génie logiciel et des ti - cours
TRANSCRIPT
Jean-Marc Robert, ETS Analyse de risque - A08 2
Plan de la présentation
◼ Introduction – Rappel
◼ Les objectifs de l’analyse de risque
◼ Définitions
◼ NIST SP 800-30
❑ Évaluation des risques
❑ Atténuation des risques
❑ Évaluation et appréciation
◼ OWASP
◼ Conclusions
Jean-Marc Robert, ETS Analyse de risque - A08 3
L’analyse de risque – le premier pas
◼ Définir les besoins.
❑ Déterminer les actifs à protéger et leurs propriétaires.◼ Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés?
❑ Déterminer les menaces représentant des risques.◼ Quels sont les acteurs – attaqueurs? Quels sont leurs motivations et leurs moyens?
❑ Déterminer les objectifs à atteindre.◼ Quelles sont les propriétés des actifs à protéger?
◼ Proposer une solution.
❑ Déterminer les contre-mesures à mettre en place.
◼ Évaluer les risques résiduels.
❑ Déterminer quelles sont les vulnérabilités toujours présentes.
❑ Déterminer leurs impacts sur les objectifs initiaux.
Jean-Marc Robert, ETS Analyse de risque - A08 4
L’analyse de risque – schématiquement
Propriétaires
Contre-mesures
Actifs
Risques
MenacesAttaqueurs
désirant accéder à
représentant à
à
augmentant
désirant minimiser
tenant à
demandant
réduisant
Adapté de ISO/IEC 15408 – Common Criteria.
Jean-Marc Robert, ETS Analyse de risque - A08 5
Objectif
◼ Avoir une meilleure protection des systèmes qui conservent,
traitent et transmettent les informations essentielles au bon
déroulement des affaires.
◼ Prendre de meilleures décisions basées sur des faits tangibles
et mesurables.
❑ Investissement en équipement, personnel, formation, …
Permettre à une organisation d’accomplir
sa mission.
Jean-Marc Robert, ETS Analyse de risque - A08 6
Les définitions
◼ Vulnérabilité
❑ Défaut ou faiblesse d’un système dans sa conception, sa mise en
œuvre ou son contrôle interne pouvant mener à une faille de sécurité
ou à la violation de sa politique de sécurité.
❑ Une vulnérabilité peut être exploitée de façon accidentelle ou de façon
malicieuse.
◼ Menace
❑ Selon ISO une menace est la cause potentielle d'un incident indésirable,
qui peut nuire à un système ou à un organisme. En d’autres termes, nous
pouvons parler de Vol, de dénis de service, d’atteinte à l’intégrité, etc.
◼ Risque
❑ Impact sur la mission de l’entreprise.
❑ Dépends à la fois de la vraisemblance de la menace et de son impact
sur les actifs et les ressources.
Jean-Marc Robert, ETS Analyse de risque - A08 7
NIST SP 800-30 – Objectif
◼ Décrire une méthodologie permettant de réaliser une analyse
de risque pour des systèmes des TI tenant compte du cycle de
développement de ces systèmes.
❑ Initiation
❑ Acquisition et développement
❑ Implémentation
❑ Opération et maintenance
❑ Élimination
Jean-Marc Robert, ETS Analyse de risque - A08 8
NIST SP 800-30 – Trois grandes étapes
◼ Évaluation des risques
❑ Identification et évaluation des risques et de leurs impacts.
❑ Détermination des priorités de ces risques.
❑ Recommandation de contre-mesures.
◼ Atténuation des risques
❑ Classement par ordre de priorité des contre-mesures.
❑ Implémentation des contre-mesures.
◼ Évolution et évaluation
❑ Évaluation continue du système au cours de son évolution.
Jean-Marc Robert, ETS Analyse de risque - A08 9
NIST SP 800-30 – Évaluation des risques
◼ Neuf étapes
❑ Caractérisation du système
❑ Identification des menaces
❑ Identification des vulnérabilités
❑ Analyse des fonctionnalités de sécurité
❑ Détermination de la vraisemblance
❑ Analyse des impacts
❑ Détermination des risques
❑ Recommandation des contre-mesures
❑ Documentation
Jean-Marc Robert, ETS Analyse de risque - A08 10
Étape 1 – Caractérisation du système
◼ Définir les limites du système à évaluer
❑ Mission d’affaire
◼ Acteurs – usagers, administrateurs, …
◼ Actifs informationnels – criticité et sensitivité (intégrité, confidentialité et disponibilité)
◼ Exigence de sécurité
❑ Matériel
◼ Topologie, mécanismes de protection, …
❑ Logiciel
❑ Flots d’information
◼ Connectivité réseau
◼ Interfaces de programmation (API)
❑ Contrôle de gestion et Contrôle opérationnel
Évaluer la tâche à accomplir et les efforts requis.
