Analyse de risque

Jean-Marc Robert
Génie logiciel et des TI
Plan de la présentation
 Introduction – Rappel
 Les objectifs de l’analyse de risque
 Définitions
 NIST SP 800-30
 Évaluation des risques
 Atténuation des risques
 Évaluation et appréciation
 Conclusions

Jean-Marc Robert, ETS Analyse de risque - A08 2

L’analyse de risque – le premier pas
 Définir les besoins.
 Déterminer les actifs à protéger et leurs propriétaires.
 Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés?
 Déterminer les menaces représentant des risques.
 Quels sont les acteurs – attaqueurs? Quels sont leurs motivations et leurs moyens?
 Déterminer les objectifs à atteindre.
 Quelles sont les propriétés des actifs à protéger?

 Proposer une solution.

 Déterminer les contre-mesures à mettre en place.

 Évaluer les risques résiduels.

 Déterminer quelles sont les vulnérabilités toujours présentes.
 Déterminer leurs impacts sur les objectifs initiaux.

Jean-Marc Robert, ETS Analyse de risque - A08 3

L’analyse de risque – schématiquement

Propriétaires désirant minimiser

demandant
Contre-mesures tenant à
réduisant
Risques à

augmentant

Attaqueurs représentant Menaces à Actifs

désirant accéder à

Adapté de ISO/IEC 15408 – Common Criteria.

Jean-Marc Robert, ETS Analyse de risque - A08 4

Objectif
Permettre à une organisation d’accomplir
sa mission.

 Avoir une meilleure protection des systèmes qui conservent,

traitent et transmettent les informations essentielles au bon
déroulement des affaires.

 Prendre de meilleures décisions basées sur des faits tangibles

et mesurables.
 Investissement en équipement, personnel, formation, …

Jean-Marc Robert, ETS Analyse de risque - A08 5

Les définitions
 Vulnérabilité
 Défaut ou faiblesse d’un système dans sa conception, sa mise en
œuvre ou son contrôle interne pouvant mener à une faille de sécurité
ou à la violation de sa politique de sécurité.
 Une vulnérabilité peut être exploitée de façon accidentelle ou de façon
malicieuse.
 Menace
 La possibilité qu’une vulnérabilité soit exploitée accidentellement ou
par un agent malicieux.
 Risque
 Impact sur la mission de l’entreprise.
 Dépends à la fois de la vraisemblance de la menace et de son impact
sur les actifs et les ressources.

Jean-Marc Robert, ETS Analyse de risque - A08 6

NIST SP 800-30

Jean-Marc Robert, ETS Analyse de risque - A08 7

NIST SP 800-30 – Objectif
 Décrire une méthodologie permettant de réaliser une analyse
de risque pour des systèmes des TI tenant compte du cycle de
développement de ces systèmes.
 Initiation
 Acquisition et développement
 Implémentation
 Opération et maintenance
 Élimination

Jean-Marc Robert, ETS Analyse de risque - A08 8

NIST SP 800-30 – Trois grandes étapes
 Évaluation des risques
 Identification et évaluation des risques et de leurs impacts.
 Détermination des priorités de ces risques.
 Recommandation de contre-mesures.

 Atténuation des risques

 Classement par ordre de priorité des contre-mesures.
 Implémentation des contre-mesures.

 Évolution et évaluation
 Évaluation continue du système au cours de son évolution.

Jean-Marc Robert, ETS Analyse de risque - A08 9

NIST SP 800-30 – Évaluation des risques
 Neuf étapes
 Caractérisation du système
 Identification des menaces
 Identification des vulnérabilités
 Analyse des fonctionnalités de sécurité
 Détermination de la vraisemblance
 Analyse des impacts
 Détermination des risques
 Recommandation des contre-mesures
 Documentation

Jean-Marc Robert, ETS Analyse de risque - A08 10

NIST SP 800-30 – Évaluation des risques
Entrée Résultat
 Matériel
 Frontières
 Logiciel
 Fonctionnalités
 Interfaces Étape 1
 Criticité et sensitivité
 Actifs
Caractériser le système  Système
 Acteurs
 Données
 Mission

 Évaluations
antérieures
Étape 2
 Audits et tests  Liste des menaces
 Exigences Identifier les menaces
de sécurité

 Historique
des attaques Étape 3
 Liste des vulnérabilités
 Bases de Identifier les vulnérabilités
connaissance

Jean-Marc Robert, ETS Analyse de risque - A08 11

NIST SP 800-30 – Évaluation des risques
Entrée Résultat

 Fonctionnalités
Étape 4
 Actuelles  Liste des fonctionnalités
 Prévues Analyser les fonctionnalités

 Motivation
 Capacité
Étape 5  Estimation de la
 Type de
Déterminer la vraisemblance vraisemblance
vulnérabilités
 Fonctionnalités

