Vous êtes sur la page 1sur 19

Faculté des Sciences Économiques et de Gestion de Sfax

LA MODELISATION DES RISQUES


OWASP DREAD STRIDE CVSS
ÉLABORÉ PAR: Sondes Harizi
Plan
01 INTRODUCTION

02 OWASP

03 STRIDE

04 SYSTEME DE MODELISATION DU RISQUE

CVSS

05
06 conclusion
INTRODUCTION
Bienvenu!!
.
La modélisation des risques nous permet de mieux mesurer l’occurrence de certains événements mais elle ne nous permet pas
de les prédire avec exactitude. Dans ce travail de modélisation des risques, le choix des méthodes et techniques permettant la
construction du modèle, le choix de la méthode d’estimation et même le choix des données influencent directement et de façon
importante les réponses obtenues et, de ce fait et malgré l’apparence de rigueur, ces choix ne sont pas neutres.
Nous abordons ces différents aspects à travers quelques exemples
PROBLELMATIQUE

1 2 3
À Quoi Sert La Comment Modéliser Quels sont les
Modélisation des un Risque? Systèmes de la
Risques des Modélisation du
Menaces? Risque?
Les Valeurs Fondamentales
OWASP
OWASP (Open Web Application Security Project) est un guide de sécurisation des applications web, c'est un « ouvrage » de
référence des bonnes/mauvaises pratiques de développement, d'une base sérieuse en termes de statistiques, et d'un ensemble de ressources
amenant à une base de réflexion sur la sécurité..

Organisation internationale de Entité à but non lucratif qui Fournir des informations objectives,
concevoir, développer, acquérir, assure le succès à long terme pratiques et rentables sur la sécurité
exploiter et maintenir des du projet. des applications.
applications fiables. .
STRIDE
STRIDE est un système de classification utilisé pour aider à raisonner et à trouver des menaces pour un système. L'acronyme
STRIDE est formé à partir de la première lettre de chacune des catégories suivantes:

Spoofing de l'identité
de l'utilisateur Répudiation Déni de Service

Tampering Divulgation
d‘Informations Elevation de
Privilége
STRIDE
Spoofing de l'identité Usurpation d’Identité Répudiation
de l'utilisateur

L' usurpation d'identité est un Les utilisateurs peuvent Déterminer si l'application nécessite des
risque majeur pour les applications potentiellement modifier les données contrôles de non-répudiation, tels que des
qui comptent de nombreux qui leur sont fournies, les renvoyer journaux d'accès Web, des pistes d'audit à
utilisateurs, mais qui fournissent un et ainsi manipuler la validation côté chaque niveau ou le même contexte
contexte d'exécution unique au client, les résultats GET et POST, les utilisateur de haut en bas. De préférence,
niveau de l'application et de la base cookies, les en-têtes HTTP, ... l'application doit fonctionner avec les
de données. En particulier, les L'application ne doit pas envoyer de privilèges de l'utilisateur, pas plus, mais cela
utilisateurs ne devraient pas données à l'utilisateur. L'application peut ne pas être possible avec de nombreux
pouvoir devenir un autre utilisateur doit vérifier les données reçues de frameworks d'application standard.
ou assumer les attributs d'un autre l'utilisateur et valider qu'elles sont
utilisateur. saines et applicables avant de les
stocker ou de les utiliser.
STRIDE
Divulgation d’Information Déni de Service Élévation de
privilège

Les utilisateurs se méfient à juste titre de Les concepteurs d'applications Si une application fournit des rôles
la soumission de données privées à un doivent savoir que leurs applications utilisateur et administratif distincts, il est
système. S'il est possible pour un attaquant peuvent faire l'objet d'une attaque essentiel de s'assurer que l'utilisateur ne
de révéler publiquement des données par déni de service. Par conséquent, peut pas élever son rôle à un rôle de privilège
d'utilisateur en général, que ce soit l'utilisation de ressources coûteuses supérieur. En particulier, ne pas afficher les
anonymement ou en tant qu'utilisateur telles que les fichiers volumineux, liens de rôle privilégiés est insuffisant. Au
autorisé, il y aura une perte de confiance les calculs complexes, les recherches lieu de cela, toutes les actions devraient être
immédiate et une période importante de intensives ou les longues requêtes bloquées à travers une matrice d'autorisation,
perte de réputation. Par conséquent, les doit être réservée aux utilisateurs pour s'assurer que seuls les rôles autorisés
applications doivent inclure des contrôles authentifiés et autorisés, et non peuvent accéder aux fonctionnalités
stricts pour empêcher la falsification et disponible pour les utilisateurs privilégiées.
l'abus d'ID utilisateur. anonymes.
DREAD
DREAD est un système de classification permettant de quantifier, de comparer et de prioriser la quantité de risque présentée par chaque menace
évaluée. L'acronyme DREAD est formé à partir de la première lettre de chaque catégorie ci-dessous.
La modélisation DREAD influence la réflexion sur la détermination de la cote de risque et sert également directement à trier les risques.
L'algorithme DREAD, illustré ci-dessous, est utilisé pour calculer une valeur de risque, qui est une moyenne des cinq catégories.