Jean-Marc Robert, ETS Analyse de risque - A08 11
Étape 1 – Information
◼ Questionnaires
◼ Entrevues
◼ Revue de la documentation
◼ Outils automatiques de balayage
Jean-Marc Robert, ETS Analyse de risque - A08 12
Étape 2 – Identification des menaces
◼ Développer une liste des sources de menaces potentielles
contre le système des TI.
◼ Source de menace: Tout circonstance ou événement pouvant
potentiellement causer des dommages.
❑ Naturelle
◼ Inondations, tremblements de terre, tornades, …
❑ Environnementale
◼ Pollution, pannes électriques prolongées, fuites d’eau, …
❑ Humaine
◼ Erreurs humaines non intentionnelles
◼ Actions malicieuses
◼ Actions non malicieuses, mais cherchant à contourner une politique de sécurité
❑ Par exemple, une porte dérobée pour fin de débogage
Jean-Marc Robert, ETS Analyse de risque - A08 13
Étape 2 – Identification des menaces
◼ Une fois que les sources de menaces ont été identifiées, il faut
pouvoir évaluer:
❑ Leurs motivations
◼ Argent, terroristes, activistes, …
❑ Leurs moyens
◼ Monétaire, technologique, …
❑ Leurs aptitudes
◼ Novice, intermédiaire, expert, …
Jean-Marc Robert, ETS Analyse de risque - A08 14
Étape 2 – Information
◼ Agences gouvernementales ou paragouvernementales
❑ FBI InfraGard (http://www.infragard.net/)
❑ US Computer Emergency Readiness Team (http://www.us-cert.gov/)
❑ CMU Software Engineering Institute CERT (www.cert.org)
◼ Organismes commerciaux
❑ SANS (http://www.sans.org/)
❑ SecurityFocus (http://www.securityfocus.com/)
❑ …
◼ Media
Jean-Marc Robert, ETS Analyse de risque - A08 15
Étape 3 – Identification des vulnérabilités
❑ Humain
◼ Personnel TI et usagers
❑ Politiques de sécurité
❑ Architecture
◼ IT, logiciel
❑ Implémentation
◼ IT, logiciel
❑ Déploiement
◼ IT, configuration logicielle
◼ Développer une liste des vulnérabilités pouvant être exploitées
par les diverses sources de menaces.
◼ Pour un système existant, l’identification des vulnérabilités
vérifie que les exigences de sécurité – définies à l’étape 1 –
sont satisfaites.
◼ Sources de vulnérabilités
Jean-Marc Robert, ETS Analyse de risque - A08 16
Étape 3 – Information
◼ Agences gouvernementales ou paragouvernementales
❑ FBI InfraGard (http://www.infragard.net/)
❑ US Computer Emergency Readiness Team (http://www.us-cert.gov/)
❑ CMU Software Engineering Institute CERT (www.cert.org)
❑ US National Vulnerability Database (http://nvd.nist.gov/)
❑ Mitre, Common Vulnerabilities and Exposure (http://cve.mitre.org/cve/)
◼ Organismes commerciaux
❑ Sites des entreprises: Microsoft, Oracle, Symantec, …
❑ SANS (http://www.sans.org/)
❑ SecurityFocus (http://www.securityfocus.com/)◼ Bugtraq
◼ Outils de détection
❑ Nessus, Codenomicon, …
◼ Media
Jean-Marc Robert, ETS Analyse de risque - A08 17
Étape 4 – Analyse des fonctionnalités
◼ Développer une liste des fonctionnalités de sécurité existantes
ainsi que celle planifiées afin de réduire ou éliminer la
probabilité qu’une source de menaces puisse exploiter une
vulnérabilité.