 Mission
Étape 6
 Actifs Analyser les impacts  Estimation des
 Criticité et sensi- (Intégrité, confidentialité impacts
tivité des actifs
et disponibilité)

Jean-Marc Robert, ETS Analyse de risque - A08 12

NIST SP 800-30 – Évaluation des risques
Entrée Résultat

 Fonctionnalités
 Vraisemblance Étape 7  Risques
des menaces  Niveaux de risque
Déterminer les risques
 Impacts

Étape 8
Recommander  Liste des contre-mesures
des contre-mesures

Étape 9
 Rapport
Documentation

Jean-Marc Robert, ETS Analyse de risque - A08 13

Étape 1 – Caractérisation du système
 Définir les limites du système à évaluer
 Mission d’affaire
 Acteurs – usagers, administrateurs, …
 Actifs informationnels – criticité et sensitivité (intégrité, confidentialité et disponibilité)
 Exigence de sécurité
 Matériel
 Topologie, mécanismes de protection, …
 Logiciel
 Flots d’information
 Connectivité réseau
 Interfaces de programmation (API)
 Contrôle de gestion et Contrôle opérationnel

Évaluer la tâche à accomplir et les efforts requis.

Jean-Marc Robert, ETS Analyse de risque - A08 14

Étape 1 – Information
 Questionnaires
 Entrevues
 Revue de la documentation
 Outils automatiques de balayage

Jean-Marc Robert, ETS Analyse de risque - A08 15

Étape 2 – Identification des menaces
 Développer une liste des sources de menaces potentielles
contre le système des TI.

 Source de menace: Tout circonstance ou événement pouvant

potentiellement causer des dommages.
 Naturelle
 Inondations, tremblements de terre, tornades, …
 Environnementale
 Pollution, pannes électriques prolongées, fuites d’eau, …
 Humaine
 Erreurs humaines non intentionnelles
 Actions malicieuses
 Actions non malicieuses, mais cherchant à contourner une politique de sécurité
 Par exemple, une porte dérobée pour fin de débogage

Jean-Marc Robert, ETS Analyse de risque - A08 16

Étape 2 – Identification des menaces
 Une fois que les sources de menaces ont été identifiées, il faut
pouvoir évaluer:
 Leurs motivations
 Argent, terroristes, activistes, …
 Leurs moyens
 Monétaire, technologique, …
 Leurs aptitudes
 Novice, intermédiaire, expert, …

Jean-Marc Robert, ETS Analyse de risque - A08 17

Étape 2 – Information
 Agences gouvernementales ou paragouvernementales
 FBI InfraGard ([Link]
 US Computer Emergency Readiness Team ([Link]
 CMU Software Engineering Institute CERT ([Link])

 Organismes commerciaux
 SANS ([Link]
 SecurityFocus ([Link]
 …

 Media

Jean-Marc Robert, ETS Analyse de risque - A08 18

Étape 3 – Identification des vulnérabilités
 Développer une liste des vulnérabilités pouvant être exploitées
par les diverses sources de menaces.
 Pour un système existant, l’identification des vulnérabilités
vérifie que les exigences de sécurité – définies à l’étape 1 –
sont satisfaites.
 Sources de vulnérabilités
 Humain  Implémentation
 Personnel TI et usagers  IT, logiciel
 Politiques de sécurité  Déploiement
 Architecture  IT, configuration logicielle
 IT, logiciel

Jean-Marc Robert, ETS Analyse de risque - A08 19

Étape 3 – Information
 Agences gouvernementales ou paragouvernementales
 FBI InfraGard ([Link]
 US Computer Emergency Readiness Team ([Link]
 CMU Software Engineering Institute CERT ([Link])
 US National Vulnerability Database ([Link]
 Mitre, Common Vulnerabilities and Exposure ([Link]
 Organismes commerciaux
 Sites des entreprises: Microsoft, Oracle, Symantec, …
 SANS ([Link]
 SecurityFocus ([Link]
 Bugtraq
 Outils de détection
 Nessus, Codenomicon, …
 Media

Jean-Marc Robert, ETS Analyse de risque - A08 20

Étape 4 – Analyse des fonctionnalités
 Développer une liste des fonctionnalités de sécurité existantes
ainsi que celle planifiées afin de réduire ou éliminer la
probabilité qu’une source de menaces puisse exploiter une
vulnérabilité.

 Une vulnérabilité a peu de chance d’être exploitée si et

seulement si
 Les sources de menaces sont peu motivées ou ont peu de moyens, ou
 Il existe un moyen de défense réussissant à diminuer l’exposition à cette
vulnérabilité.

