Gestion Des Risque Et Modélisation

Avec le soutien de Wallonie-Bruxelles International
SCURIT: UNE DMARCHE INTGRE

Prof. Jean-Nol Colin jean-noel.colin@fundp.ac.be
Agenda
2
Introduction Gestion des risques Modlisation des menaces Arbres dattaques
Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009
Introduction
Introduction
4
Ncessit dune dmarche

Structure Documente
Pour garantir
Compltude Validit Prennit
Introduction
5
Diffrents niveaux
Niveau
organisation Niveau systme Niveau composant
Diffrents degrs de dtail Diffrents types de conclusion
Organisationnels Techniques
Gestion des risques
Gestion des risques

7
Objectifs de la dmarche
Comprendre Identifier Evaluer Dcider Planifier Prioritiser Ragir Communiquer
Etablir un rfrentiel
Gestion des risques

8
Processus continu
R-valuation
de la situation et des choix
Processus itratif
Du
systme au composant
Nombreuses mthodes danalyse de risques

Plus
ou moins complexes Octave, CRAMM, EBIOS, Mehari
Gestion des risques

9
Standardisation de la dmarche: ISO 27000 Technologies de l'information -- Techniques de scurit

27000
(2009): Systmes de management de la scurit de l'information -- Vue d'ensemble et vocabulaire 27001 (2005): Systmes de management de la scurit de l'information Exigences 27002 (2005): Code de bonne pratique pour le management de la scurit de l'information 27005 (2008): Management du risque de la scurit de l'information 27006 (2007): Exigences pour les organismes procdant l'audit et la certification des systmes de management de la scurit de l'information
Gestion des risques

10
Quelques dfinitions (ISO 27000)

Actif
(asset): tout lment ayant une valeur pour lorganisation Vulnrabilit (vulnerability): faille du systme pouvant tre exploite par une menace Menace (threat): cause dun incident pouvant conduire la mise en danger de la scurit dun actif Risque (risk): probabilit de lexploitation dune vulnrabilit par une menace portant atteinte un actif
Gestion des risques

11
Quelques dfinitions (ISO 27000)

Analyse
de risque: identification systmatique des risques pesant sur le SI Estimation du risque: assignation dune mtrique la probabilit et limpact du risque valuation de risque: comparaison de lestimation du risque avec les critres dfinis par la politique de scurit
Gestion des risques

12
Une vulnrabilit provient

Dune
Pas
contre-mesure manquante
dencryption Pas de contrle daccs

Dune De
contre-mesure faible ou dfectueuse

cryptographique faible
Algorithme
la mconnaissance dune contre-mesure
Mauvaise
utilisation dencryption Pas dencodage des donnes
Gestion des risques

13
Processus de gestion des risques

Apprciation du risque Analyse de risque Identification du contexte Identification du risque Estimation du risque Evaluation du risque
Suivi et rvaluation
Acceptation du risque
Traitement du risque
Communication du risque
Gestion des risques

14
Identification du contexte
Dcrit
le but du processus de gestion des risques Dfinition des critres

Evaluation
du risque de limpact
Dpendent de: valeur des processus, des actifs, conformit lgale, proprits de scurit (confidentialit, intgrit, disponibilit)
Evaluation
Dfinit une chelle Dpendent de: perte encourue, image, non-conformit avec la loi, violation de contrat, degr de classification des actifs impacts
Acceptation
du risque
Lie aux objectifs et politiques de lorganisation Dpendent de: objectifs business, aspects lgaux, technologiques, financiers
Gestion des risques

15
Identification du contexte
Dfinition
Lis
de lobjet et du primtre
aux objectifs de lorganisation, sa structure, aux processus, au contexte socio-culturel, lenvironnement lgal Ex. dobjet: application, infrastructure, processus, organisation
Organisation
Rles
mise en place pour la gestion des risques
et responsabilits Procdures de communication et descalation
Gestion des risques

16
Identification du risque
Objectif: comprendre ce qui pourrait causer un dommage lobjet de lanalyse Identification des actifs
Actifs primaires

Processus, information, connaissance Infrastructure, logiciel, site, personnel
Actifs secondaires Attribution dun propritaire
Identification des menaces

partir de listes existantes, de rapports dincidents, davis dexperts Typologie de menaces Source des menaces
Gestion des risques

17
Identification du risque
Identification
Diffrents
des mesures dj en place Identification des vulnrabilits

niveaux: environnement, personnel, procdures, matriel, logiciel, tiers Rsultat: liste de vulnrabilits en lien avec les actifs et menaces
Identification
Financires,
des consquences
rputation, temps (rparation, indisponibilit) Rsultat: liste des incidents et leurs consquences
Gestion des risques

