Génie logiciel et des TI - Cours

Analyse de risque

Jean-Marc Robert

Génie logiciel et des TI

Jean-Marc Robert, ETS Analyse de risque - A08 2

Plan de la présentation

◼ Introduction – Rappel

◼ Les objectifs de l’analyse de risque

◼ Définitions

◼ NIST SP 800-30

❑ Évaluation des risques

❑ Atténuation des risques

❑ Évaluation et appréciation

◼ OWASP

◼ Conclusions


L’analyse de risque – le premier pas

◼ Définir les besoins.

❑ Déterminer les actifs à protéger et leurs propriétaires.◼ Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés?

❑ Déterminer les menaces représentant des risques.◼ Quels sont les acteurs – attaqueurs? Quels sont leurs motivations et leurs moyens?

❑ Déterminer les objectifs à atteindre.◼ Quelles sont les propriétés des actifs à protéger?

◼ Proposer une solution.

❑ Déterminer les contre-mesures à mettre en place.

◼ Évaluer les risques résiduels.

❑ Déterminer quelles sont les vulnérabilités toujours présentes.

❑ Déterminer leurs impacts sur les objectifs initiaux.


L’analyse de risque – schématiquement

Propriétaires

Contre-mesures

Actifs

Risques

MenacesAttaqueurs

désirant accéder à

représentant à

à

augmentant

désirant minimiser

tenant à

demandant

réduisant

Adapté de ISO/IEC 15408 – Common Criteria.


Objectif

◼ Avoir une meilleure protection des systèmes qui conservent,

traitent et transmettent les informations essentielles au bon

déroulement des affaires.

◼ Prendre de meilleures décisions basées sur des faits tangibles

et mesurables.

❑ Investissement en équipement, personnel, formation, …

Permettre à une organisation d’accomplir

sa mission.


Les définitions

◼ Vulnérabilité

❑ Défaut ou faiblesse d’un système dans sa conception, sa mise en

œuvre ou son contrôle interne pouvant mener à une faille de sécurité

ou à la violation de sa politique de sécurité.

❑ Une vulnérabilité peut être exploitée de façon accidentelle ou de façon

malicieuse.

◼ Menace

❑ Selon ISO une menace est la cause potentielle d'un incident indésirable,

qui peut nuire à un système ou à un organisme. En d’autres termes, nous

pouvons parler de Vol, de dénis de service, d’atteinte à l’intégrité, etc.

◼ Risque

❑ Impact sur la mission de l’entreprise.

❑ Dépends à la fois de la vraisemblance de la menace et de son impact

sur les actifs et les ressources.


NIST SP 800-30 – Objectif

◼ Décrire une méthodologie permettant de réaliser une analyse

de risque pour des systèmes des TI tenant compte du cycle de

développement de ces systèmes.

❑ Initiation

❑ Acquisition et développement

❑ Implémentation

❑ Opération et maintenance

❑ Élimination


NIST SP 800-30 – Trois grandes étapes

◼ Évaluation des risques

❑ Identification et évaluation des risques et de leurs impacts.

❑ Détermination des priorités de ces risques.

❑ Recommandation de contre-mesures.

◼ Atténuation des risques

❑ Classement par ordre de priorité des contre-mesures.

❑ Implémentation des contre-mesures.

◼ Évolution et évaluation

❑ Évaluation continue du système au cours de son évolution.


NIST SP 800-30 – Évaluation des risques

◼ Neuf étapes

❑ Caractérisation du système

❑ Identification des menaces

❑ Identification des vulnérabilités

❑ Analyse des fonctionnalités de sécurité

❑ Détermination de la vraisemblance

❑ Analyse des impacts

❑ Détermination des risques

❑ Recommandation des contre-mesures

❑ Documentation


Étape 1 – Caractérisation du système

◼ Définir les limites du système à évaluer

❑ Mission d’affaire

◼ Acteurs – usagers, administrateurs, …

◼ Actifs informationnels – criticité et sensitivité (intégrité, confidentialité et disponibilité)

◼ Exigence de sécurité

❑ Matériel

◼ Topologie, mécanismes de protection, …

❑ Logiciel

❑ Flots d’information

◼ Connectivité réseau

◼ Interfaces de programmation (API)

❑ Contrôle de gestion et Contrôle opérationnel

Évaluer la tâche à accomplir et les efforts requis.


Étape 1 – Information

◼ Questionnaires

◼ Entrevues

◼ Revue de la documentation

◼ Outils automatiques de balayage


Étape 2 – Identification des menaces

◼ Développer une liste des sources de menaces potentielles

contre le système des TI.

◼ Source de menace: Tout circonstance ou événement pouvant

potentiellement causer des dommages.