Jean-Marc Robert, ETS Analyse de risque - A08 21

Étape 4 – Méthodes de contrôle
 Méthodes techniques
 Logiciel et matériel: contrôle d’accès, identification, authentification,
chiffrement, …

 Méthodes non techniques

 Politiques de sécurité, procédures opérationnelles, sécurité du personnel,
sécurité physique, …

Jean-Marc Robert, ETS Analyse de risque - A08 22

Étape 4 – Types de contrôle
 Prévenir les tentatives de violation de politiques de sécurité.
 Contrôle d’accès, chiffrement et authentification, systèmes de
prévention d’intrusions, …

 Détecter les tentatives (ou les réussites) de violation de

politiques de sécurité.
 Pistes de vérification (Audit trail) , systèmes de détection d’intrusions,
codes d’intégrité, …

 Réagir aux tentatives de violation de politiques de sécurité.

 Pare-feu bloquant le trafic malveillant, réseau de quarantaine, …

Jean-Marc Robert, ETS Analyse de risque - A08 23

Étape 5 – Détermination de la vraisemblance
 La vraisemblance indique la probabilité qu’une vulnérabilité
soit exploitée par une source de menaces.

 Afin de déterminer la vraisemblance, il faut considérer les

points suivants:
 Les aptitudes et la motivation d’une source de menaces
 La nature de la vulnérabilité
 L’existence et l’efficacité d’un moyen de contrôle

Jean-Marc Robert, ETS Analyse de risque - A08 24

Étape 5 – Détermination de la vraisemblance

Vraisemblance Définition
Haut La source de menaces est hautement motivée et possède tous
les moyens requis pour effectuer son attaque ET aucun
moyen de contrôle efficace n’est en place.

Moyen La source de menaces est motivée et possède les moyens

courants, MAIS des moyens de contrôle sont en place afin
de réduire l’impact de vulnérabilité.

Bas La source de menaces manque de motivation ou de moyen

OU il existe un moyen efficace afin de prévenir
l’exploitation de la vulnérabilité.

Jean-Marc Robert, ETS Analyse de risque - A08 25

Étape 6 – Analyse des impacts
 Afin de déterminer l’impact d’un exploit réussi, il faut
considérer les points suivants:
 Mission du système
 Criticité du système et des données
 Sensitivité du système et des données

 L’impact d’un exploit se mesure sur les propriétés des actifs

 Intégrité
 Confidentialité
 Disponibilité

Jean-Marc Robert, ETS Analyse de risque - A08 26

Étape 6 – Analyse des impacts
 Rapport d’analyse d’impact sur les affaires.
 Analysant de façon quantitative et qualitative la criticité et
la sensitivité des différents actifs.

Quantitatif: Qualitatif
+ Permets de donner une priorité – Subjectif et difficilement
aux risques basée sur des mesures comparable
quantifiables (coûts, part de
marché, …)
– Le résultat doit être parfois
réinterprété de façon
qualitative

Jean-Marc Robert, ETS Analyse de risque - A08 27

Étape 6 – Analyse des impacts

Impacts Définition
Haut L’exploitation d’une vulnérabilité (1) résulte par la perte
d’actifs ou de ressources de grande valeur; (2) cause un
préjudice importance à l’entreprise (mission, réputation, …)

Moyen L’exploitation d’une vulnérabilité (1) résulte par la perte

d’actifs ou de ressources coûteuses; (2) cause un préjudice à
l’entreprise (mission, réputation, …)

Bas L’exploitation d’une vulnérabilité (1) résulte par la perte

d’actifs ou de ressources; (2) affecte l’entreprise (mission,
réputation, …)

Jean-Marc Robert, ETS Analyse de risque - A08 28

Étape 7 – Détermination des risques
 Déterminer le niveau de risque auquel le système est exposé.

 Pour chaque paire menace-vulnérabilité, le risque dépend de

 La vraisemblance que la source d’une menace tente l’exploit;
 L’ampleur de l’impact d’un tel exploit;
 L’aptitude des moyens de contrôle en place de limiter ou de prévenir un
tel exploit.

Jean-Marc Robert, ETS Analyse de risque - A08 29

Étape 7 – Détermination des risques
Impact Impact Impact
bas moyen haut
(10) (50) (100)
Vraisemblance BAS MOYEN HAUT
haute 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100
1.0
Vraisemblance BAS MOYEN MOYEN
moyenne 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
0.5
Vraisemblance BAS BAS BAS
basse 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
0.1

Jean-Marc Robert, ETS Analyse de risque - A08 30

Étape 7 – Détermination des risques

Risque Description et Action

Haut Méthodes correctives fortement requises. Un plan
d’intervention doit être mis en place de façon urgente.
Moyen Méthodes correctives requises. Un plan d’intervention doit
être mis en place dans un temps raisonnable.
Bas La personne responsable du système doit déterminer si des
actions correctives doivent être prises ou si le risque est
acceptable.