18
Estimation du risque
Deux
facteurs
Impact Probabilit
Mthodes
Qualitative
Par ex: Bas, moyen, lev ou chelle 1-10 Facile comprendre mais subjectif
Quantitative
Valeurs numriques, drives de modles ou donnes antrieures Difficile dobtenir des valeurs ralistes
Gestion des risques

19
Estimation du risque
Haut Moyen Probabilit Bas

Approche simplifie
Impact 1 1 2 3 4
Approche semi-quantitative
Gestion des risques

20
Evaluation du risque
Classification
des risques daprs leur valuation compare avec les critres dvaluation et dacceptation dfinis dans le contexte Dtermine
Si
action doit tre prise Priorit de traitement
Gestion des risques

21
Traitement du risque
Dpend
du rapport cot/bnfice Diffrents types:

Acceptation
du risque Rduction du risque Transfert du risque Refus du risque
Risques rsiduels
Gestion des risques

22
Types de contre-mesures (ISO 27005)

Correction Elimination Prvention Minimisation Dtection Reprise
de limpact
sur incident Surveillance Education

Gestion des risques

23
Acceptation (formelle) du risque

Validation
par le management des contrles slectionns et des risques rsiduels
Communication du risque
Objectif:
sassurer que toutes les parties sont informes et communiquent quant aux dcisions prises Communication bi-directionnelle
Gestion des risques

24
Suivi et r-valuation
Les
risques ne sont pas statiques: objectifs, contexte, actifs, menaces, vulnrabilits voluent
Apparition/disparition
Ncessit
de r-valuer rgulirement le contexte, les processus et contrles en place
Gestion des risques

25
Etablissement dun modle du domaine de la gestion des risques

Thse
de doctorat de N. Mayer (Avril 2009) Alignement des concepts, relations et mtriques tirs dune revue approfondie de ltat de lart
Standards
en gestion de risques Standards lis la scurit IT Standards lis la getion des risques de scurit Mthodes de gestions de risques Mthodes de gestion de la scurit en RE
Gestion des risques

26
Rsultat
tablissement
Meilleure
dune terminologie commune
communication
Extensible
et volutif Intgration avec dautres approches

Langages
de modlisation orients scurit
Gestion des risques

27
Mthode QuickWin
28
3 tapes
Mesure
de limportance du systme
Mesure
par les consquences subies par lorganisation en cas de dfaut de disponibilit, confidentialit, intgrit et preuve
Evaluation
des menaces et vulnrabilits Elaboration des mesures de scurit Evaluation du risque rsiduel, validation et dcision
Mthode QuickWin
29
Mtrique
Nature des consquences Gravit Classification (C) (Diffusion restreinte)
dvaluation des risques

Pertes financires (F) <1MEUR Juridique (J) Image du service public (I) Plaintes occasionnelles Social et humain (S) Divulgation de donnes personnelles peu sensibles Atteinte passagre la rputation Atteinte srieuse lintgrit ou la rputation Perte de vie humaine/atteinte grave la rputation Autres (X)
Ordre Public (O) Perturbation locale et momentane Menace pour lordre public Difficult maintenir lordre public Ordre public gravement en pril
Sanctions internes
confidentiel
1-10MEUR
Actions en justice Condamnation de lautorit Condamnation internationale de lautorit
Critiques occasionnelles dans les mdias Critiques graves dans les mdias Altration dfinitive
secret
10-100MEU R > 100MEUR
Trs secret
Mthode QuickWin
30
Mesure de limportance du systme

C O Nature des consquences F J I S Max X < 5min 5 min 1h 1j 1sem 1sem 1 mois > 1 mois
Disponibilit Indisponibilit
Intgrit Corruption accidentelle Corruption volontaire Perte de transaction 1 10 100 1000 10000
Confidentialit Divulgation hors des personnes autorises Preuve Caractre non-probant des enregistrements Scurit et gestion des identits dans les applications Web, Jean-Nol Colin, 2009
Mthode QuickWin
31
Evaluation des menaces et vulnrabilits

C O Nature des consquences F J I S Max X
Matriel Logiciel Rseau Personnel Site Organisation
Exemples:
Matriel

Vulnrabilit: stockage non protg Menace: Vol de media ou de documents Vulnrabilit: GUI complexe Menace: Mauvaise manipulation Vulnrabilit: Manque de formation Menace: Mauvaise manipulation
Logiciel

Personnel

Mthode QuickWin
32
Elaboration des mesures

Maximiser
la scurit par rapport au cot des mesures Mesures de base

Mthodologies,
processus
Mesures
spcifiques
le risque valu aux tapes 1 & 2
Daprs Mode
Caractrises
par:
daction: prvention ou protection Localisation: technique ou humaine Cot: initial et rcurrent Impact sur les facteurs de scurit
Mthode QuickWin
33
Evaluation du risque rsiduel

Sur
base de la mesure de limportance du systme et de limpact des mesures prises de la qualit des solutions tablies et itration du processus si ncessaire
Monitoring
Suivi
Gestion des risques