❑ Naturelle

◼ Inondations, tremblements de terre, tornades, …

❑ Environnementale

◼ Pollution, pannes électriques prolongées, fuites d’eau, …

❑ Humaine

◼ Erreurs humaines non intentionnelles

◼ Actions malicieuses

◼ Actions non malicieuses, mais cherchant à contourner une politique de sécurité

❑ Par exemple, une porte dérobée pour fin de débogage



◼ Une fois que les sources de menaces ont été identifiées, il faut

pouvoir évaluer:

❑ Leurs motivations

◼ Argent, terroristes, activistes, …

❑ Leurs moyens

◼ Monétaire, technologique, …

❑ Leurs aptitudes

◼ Novice, intermédiaire, expert, …



◼ Agences gouvernementales ou paragouvernementales

❑ FBI InfraGard (http://www.infragard.net/)

❑ US Computer Emergency Readiness Team (http://www.us-cert.gov/)

❑ CMU Software Engineering Institute CERT (www.cert.org)

◼ Organismes commerciaux

❑ SANS (http://www.sans.org/)

❑ SecurityFocus (http://www.securityfocus.com/)

❑ …

◼ Media

http://www.infragard.net/

http://www.us-cert.gov/

http://www.cert.org/

http://www.sans.org/

http://www.securityfocus.com/


Étape 3 – Identification des vulnérabilités

❑ Humain

◼ Personnel TI et usagers

❑ Politiques de sécurité

❑ Architecture

◼ IT, logiciel

❑ Implémentation

◼ IT, logiciel

❑ Déploiement

◼ IT, configuration logicielle

◼ Développer une liste des vulnérabilités pouvant être exploitées

par les diverses sources de menaces.

◼ Pour un système existant, l’identification des vulnérabilités

vérifie que les exigences de sécurité – définies à l’étape 1 –

sont satisfaites.

◼ Sources de vulnérabilités



◼ Agences gouvernementales ou paragouvernementales

❑ FBI InfraGard (http://www.infragard.net/)

❑ US Computer Emergency Readiness Team (http://www.us-cert.gov/)

❑ CMU Software Engineering Institute CERT (www.cert.org)

❑ US National Vulnerability Database (http://nvd.nist.gov/)

❑ Mitre, Common Vulnerabilities and Exposure (http://cve.mitre.org/cve/)

◼ Organismes commerciaux

❑ Sites des entreprises: Microsoft, Oracle, Symantec, …

❑ SANS (http://www.sans.org/)

❑ SecurityFocus (http://www.securityfocus.com/)◼ Bugtraq

◼ Outils de détection

❑ Nessus, Codenomicon, …

◼ Media

http://www.infragard.net/

http://www.us-cert.gov/

http://www.cert.org/

http://nvd.nist.gov/

http://cve.mitre.org/cve/

http://www.sans.org/

http://www.securityfocus.com/


Étape 4 – Analyse des fonctionnalités

◼ Développer une liste des fonctionnalités de sécurité existantes

ainsi que celle planifiées afin de réduire ou éliminer la

probabilité qu’une source de menaces puisse exploiter une

vulnérabilité.

◼ Une vulnérabilité a peu de chance d’être exploitée si et

seulement si

❑ Les sources de menaces sont peu motivées ou ont peu de moyens, ou

❑ Il existe un moyen de défense réussissant à diminuer l’exposition à cette

vulnérabilité.


Étape 4 – Méthodes de contrôle

◼ Méthodes techniques

❑ Logiciel et matériel: contrôle d’accès, identification, authentification,

chiffrement, …

◼ Méthodes non techniques

❑ Politiques de sécurité, procédures opérationnelles, sécurité du personnel,

sécurité physique, …


Étape 4 – Types de contrôle

◼ Prévenir les tentatives de violation de politiques de sécurité.

❑ Contrôle d’accès, chiffrement et authentification, systèmes de

prévention d’intrusions, …

◼ Détecter les tentatives (ou les réussites) de violation de

politiques de sécurité.

❑ Pistes de vérification (Audit trail) , systèmes de détection d’intrusions,

codes d’intégrité, …

◼ Réagir aux tentatives de violation de politiques de sécurité.

❑ Pare-feu bloquant le trafic malveillant, réseau de quarantaine, …


Étape 5 – Détermination de la vraisemblance

◼ La vraisemblance indique la probabilité qu’une vulnérabilité

soit exploitée par une source de menaces.

◼ Afin de déterminer la vraisemblance, il faut considérer les

points suivants:

❑ Les aptitudes et la motivation d’une source de menaces

❑ La nature de la vulnérabilité

❑ L’existence et l’efficacité d’un moyen de contrôle


Étape 5 – Détermination de la vraisemblance

Vraisemblance Définition

Haut La source de menaces est hautement motivée et possède tous

les moyens requis pour effectuer son attaque ET aucun

moyen de contrôle efficace n’est en place.