◼ Une vulnérabilité a peu de chance d’être exploitée si et
seulement si
❑ Les sources de menaces sont peu motivées ou ont peu de moyens, ou
❑ Il existe un moyen de défense réussissant à diminuer l’exposition à cette
vulnérabilité.
Jean-Marc Robert, ETS Analyse de risque - A08 18
Étape 4 – Méthodes de contrôle
◼ Méthodes techniques
❑ Logiciel et matériel: contrôle d’accès, identification, authentification,
chiffrement, …
◼ Méthodes non techniques
❑ Politiques de sécurité, procédures opérationnelles, sécurité du personnel,
sécurité physique, …
Jean-Marc Robert, ETS Analyse de risque - A08 19
Étape 4 – Types de contrôle
◼ Prévenir les tentatives de violation de politiques de sécurité.
❑ Contrôle d’accès, chiffrement et authentification, systèmes de
prévention d’intrusions, …
◼ Détecter les tentatives (ou les réussites) de violation de
politiques de sécurité.
❑ Pistes de vérification (Audit trail) , systèmes de détection d’intrusions,
codes d’intégrité, …
◼ Réagir aux tentatives de violation de politiques de sécurité.
❑ Pare-feu bloquant le trafic malveillant, réseau de quarantaine, …
Jean-Marc Robert, ETS Analyse de risque - A08 20
Étape 5 – Détermination de la vraisemblance
◼ La vraisemblance indique la probabilité qu’une vulnérabilité
soit exploitée par une source de menaces.
◼ Afin de déterminer la vraisemblance, il faut considérer les
points suivants:
❑ Les aptitudes et la motivation d’une source de menaces
❑ La nature de la vulnérabilité
❑ L’existence et l’efficacité d’un moyen de contrôle
Jean-Marc Robert, ETS Analyse de risque - A08 21
Étape 5 – Détermination de la vraisemblance
Vraisemblance Définition
Haut La source de menaces est hautement motivée et possède tous
les moyens requis pour effectuer son attaque ET aucun
moyen de contrôle efficace n’est en place.
Moyen La source de menaces est motivée et possède les moyens
courants, MAIS des moyens de contrôle sont en place afin
de réduire l’impact de vulnérabilité.
Bas La source de menaces manque de motivation ou de moyen
OU il existe un moyen efficace afin de prévenir
l’exploitation de la vulnérabilité.
Jean-Marc Robert, ETS Analyse de risque - A08 22
Étape 6 – Analyse des impacts
◼ Afin de déterminer l’impact d’un exploit réussi, il faut
considérer les points suivants:
❑ Mission du système
❑ Criticité du système et des données
❑ Sensitivité du système et des données
◼ L’impact d’un exploit se mesure sur les propriétés des actifs
❑ Intégrité
❑ Confidentialité
❑ Disponibilité
Jean-Marc Robert, ETS Analyse de risque - A08 23
Étape 6 – Analyse des impacts
Quantitatif:
+ Permets de donner une priorité
aux risques basée sur des mesures
quantifiables (coûts, part de
marché, …)
– Le résultat doit être parfois
réinterprété de façon
qualitative
Qualitatif
– Subjectif et difficilement
comparable
◼ Rapport d’analyse d’impact sur les affaires.
◼ Analysant de façon quantitative et qualitative la criticité et
la sensitivité des différents actifs.
Jean-Marc Robert, ETS Analyse de risque - A08 24
Étape 6 – Analyse des impacts
Impacts Définition
Haut L’exploitation d’une vulnérabilité (1) résulte par la perte
d’actifs ou de ressources de grande valeur; (2) cause un
préjudice importance à l’entreprise (mission, réputation, …)
Moyen L’exploitation d’une vulnérabilité (1) résulte par la perte
d’actifs ou de ressources coûteuses; (2) cause un préjudice à
l’entreprise (mission, réputation, …)
Bas L’exploitation d’une vulnérabilité (1) résulte par la perte
d’actifs ou de ressources; (2) affecte l’entreprise (mission,
réputation, …)
Jean-Marc Robert, ETS Analyse de risque - A08 25
Étape 7 – Détermination des risques
◼ Déterminer le niveau de risque auquel le système est exposé.
◼ Pour chaque paire menace-vulnérabilité, le risque dépend de
❑ La vraisemblance que la source d’une menace tente l’exploit;
❑ L’ampleur de l’impact d’un tel exploit;
❑ L’aptitude des moyens de contrôle en place de limiter ou de prévenir un
tel exploit.