34
Conclusion
Gestion
des risques permet
Approche
stratgique Objectivation de la perception du risque Prioritisation des actions Constitution dun rfrentiel
Approche
non-triviale
ncessaires
Subjective Ressources
35
Modlisation des menaces

36
Mthode dapprciation et de documentation des risques lis une application

Centr
sur le logiciel
Etablissement dun document (modle de menaces)

Base
pour les spcifications de scurit Base pour les tests de scurit
Partie intgrante du processus de dveloppement Propose par Microsoft

37
Objectifs
Anticiper les menaces (attack goal) Comprhension des menaces portant sur le systme Support un design et une implmentation sre Dcouverte des vulnrabilits Fournir linformation de base pour la gestion de la scurit de lapplication (design et testing)
Objet
Application Web, Serveur, Classe
Hypothses de base
Lattaquant dispose dun moyen dinteragir avec le systme Le systme contient des actifs dintrt pour lattaquant

38
Profil de menaces du systme

Ensemble
des menaces dcouvertes Espace des problmes Ensemble des buts de ladversaire que le systme doit contrer Ensemble des spcifications de scurit du systme

39
Processus de modlisation
Comprendre la vue de ladversaire Points dentre Dfinir la scurit du systme Scnarios dutilisation Identification des menaces Actifs Hypothses et dpendances Dterminer les menaces
Niveaux de confiance
Modle du systme
Analyse des menaces/ vulnrabilits

40
Etape 1: Comprendre la vue de ladversaire

Ncessite
Points
une approche systmatique Base sur la connaissance de

dentre de lapplication Actifs de lapplication Niveaux de confiance et privilges
Utilise
une approche flux de donnes (Data Flow Diagram)

41
Point dentre
Point dinterface du systme Permet ladversaire dinteragir avec le systme
point dattaque
Exemple:
Port dcoute du serveur Page du site (jsp, asp) Fichier de configuration
Point de sortie
Divulgation dinformation, prparation dautres types dattaque, XSS
Description: Id, nom, description, privilges (niveaux de confiance)

42
Actif
Objectif
de ladversaire Diffrents types:

Matriel Logiciel Donne,
information Rputation Scurit

Exemple:
DB
de cartes de crdit, fichier clients, disponibilit du site
Description:
Id, nom, description, privilges

43
Privilge (niveau de confiance)

Dfinit
Plus
des groupes ou rles Permet de prioritiser les points dentre

anonyme plus dadversaires potentiels
Description: Exemples
Utilisateur
Id, nom, description
anonyme, utilisateur authentifi, diteur du site, administrateur du site

44
Etape 2: modliser lapplication pour

Dfinir
le cadre dintrt Collecter linformation ncessaire Supporter llaboration du modle de menaces
Deux tapes
Dfinition
du contexte Modlisation de lapplication

45
Dfinition du contexte
Scnarios
dutilisations
Dfinissent
les modes dutilisation pour lesquels le systme est prvu ou nest pas prvu Concernent aussi le dploiement
Par ex. la connexion entre le serveur web et le serveur DB a lieu sur un lien scuris
Permettent
de limiter lanalyse en dcrivant les cas qui sont considrs et ceux qui ne le sont pas
Dpendances
Hypothses
vis vis de composants externes
sur les changes et interactions avec des composants externes au systme

46
Dfinition du contexte
Notes
de scurit externe
Information
de scurit pour les tiers (utilisateurs, systmes) concernant le systme Par ex. pas de gestion de la qualit des mots de passe. Ceci est donc laiss lutilisateur
Notes
de scurit interne
des choix dans la conception du systme
Description
Hypothses
dimplmentation

47
Modlisation du systme
Diagramme
Processus Processus
de Flux de Donnes (DFD)
multiple: composition de processus Entit externe Stockage de donnes Flux de donnes Limite de privilges
Hirarchie
de diagrammes Offre une vue densemble du systme


48
Exemple de DFD
SMTP Server LDAP Server Envoi message JMS Rception message JMS Application Server Invocation Web Service Rponse Web Service DB Server
Client
Config. & Fichiers .ear
Stockage DB

49
Etape 3: dtermination des menaces et vulnrabilits

Identification
des mcanismes par lesquels un adversaire cherche porter atteinte la scurit dun actif Menace lie un ou plusieurs actifs (= cible) Diffrents points de dpart
Vulnrabilit Liste
connue
dactifs

50
Classification des menaces: STRIDE

Usurpation
d'identit (Spoofing) Falsification de donnes (Tampering) Rpudiation Divulgation d'informations (Information leakage) Refus de service (Denial of Service) lvation du privilge (Elevation of privilege)

51
Exemple de menace
Adversaire
obtient des credentials valides pour le
website
Classification:
STIE Actifs impacts: liste des utilisateurs, confidentialit du systme Points dentre: site web