Moyen La source de menaces est motivée et possède les moyens

courants, MAIS des moyens de contrôle sont en place afin

de réduire l’impact de vulnérabilité.

Bas La source de menaces manque de motivation ou de moyen

OU il existe un moyen efficace afin de prévenir

l’exploitation de la vulnérabilité.


Étape 6 – Analyse des impacts

◼ Afin de déterminer l’impact d’un exploit réussi, il faut

considérer les points suivants:

❑ Mission du système

❑ Criticité du système et des données

❑ Sensitivité du système et des données

◼ L’impact d’un exploit se mesure sur les propriétés des actifs

❑ Intégrité

❑ Confidentialité

❑ Disponibilité



Quantitatif:

+ Permets de donner une priorité

aux risques basée sur des mesures

quantifiables (coûts, part de

marché, …)

– Le résultat doit être parfois

réinterprété de façon

qualitative

Qualitatif

– Subjectif et difficilement

comparable

◼ Rapport d’analyse d’impact sur les affaires.

◼ Analysant de façon quantitative et qualitative la criticité et

la sensitivité des différents actifs.



Impacts Définition

Haut L’exploitation d’une vulnérabilité (1) résulte par la perte

d’actifs ou de ressources de grande valeur; (2) cause un

préjudice importance à l’entreprise (mission, réputation, …)

Moyen L’exploitation d’une vulnérabilité (1) résulte par la perte

d’actifs ou de ressources coûteuses; (2) cause un préjudice à

l’entreprise (mission, réputation, …)

Bas L’exploitation d’une vulnérabilité (1) résulte par la perte

d’actifs ou de ressources; (2) affecte l’entreprise (mission,

réputation, …)


Étape 7 – Détermination des risques

◼ Déterminer le niveau de risque auquel le système est exposé.

◼ Pour chaque paire menace-vulnérabilité, le risque dépend de

❑ La vraisemblance que la source d’une menace tente l’exploit;

❑ L’ampleur de l’impact d’un tel exploit;

❑ L’aptitude des moyens de contrôle en place de limiter ou de prévenir un

tel exploit.



Impact

bas

(10)

Impact

moyen

(50)

Impact

haut

(100)

Vraisemblance

haute

1.0

BAS

10 x 1.0 = 10

MOYEN

50 x 1.0 = 50

HAUT

100 x 1.0 = 100

Vraisemblance

moyenne

0.5

BAS

10 x 0.5 = 5

MOYEN

50 x 0.5 = 25

MOYEN

100 x 0.5 = 50

Vraisemblance

basse

0.1

BAS

10 x 0.1 = 1

BAS

50 x 0.1 = 5

BAS

100 x 0.1 = 10



Risque Description et Action

Haut Méthodes correctives fortement requises. Un plan

d’intervention doit être mis en place de façon urgente.

Moyen Méthodes correctives requises. Un plan d’intervention doit

être mis en place dans un temps raisonnable.

Bas La personne responsable du système doit déterminer si des

actions correctives doivent être prises ou si le risque est

acceptable.


Étape 8 – Recommandations

◼ Déterminer les moyens de contrôle à mettre en place afin de

réduire les risques identifiés à un niveau acceptable en tenant

compte des points suivants :

❑ Efficacité

❑ Compatibilité avec le système

❑ Impact sur les opérations

❑ Coûts

❑ Politique organisationnelle

❑ Loi et réglementation


Étape 9 – Documentation

◼ Rapport décrivant

❑ Les menaces et leurs sources (moyen et motivation)

❑ Les vulnérabilités

❑ Les risques et leur priorité

❑ Les recommandations devant être mise en place

◼ Sommaire

❑ Décrivant les principaux points – les risques élevés


NIST SP 800-30 – Atténuation des risques

◼ Il est impossible de réduire tous les risques à zéro.

◼ Ce qui est recherché:

La solution la moins coûteuse implémentant les moyens de

contrôle les plus appropriés, diminuant le risque global

auquel est exposée l’entreprise à un niveau acceptable tout en

minimisant l’impact organisationnel.


Face aux risques – Plusieurs attitudes

◼ Accepter les risques: Accepter les risques potentiels.

◼ Éviter les risques: Éliminer les sources de menaces, les

vulnérabilités ou les impacts.

◼ Limiter les risques:

❑ Réduire les risques en réduisant les impacts des exploits.

❑ Réduire les risques en cherchant les moyens de contrôle pour corriger

les vulnérabilités.