Jean-Marc Robert, ETS Analyse de risque - A08 26
Étape 7 – Détermination des risques
Impact
bas
(10)
Impact
moyen
(50)
Impact
haut
(100)
Vraisemblance
haute
1.0
BAS
10 x 1.0 = 10
MOYEN
50 x 1.0 = 50
HAUT
100 x 1.0 = 100
Vraisemblance
moyenne
0.5
BAS
10 x 0.5 = 5
MOYEN
50 x 0.5 = 25
MOYEN
100 x 0.5 = 50
Vraisemblance
basse
0.1
BAS
10 x 0.1 = 1
BAS
50 x 0.1 = 5
BAS
100 x 0.1 = 10
Jean-Marc Robert, ETS Analyse de risque - A08 27
Étape 7 – Détermination des risques
Risque Description et Action
Haut Méthodes correctives fortement requises. Un plan
d’intervention doit être mis en place de façon urgente.
Moyen Méthodes correctives requises. Un plan d’intervention doit
être mis en place dans un temps raisonnable.
Bas La personne responsable du système doit déterminer si des
actions correctives doivent être prises ou si le risque est
acceptable.
Jean-Marc Robert, ETS Analyse de risque - A08 28
Étape 8 – Recommandations
◼ Déterminer les moyens de contrôle à mettre en place afin de
réduire les risques identifiés à un niveau acceptable en tenant
compte des points suivants :
❑ Efficacité
❑ Compatibilité avec le système
❑ Impact sur les opérations
❑ Coûts
❑ Politique organisationnelle
❑ Loi et réglementation
Jean-Marc Robert, ETS Analyse de risque - A08 29
Étape 9 – Documentation
◼ Rapport décrivant
❑ Les menaces et leurs sources (moyen et motivation)
❑ Les vulnérabilités
❑ Les risques et leur priorité
❑ Les recommandations devant être mise en place
◼ Sommaire
❑ Décrivant les principaux points – les risques élevés
Jean-Marc Robert, ETS Analyse de risque - A08 30
NIST SP 800-30 – Atténuation des risques
◼ Il est impossible de réduire tous les risques à zéro.
◼ Ce qui est recherché:
La solution la moins coûteuse implémentant les moyens de
contrôle les plus appropriés, diminuant le risque global
auquel est exposée l’entreprise à un niveau acceptable tout en
minimisant l’impact organisationnel.
Jean-Marc Robert, ETS Analyse de risque - A08 31
Face aux risques – Plusieurs attitudes
◼ Accepter les risques: Accepter les risques potentiels.
◼ Éviter les risques: Éliminer les sources de menaces, les
vulnérabilités ou les impacts.
◼ Limiter les risques:
❑ Réduire les risques en réduisant les impacts des exploits.
❑ Réduire les risques en cherchant les moyens de contrôle pour corriger
les vulnérabilités.
◼ Planification: Développer un plan hiérarchisant,
implémentant et maintenant les moyens de contrôle.
◼ Transférer les risques: Acheter une assurance.
Jean-Marc Robert, ETS
OWASP
◼ https://www.owasp.org/index.php/OWASP_Risk_Rating_Met
hodology
◼ https://www.owasp-risk-rating.com/
Analyse de risque - A08 32
Jean-Marc Robert, ETS Analyse de risque - A08 33
Quand déployer les moyens de contrôle?
◼ Lorsqu’une vulnérabilité existe.
❑ Mettre en place un moyen réduisant la probabilité qu’elle soit exploitée.
❑ Mettre en place les moyens de détection.
◼ Lorsqu’une vulnérabilité peut être exploitée.
❑ Mettre en place les moyens réduisant son impact ou prévenant son utilisation.
❑ Mettre en place les moyens de détection.
◼ Lorsque le coût de l’attaquant est inférieur à son gain.
❑ Mettre en place les moyens afin de diminuer la motivation de l’attaquant en augmentant son coût ou diminuant son gain.
◼ Lorsque la perte est trop grande.
❑ Mettre en place les moyens réduisant l’étendue de l’exploit, réduisant ainsi la perte.
Jean-Marc Robert, ETS Analyse de risque - A08 34
Comment déployer les moyens de contrôle?