52
Identification des vulnrabilits

Dcomposition
dune menace en arbre de conditions Vrification de la ralisabilit de la condition Une vulnrabilit existe sil existe un chemin entre une feuille et la racine sans contre-mesure
Menace
Condition 1 Condition traite Condition non-traite Condition 2 Condition 3
et
Condition 2.1 Condition 2.2 Condition 3.1 Condition 3.2

53
Classification des vulnrabilits: DREAD

5
critres
Potentiel
dimpact (Damage Potential) Reproductibilit Exploitabilit Nombre dutilisateurs affects (Affected Users) Probabilit de dcouverte (Discoverability)
Assignation
Range
dune valeur numrique chaque critre
limit (typiquement 3-5)

54
Dfinit le profil de menace du systme Permet de guider le dveloppement et le test En perptuelle volution
55
Arbres dattaques (attack tree)
Arbres dattaques
56
Technique propose par Bruce Schneier dans Dr. Dobb's Journal en dcembre 1999
Pour
modliser des attaques et leurs conditions doccurrence Dcomposition du but de lattaque en sous-buts ou conditions Dcomposition rcursive Noeuds dun mme niveau lis par ET ou OU
Arbres dattaques
57
Exemple (incomplet)
Accs section administrative
Obtenir credentials dun admin ET Social engineering
Rcuprer une session non ferme
Exploiter une faille dans lapplication
Obtenir username
Obtenir mot de passe
Message erreur
Brute force
Brute force
Attaque dictionnaire
Ecoute rseau
Arbres dattaques
58
Complter larbre
Assigner
une valeur aux nuds
Numrique,
boolenne Possible/Impossible: un nud OU est possible si au moins 1 de ses fils lest; un nud ET est possible si tous ses fils le sont Cot: le cot dun nud OU est le min du cot de ses fils; le cot dun nud ET est la somme du cot de ses fils Difficult
Permet
Quel
de raisonner sur la scurit du systme
est le cot dune attaque? Quel est le chemin dattaque le plus probable?
Conclusion
59
Mthodes structures, applicables diffrents niveaux Vraiment applicable?
Oui
et non Ncessit de trouver un compromis entre le cot et le bnfice Ncessit dallouer les ressources ncessaires Ncessit dune culture de la scurit et de gestion du risque

Gestion Des Risque Et Modélisation

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gestion Des Risque Et Modélisation

Uploaded by

Copyright:

Available Formats

Avec le soutien de Wallonie-Bruxelles International

SCURIT: UNE DMARCHE INTGRE

Introduction Gestion des risques Modlisation des menaces Arbres dattaques

Ncessit dune dmarche

organisation Niveau systme Niveau composant

Diffrents degrs de dtail Diffrents types de conclusion

Gestion des risques

Gestion des risques

Gestion des risques

de la situation et des choix

Nombreuses mthodes danalyse de risques

ou moins complexes Octave, CRAMM, EBIOS, Mehari

Gestion des risques

Standardisation de la dmarche: ISO 27000 Technologies de l'information -- Techniques de scurit

Gestion des risques

Quelques dfinitions (ISO 27000)

Gestion des risques

Quelques dfinitions (ISO 27000)

Gestion des risques

Une vulnrabilit provient

dencryption Pas de contrle daccs

contre-mesure faible ou dfectueuse

la mconnaissance dune contre-mesure

utilisation dencryption Pas dencodage des donnes

Gestion des risques

Processus de gestion des risques

Gestion des risques

le but du processus de gestion des risques Dfinition des critres

Gestion des risques

mise en place pour la gestion des risques

et responsabilits Procdures de communication et descalation

Gestion des risques

Processus, information, connaissance Infrastructure, logiciel, site, personnel

Actifs secondaires Attribution dun propritaire

Identification des menaces

Gestion des risques

des mesures dj en place Identification des vulnrabilits

Gestion des risques

Gestion des risques

Haut Moyen Probabilit Bas

Gestion des risques

action doit tre prise Priorit de traitement

Gestion des risques

du rapport cot/bnfice Diffrents types:

du risque Rduction du risque Transfert du risque Refus du risque

Gestion des risques

Types de contre-mesures (ISO 27005)

sur incident Surveillance Education

Gestion des risques

Acceptation (formelle) du risque

par le management des contrles slectionns et des risques rsiduels

Gestion des risques

de r-valuer rgulirement le contexte, les processus et contrles en place

Gestion des risques

Etablissement dun modle du domaine de la gestion des risques

Gestion des risques

dune terminologie commune

et volutif Intgration avec dautres approches

de modlisation orients scurit

Gestion des risques

dvaluation des risques

Actions en justice Condamnation de lautorit Condamnation internationale de lautorit

10-100MEU R > 100MEUR