DAMAGE

REPRODUCTIBILITE

EXPLOITABILITE

A UTILISATEURS FFECTED  

DISCOVERABILITY
DREAD
Risk_DREAD = ( D AMAGE + R EPRODUCTIBILITE + E XPLOITABILITE + A UTILISATEURS
FFECTED + D ISCOVERABILITY) / 5
Le calcul produit toujours un nombre entre 0 et 10; plus le nombre est élevé, plus le risque est sérieux.
Systèmes de Modélisation des Risques
des Menaces
OWASP reconnaît que l'adoption du processus de modélisation Microsoft peut ne pas
convenir à toutes les organisations. Si STRIDE et DREAD sont inacceptables pour une raison ou pour
une autre, OWASP recommande d’autres modèles de risque de menace discutés par rapport à une
application ou une conception existante. Cela permet à l’Entreprise de
déterminer quelle approche convient le mieux et d'adopter les outils de modélisation des
menaces les plus appropriés pour votre organisation.
L'exécution de la modélisation des risques menaces fournit un rendement beaucoup plus élevé.
Par conséquent, faites de la modélisation des risques de menace une priorité dans le processus de
conception d'application.
Systèmes de Modélisation des Risques
des Menaces
Le département américain de la sécurité intérieure (DHS) a créé le groupe de travail sur la
divulgation des vulnérabilités du NIAC, qui intègre les données de Cisco Systems, Symantec,
ISS, Qualys, Microsoft, CERT / CC et eBay.
L'un des résultats du groupe est le système commun de notation de vulnérabilité (CVSS).
CVSS

Dans le domaine de la sécurité informatique, Common Vulnerability


Scoring System (CVSS) est un système d'évaluation standardisé de la
criticité des vulnérabilités selon des critères objectifs et mesurables.
Cette évaluation est constituée de 3 mesures appelées métriques:
la métrique de base, la métrique temporelle et la métrique
environnementale.
CVSS: Avantages
Envoyer une notification à l’utilisateur indiquant que le produit
est vulnérable, et qu'il dispose d'une cote de gravité précise et
normalisée

le système de classement CVSS est utilisé pour établir des


classements de risques fiables, afin de garantir que les
éditeurs de logiciels prendront les exploits au sérieux, comme indiqué
par leur notation.

CVSS a été recommandé par le groupe de travail à l usage des


ministères du gouvernement des États-Unis.
CVSS: LIMITES

01 02 03 04
CVSS ne trouve pas ou ne CVSS est plus complexe Le classement des risques CVSS Le calcul du niveau de risque
réduit pas la surface d'attaque que STRIDE / DREAD, est complexe - une feuille de calcul du CVSS est assez lourd s'il
(c.-à-d. Les défauts de car il vise à calculer le est nécessaire pour calculer les est appliqué à un examen
conception), ou aide à risque de vulnérabilités composants de risque car approfondi du code, qui peut
énumérer les risques dans annoncées tel qu'il est l'hypothèse derrière CVSS est comporter 250 menaces de
n'importe quel code arbitraire, appliqué aux logiciels qu'une vulnérabilité spécifique a classement ou plus.
car c'est juste un système de déployés et aux facteurs été identifiée et annoncée, ou qu'un
notation, pas une méthodologie environnementaux. ver ou un cheval de Troie a été
de modélisation libéré ciblant un petit nombre de
vecteurs d'attaque.
CONCLUSION

La modélisation des menaces a de plus en plus de succès ces derniers temps, mais ce n’est
pas un concept nouveau pour certains marchés verticaux

le processus de modélisation des menaces (introduit par Microsoft) permet


d’identifier les actifs et créer une vue d'ensemble des architectures
Élaboré par: Sondes Harizi
2MP ASI - FSEGS