Jean-Marc Robert, ETS Analyse de risque - A08 31

Étape 8 – Recommandations
 Déterminer les moyens de contrôle à mettre en place afin de
réduire les risques identifiés à un niveau acceptable en tenant
compte des points suivants :
 Efficacité
 Compatibilité avec le système
 Impact sur les opérations
 Coûts
 Politique organisationnelle
 Loi et réglementation

Jean-Marc Robert, ETS Analyse de risque - A08 32

Étape 9 – Documentation
 Rapport décrivant
 Les menaces et leurs sources (moyen et motivation)
 Les vulnérabilités
 Les risques et leur priorité
 Les recommandations devant être mise en place

 Sommaire
 Décrivant les principaux points – les risques élevés

Jean-Marc Robert, ETS Analyse de risque - A08 33

NIST SP 800-30 – Atténuation des risques
 Il est impossible de réduire tous les risques à zéro.

 Ce qui est recherché:

La solution la moins coûteuse implémentant les moyens de

contrôle les plus appropriés, diminuant le risque global
auquel est exposée l’entreprise à un niveau acceptable tout en
minimisant l’impact organisationnel.

Jean-Marc Robert, ETS Analyse de risque - A08 34

Face aux risques – Plusieurs attitudes
 Accepter les risques: Accepter les risques potentiels.
 Éviter les risques: Éliminer les sources de menaces, les
vulnérabilités ou les impacts.
 Limiter les risques:
 Réduire les risques en réduisant les impacts des exploits.
 Réduire les risques en cherchant les moyens de contrôle pour corriger
les vulnérabilités.
 Planification: Développer un plan hiérarchisant,
implémentant et maintenant les moyens de contrôle.
 Transférer les risques: Acheter une assurance.

Jean-Marc Robert, ETS Analyse de risque - A08 35

Quand déployer les moyens de contrôle?
 Lorsqu’une vulnérabilité existe.
 Mettre en place un moyen réduisant la probabilité qu’elle soit exploitée.
 Mettre en place les moyens de détection.
 Lorsqu’une vulnérabilité peut être exploitée.
 Mettre en place les moyens réduisant son impact ou prévenant son
utilisation.
 Mettre en place les moyens de détection.
 Lorsque le coût de l’attaquant est inférieur à son gain.
 Mettre en place les moyens afin de diminuer la motivation de l’attaquant
en augmentant son coût ou diminuant son gain.
 Lorsque la perte est trop grande.
 Mettre en place les moyens réduisant l’étendue de l’exploit, réduisant ainsi
la perte.

Jean-Marc Robert, ETS Analyse de risque - A08 36

Comment déployer les moyens de contrôle?
 Sept étapes
 Hiérarchisation des actions en fonction du niveau de risque
 Évaluation des contrôles proposés lors de l’évaluation des risques
 Réalisation d’une analyse coût-bénéfice
 Choix des moyens de contrôle
 Assignation des responsabilités
 Développement d’un plan d’implémentation
 Implémentation des moyens de contrôle

Jean-Marc Robert, ETS Analyse de risque - A08 37

Conclusions
 L’analyse de risque est une des plus importantes activités de la
sécurité informatique.

 Elle permet de répertorier tous les risques auxquels les actifs

critiques sont exposés et de les hiérarchiser.

 Cette analyse détermine ainsi quels risques devront être traités

avec priorité et quels risques seront acceptables sans aucune
intervention.

Jean-Marc Robert, ETS Analyse de risque - A08 38

 Supplémentaires

Jean-Marc Robert, ETS Analyse de risque - A08 39

Étape 2 – Identification des menaces
Source Motivation Actions
Pirate Challenge Piratage

(hacker, cracker) Ego Ingénierie sociale

Rébellion

Criminel informatique Destruction d’information Ingénierie sociale

Divulgation d’information Interception d’information

Altération d’information Intrusion de système

Gain monétaire Chantage informatique

Cambriolage

Mystification (spoofing)

Terroriste Destruction Bombe / terrorisme

Revanche Guerre de l’information

Idéologie Attaque de systèmes (DDoS)

Intrusion de systèmes

Subordination de systèmes
(tampering)

Jean-Marc Robert, ETS Analyse de risque - A08 40

Étape 2 – Identification des menaces
Source Motivation Actions
Espionnage industriel Avantage compétitif Ingénierie sociale
Appât du gain Intrusion de système

Vol d’information

Employé Curiosité Code malveillant

Malformé Ego  Cheval de Troie, Bombe logique
Négligent Renseignement Accès à de l’information privée
Malveillant Appât du gain Utilisation d’ordinateur abusive

Malhonnête Revanche Fraude et vol

Congédié Non intentionnel et omission Vente d’information personnelle

Sabotage de système

Intrusion de système

Jean-Marc Robert, ETS Analyse de risque - A08 41