Modéliser les menaces pour mieux faire face aux risques

Si les entreprises veulent être en mesure de se défendre contre les risques, elles doivent comprendre les menaces réelles auxquelles elles sont confrontées et les vulnérabilités que leurs adversaires sont susceptibles d'exploiter.

Pour cela, il n'y a pas de meilleure façon de le faire que par la modélisation des menaces.
Malheureusement, la réalité est que la plupart des entreprises non seulement ne modélisent pas les menaces, mais ne possèdent même pas les outils pour le faire : ils ne connaissent pas bien les données qu’ils possèdent, n’ont pas tenté d’en estimer la valeur, ne savent pas où celles-ci sont situées ni quels sont les systèmes qu’ils ont mis en place.

Une enquête mondiale de sécurité menée par PwC (PricewaterhouseCoopers) et CSO a révélé que seuls 17% des interrogés protègent l'utilisation commerciale de leurs données, tandis que 20% dédient des procédures à la protection de la propriété intellectuelle. Seulement 26 % inventorient ou mettent en place des outils de gestion de leurs actifs. Ces entreprises ne connaissent ainsi pas la nature et le nombre de systèmes au sein de leurs environnements et ne comprennent pas la sophistication des menaces visant leurs données.

Avant de modéliser les menaces, les entreprises doivent d’abord maîtriser les bases : prendre les mesures nécessaires pour quantifier les données et les systèmes en fonction de leur valeur et des risques qu’ils représentent pour l'entreprise s’ils se trouvent corrompus.

Ensuite, il s’agit de déterminer la valeur des différents types de données pour les concurrents et les attaquants potentiels. Quels types d'attaquants auraient intérêt à cibler votre entreprise ? Toute entreprise peut être la cible de concurrents ou de pirates visant des données. Une fois les données dérobées, cela entame la confiance de vos clients, atteint les applications et systèmes qui génèrent des revenus, fournit aux concurrents un aperçu du fonctionnement de votre entreprise, vide des comptes bancaires, etc.

D’autres types d'attaquants peuvent également toucher les entreprises, dont les extorqueurs, les attaquants d’un État-nation ou encore des hackers activistes, appelés « hacktivistes ». Pour sécuriser efficacement toute entreprise, il est essentiel que les équipes de sécurité comprennent comment ces différents types d'acteurs qui la ciblent et la menacent.

Il n’y a pas de sens de commencer à investir dans des dispositifs technologiques et de mettre en place des processus et défenses pour sécuriser les données et les systèmes avant que ces exercices soient réalisés au préalable.

Considérez la modélisation des menaces comme une carte pour orienter votre programme de sécurité, déterminer quels sont les risques menaçant vos actifs et savoir quels contrôles doivent être mis en place. Les entreprises qui ne modélisent pas les menaces courent le risque de ne pas investir correctement pour protéger leurs systèmes : investir trop ou mal et ne pas faire face correctement à la constante évolution des menaces.

Les applications ou systèmes doivent être examinés pour savoir comment ils fonctionnent, quelles sont les données qu'ils détiennent ou gèrent, comment les flux de trafic passent à travers eux, quelles sont les dépendances du système, comment les utilisateurs et les systèmes sont authentifiés et ainsi de suite. Est-ce que le système gère les données réglementées? Les données sont-elles de nature sensible pour vos affaires, partenaires ou clients en cas de vol ? Il est difficile de fournir des détails sur la façon de modéliser les menaces sans examiner un système ou une application spécifique. Voilà pourquoi vous trouverez ci-dessous tout ce que vous devez savoir sur la modélisation des menaces et par où commencer.

Une fois que la valeur et le risque courus par l'application ou le système sont compris, il est temps de regarder qui pourrait les cibler. Y a-t-il des données financières qui seraient une cible intéressante pour des pirates ? Y a-t-il des données qui pourraient être utilisées dans le cadre de vols d'identité ? Est-ce que les données (ou votre entreprise) sont une cible politique potentielle au regard de vos activités ? Les données que votre entreprise possède pourraient-elles être utilisées pour des attaques contre des partenaires ou des clients ? Il ne faut pas simplement penser qu’aux attaques et fraudes financières. De nombreux autres acteurs doivent être pris en compte.

Une fois que les besoins de l'application et de la sécurité ont été abordés, examinez l'application et le système à la recherche de vulnérabilités potentielles et de vecteurs d'attaque.

Il est ensuite temps de définir les contrôles de sécurité à mettre en place. Quels types de tests contre le système (vulnérabilité, logique, etc.) doivent être exécutés ? Quid du chiffrement, des types d'authentification et des moyens à mettre en œuvre pour simplifier le système ?

La modélisation des menaces a de plus en plus de succès ces derniers temps, mais ce n’est pas un concept nouveau pour certains marchés verticaux, tels que les banques, les services financiers ou encore dans les infrastructures et prestations de services essentiels critiques.

 

 

Voici quelques ressources supplémentaires pour la mise en place de la modélisation des menaces :

Beyond Continuous Monitoring: Threat Modeling for Real-time Response – Un document du SANS Institute sur la surveillance des menaces et l'intervention en temps réel.

 
OWASP Threat Risk Modeling – Un aperçu d'un certain nombre de modélisation des menaces par la fondation Open Web Application Security Project (OWASP).

The Microsoft Threat Analysis and Modeling tool – Selon Microsoft, cet permet aux organisations d'utiliser des informations connues, y compris les besoins de l'entreprise et l'architecture des applications, afin de définir un modèle de menace.

 
OCTAVE – Le CERT (Computer Emergency Response Team, un organisme d'alerte et de réaction aux attaques informatiques) du Software Engineering Institute de l'Université Carnegie Mellon.

Threat Modeling: Designing for Security  – Un ouvrage sur la modélisation des menaces, par Adam Shostack.