◼ Sept étapes
❑ Hiérarchisation des actions en fonction du niveau de risque
❑ Évaluation des contrôles proposés lors de l’évaluation des risques
❑ Réalisation d’une analyse coût-bénéfice
❑ Choix des moyens de contrôle
❑ Assignation des responsabilités
❑ Développement d’un plan d’implémentation
❑ Implémentation des moyens de contrôle
Jean-Marc Robert, ETS Analyse de risque - A08 35
Conclusions
◼ L’analyse de risque est une des plus importantes activités de la
sécurité informatique.
◼ Elle permet de répertorier tous les risques auxquels les actifs
critiques sont exposés et de les hiérarchiser.
◼ Cette analyse détermine ainsi quels risques devront être traités
avec priorité et quels risques seront acceptables sans aucune
intervention.
Jean-Marc Robert, ETS Analyse de risque - A08 37
Étape 2 – Identification des menaces
Source Motivation Actions
Pirate
(hacker, cracker)
◼Challenge
◼Ego
◼Rébellion
◼Piratage
◼Ingénierie sociale
Criminel informatique ◼Destruction d’information
◼Divulgation d’information
◼Altération d’information
◼Gain monétaire
◼Ingénierie sociale
◼Interception d’information
◼Intrusion de système
◼Chantage informatique
◼Cambriolage
◼Mystification (spoofing)
Terroriste ◼Destruction
◼Revanche
◼Idéologie
◼Bombe / terrorisme
◼Guerre de l’information
◼Attaque de systèmes (DDoS)
◼Intrusion de systèmes
◼Subordination de systèmes
(tampering)
Jean-Marc Robert, ETS Analyse de risque - A08 38
Étape 2 – Identification des menaces
Source Motivation Actions
Espionnage industriel ◼Avantage compétitif
◼Appât du gain
◼Ingénierie sociale
◼Intrusion de système
◼Vol d’information
Employé
◼Malformé
◼Négligent
◼Malveillant
◼Malhonnête
◼Congédié
◼Curiosité
◼Ego
◼Renseignement
◼Appât du gain
◼Revanche
◼Non intentionnel et omission
◼Code malveillant
❑Cheval de Troie, Bombe logique
◼Accès à de l’information privée
◼Utilisation d’ordinateur abusive
◼Fraude et vol
◼Vente d’information personnelle
◼Sabotage de système
◼Intrusion de système
Jean-Marc Robert, ETS Analyse de risque - A08 39
NIST SP 800-30 – Évaluation des risques
Étape 1
Caractériser le système
◼ Matériel
◼ Logiciel
◼ Interfaces
◼ Actifs
◼ Acteurs
◼ Mission
◼ Frontières
◼ Fonctionnalités
◼ Criticité et sensitivité
− Système
− Données
Entrée Résultat
Étape 2
Identifier les menaces
◼ Évaluations
antérieures
◼ Audits et tests
◼ Exigences
de sécurité
◼ Liste des menaces
Étape 3
Identifier les vulnérabilités
◼ Historique
des attaques
◼ Bases de
connaissance
◼ Liste des vulnérabilités
Jean-Marc Robert, ETS Analyse de risque - A08 40
NIST SP 800-30 – Évaluation des risques
Étape 4
Analyser les fonctionnalités
◼ Fonctionnalités
−Actuelles
− Prévues
◼ Liste des fonctionnalités
Entrée Résultat
Étape 5
Déterminer la vraisemblance
◼ Motivation
◼ Capacité
◼ Type de
vulnérabilités
◼ Fonctionnalités
◼ Estimation de la
vraisemblance
Étape 6
Analyser les impacts
(Intégrité, confidentialité
et disponibilité)
◼ Mission
◼ Actifs
◼ Criticité et sensi-
tivité des actifs
◼ Estimation des
impacts
Jean-Marc Robert, ETS Analyse de risque - A08 41
NIST SP 800-30 – Évaluation des risques
Étape 7
Déterminer les risques
◼ Fonctionnalités
◼ Vraisemblance
des menaces
◼ Impacts
◼ Risques
◼ Niveaux de risque
Entrée Résultat
Étape 8
Recommander
des contre-mesures
◼ Liste des contre-mesures
Étape 9
Documentation◼ Rapport