◼ Planification: Développer un plan hiérarchisant,

implémentant et maintenant les moyens de contrôle.

◼ Transférer les risques: Acheter une assurance.

Jean-Marc Robert, ETS

OWASP

◼ https://www.owasp.org/index.php/OWASP_Risk_Rating_Met

hodology

◼ https://www.owasp-risk-rating.com/

Analyse de risque - A08 32

https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology

https://www.owasp-risk-rating.com/


Quand déployer les moyens de contrôle?

◼ Lorsqu’une vulnérabilité existe.

❑ Mettre en place un moyen réduisant la probabilité qu’elle soit exploitée.

❑ Mettre en place les moyens de détection.

◼ Lorsqu’une vulnérabilité peut être exploitée.

❑ Mettre en place les moyens réduisant son impact ou prévenant son utilisation.

❑ Mettre en place les moyens de détection.

◼ Lorsque le coût de l’attaquant est inférieur à son gain.

❑ Mettre en place les moyens afin de diminuer la motivation de l’attaquant en augmentant son coût ou diminuant son gain.

◼ Lorsque la perte est trop grande.

❑ Mettre en place les moyens réduisant l’étendue de l’exploit, réduisant ainsi la perte.


Comment déployer les moyens de contrôle?

◼ Sept étapes

❑ Hiérarchisation des actions en fonction du niveau de risque

❑ Évaluation des contrôles proposés lors de l’évaluation des risques

❑ Réalisation d’une analyse coût-bénéfice

❑ Choix des moyens de contrôle

❑ Assignation des responsabilités

❑ Développement d’un plan d’implémentation

❑ Implémentation des moyens de contrôle


Conclusions

◼ L’analyse de risque est une des plus importantes activités de la

sécurité informatique.

◼ Elle permet de répertorier tous les risques auxquels les actifs

critiques sont exposés et de les hiérarchiser.

◼ Cette analyse détermine ainsi quels risques devront être traités

avec priorité et quels risques seront acceptables sans aucune

intervention.


Supplémentaires



Source Motivation Actions

Pirate

(hacker, cracker)

◼Challenge

◼Ego

◼Rébellion

◼Piratage

◼Ingénierie sociale

Criminel informatique ◼Destruction d’information

◼Divulgation d’information

◼Altération d’information

◼Gain monétaire


◼Interception d’information

◼Intrusion de système

◼Chantage informatique

◼Cambriolage

◼Mystification (spoofing)

Terroriste ◼Destruction

◼Revanche

◼Idéologie

◼Bombe / terrorisme

◼Guerre de l’information

◼Attaque de systèmes (DDoS)

◼Intrusion de systèmes

◼Subordination de systèmes

(tampering)



Source Motivation Actions

Espionnage industriel ◼Avantage compétitif

◼Appât du gain



◼Vol d’information

Employé

◼Malformé

◼Négligent

◼Malveillant

◼Malhonnête

◼Congédié

◼Curiosité

◼Ego

◼Renseignement

◼Appât du gain

◼Revanche

◼Non intentionnel et omission

◼Code malveillant

❑Cheval de Troie, Bombe logique

◼Accès à de l’information privée

◼Utilisation d’ordinateur abusive

◼Fraude et vol

◼Vente d’information personnelle

◼Sabotage de système




Étape 1

Caractériser le système

◼ Matériel

◼ Logiciel

◼ Interfaces

◼ Actifs

◼ Acteurs

◼ Mission

◼ Frontières

◼ Fonctionnalités

◼ Criticité et sensitivité

− Système

− Données

Entrée Résultat

Étape 2

Identifier les menaces

◼ Évaluations

antérieures

◼ Audits et tests

◼ Exigences

de sécurité

◼ Liste des menaces

Étape 3

Identifier les vulnérabilités

◼ Historique

des attaques

◼ Bases de

connaissance

◼ Liste des vulnérabilités



Étape 4

Analyser les fonctionnalités


−Actuelles

− Prévues

◼ Liste des fonctionnalités

Entrée Résultat

Étape 5

Déterminer la vraisemblance

◼ Motivation

◼ Capacité

◼ Type de

vulnérabilités


◼ Estimation de la

vraisemblance

Étape 6

Analyser les impacts

(Intégrité, confidentialité

et disponibilité)

◼ Mission

◼ Actifs

◼ Criticité et sensi-

tivité des actifs

◼ Estimation des

impacts



Étape 7

Déterminer les risques


◼ Vraisemblance

des menaces

◼ Impacts

◼ Risques

◼ Niveaux de risque

Entrée Résultat

Étape 8

Recommander

des contre-mesures

◼ Liste des contre-mesures

Étape 9

Documentation◼ Rapport

Documents

Génie logiciel et des TI - Cours