’est une technique graphique simple et facile à comprendre.
Il peut être plus facilement compris par des publics techniques et non techniques. Il aide à décrire les limites du
système.
Il facilite la communication des connaissances système existantes aux utilisateurs finaux.
Éléments de DFD :
-Entités : la source et la destination des données d’information. sont représentées par des rectangles.
-Processus : Les activités et actions effectuées sur les données sont représentées par des rectangles circulaires
-Stockage de données : Il existe deux variantes de stockage de données. peut être représenté comme un
rectangle sans deux petits bords
-Flux de données : – le mouvement des données est représenté par des flèches pointues.
DFD niveau 0: Un diagramme de contexte montre une vue d’ensemble du système et comment il interagit avec
d’autres parties du « monde »
Le DFD de niveau 1 : présente une vue plus détaillée du système que le diagramme de contexte. En montrant
les principaux sous-processus et magasins de données qui composent le système.
Définir les scénarios de risques :
-La méthode qualitative : utilise des scénarios de risques qui sont construits en attribuant aux menaces,
vulnérabilités et impacts potentiels une échelle de valeur. Il s’agit de calculer un risque et de recommander des
mesures appropriées.
-La méthode quantitative : de l’analyse de risques fait appel aux instincts purement pécuniaires de l’entreprise,
puisqu’il s’agit d’attribuer une valeur monétaire à chaque composante du risque, ainsi qu’aux pertes
potentielles.
-Une PSSI : est traduite par l'élaboration d’un référentiel de sécurité pour une organisation. Il inclut
Essentiellement les objectifs et les règles de sécurité à appliquer .Une PSSI traite la sécurité de toutes les
activités et les informations sensibles d’une organisation. Elle couvre plusieurs catégories de la sécurité de
l’information : La sécurité des systèmes d'information ; La sécurité de la communication ; La sécurité physique ;
La sécurité organisationnelle.
La méthode EBIOS est une méthode d’analyse et d’évaluation des risques ; Elle a été définie par l’ANSSI, avec le
soutien du Club EBIOS. Elle décrit dans le détail la procédure à suivre pour dérouler une analyse des risques
(démarche et bonnes pratiques).
L'ISO / IEC 27005 fournit les lignes directrices pour l'établissement d'une approche systématique de la gestion
des risques liés à la sécurité de l'information laquelle est nécessaire pour identifier les besoins organisationnels
en matière de sécurité de l'information et pour créer un système efficace de management de la sécurité de
l'information
Lien entre l’ISO 27005 et EBIOS RM :
-EBIOS RM comme l’ISO 27005 présente une structuration de la notion de risque sécurité.
-Elle décrit des techniques pratiques pour permettre à ses utilisateurs d’appliquer le modèle décrit dans l’ISO
27005
Les modules de la méthode EBIOS :
1-étude du contexte :
-Définir le cadre de la gestion des risques.
-préparer les métriques.
-identifier les biens.
2-Etude des environnements redoutes :
-apprécier l’événement redoutes.
3-étude des scénarios des menaces:
-apprécier les scenarios de menaces.
4-étude des risques :
- apprécier les risques.
-identifier les objectifs de sécurité.
5-étude des mesures de sécurité :
-formalise les mesure de sécurité a mettre en œuvre.
EBIOS permet de :
Comprendre et évaluer les risques numériques ; valider le niveau acceptable des risques ; déterminer les
mesures d’atténuation qui conviennent le mieux ; mettre en place un plan d’action pour réduire les risques
numériques ; entrer dans une phase d’amélioration continue.
ATELIER EBIOS :
ATELIER 1 : Cadrage et socle de sécurité : important pour poser les bases d’une étude en définissant le cadre, les
objectifs et les participants.
ATELIER 2 : Sources de risque : consiste à identifier et catégoriser les sources de risques et leurs objectifs en lien
avec le périmètre étudié
ATELIER 3 : Scénarios stratégiques : consiste à cartographier la menace numérique en lien avec l’objet étudié et
à élaborer des scénarios stratégiques.
ATELIER 4 : Scénarios opérationnels : consiste à identifier les modes opératoires qui peuvent être utilisés pour
réaliser les scénarios stratégiques.
ATELIER 5 : Traitement du risque : a pour objectif de synthétiser les scénarios de risques identifiés lors des
ateliers précédents, afin de définir un plan d’amélioration continue de la sécurité (PACS)
programme de sensibilisation
- ANALYSE
Examinez clairement la culture de votre entreprise, le niveau de sécurité, la maturité, les publics cibles, la
motivation des employés, les objectifs stratégiques, les obligations de conformité et autres facteurs
- PLANIFICATION
Prenez des décisions stratégiques liées à la définition de vos campagnes — en particulier, les objectifs de
chaque campagne, vos plans de déploiement, votre plan de projet et votre plan de communication
- DÉPLOIEMENT
Préparez et lancez toutes les activités d’apprentissage et de communication que vous avez identifiées pour les
différentes campagnes de votre programme. Juste avant le lancement, effectuez des tests pilotes pour assurer
que la campagne se déroule correctement.
- MESURE
Utilisez les données et les indicateurs de performance clés pour évaluer le succès de votre campagne et
déterminer si les objectifs de votre programme sont atteints.
- OPTIMISATION
Comparez les objectifs de votre campagne avec les résultats et peaufiner les campagnes suivantes pour les
rendre encore plus percutantes.
les outils de sensibilisation ;
- Le kit de sensibilisation aux risques numériques est un ensemble d'outils et de ressources conçu pour informer
et éduquer les individus sur les dangers et les meilleures pratiques liés à l'utilisation des technologies
numériques. Il vise à promouvoir la sécurité en ligne, la protection de la vie privée et la prévention des
cyberattaques.
- WPAD, acronyme de "Web Proxy Autodiscovery Protocol" (protocole d'autodécouverte de proxy Web), est un
protocole de réseau utilisé pour permettre aux appareils de trouver automatiquement les serveurs proxy sur un
réseau local. Il est principalement utilisé dans les environnements d'entreprise pour simplifier la configuration
des paramètres de proxy sur les appareils des utilisateurs.and
Définir une attaque par phishing
Le phishing, ou hameçonnage, consiste à envoyer des emails malveillants conçus pour tromper et escroquer les
utilisateurs. L’objectif est souvent d’amener les utilisateurs à révéler des informations financières, des
informations d'identification du système ou d’autres données sensibles.
Caractéristiques de l’attaque phishing :
Sollicitation d’informations sensibles ; Utilisation d’un domaine différent ; Présence de liens dont le nom de
domaine ne correspond pas au domaine légitime ; Pièces jointes non sollicitées Message non personnalisé ;
Présence de fautes d’orthographe et de grammaire ; Volonté d’induire un sentiment de panique chez le
destinataire.
Gophish est un framework d’hameçonnage qui simplifie à l’extrême la simulation d’attaques de phishing
réelles.
Abordable – Gophish est un logiciel libre que tout le monde peut utiliser gratuitement.
Accessible – Gophish est écrit dans le langage de programmation Go. Cela présente l’avantage que les versions
de Gophish sont des binaires compilés sans dépendances. En un mot, cela rend l’installation aussi simple
-Types de phishing :
Spear phishing ;BEC ;Vishing. ; Pretexting ; phishing par email.
-Eléments de protection contre les attaques de phishing :
-Utiliser un logiciel antivirus et un pare-feu.
-Éviter de fournir des informations personnelles.
-Vérifier l'adresse de l'expéditeur.
Ne pas cliquer sur les liens suspects.
-Maintenir à jour vos logiciels