Cyber Architect - Etude des scénarios de menace

Étude des scénarios de menaces

Ce module a pour objectif d'identifier de manière systématique les modes opératoires génériques qui peuvent porter atteinte à la sécurité des informations du périmètre de l'étude : les scénarios de menaces. Les réflexions sont menées à un niveau davantage technique que fonctionnel (sur des biens supports et non plus des biens essentiels).
Il permet tout d'abord de faire émerger tous les scénarios de menaces en identifiant et combinant chacune de leurs composantes : on met ainsi en évidence les différentes menaces qui pèsent sur le périmètre de l'étude, les failles exploitables pour qu'elles se réalisent (les vulnérabilités des biens supports), et les sources de menaces susceptibles de les utiliser. Il est ainsi possible d'estimer le niveau de chaque scénario de menace (sa vraisemblance).
Il permet également de recenser les éventuelles mesures de sécurité existantes et d'estimer leur effet en ré-estimant la vraisemblance des scénarios de menaces, une fois les mesures de sécurité appliquées.
À l'issue de ce module, les scénarios de menaces sont identifiés, explicités et positionnés les uns par rapport aux autres en termes de vraisemblance.


Module 3 : Etude du des scénarios de menaces

Le module Étude des scénarios de menaces comprend l'activité suivante :

  • Activité 3.1 : Apprécier les scénarios de menace

Apprécier les scénarios de menaces

Selon la méthode EBIOS, la troisième étape de l'étude est l'étude des scénarios de menaces.
Dans l’activité 3.1 Apprécier les scénarios de menaces, il sera question pour l’utilisateur d’établir les éléments à prendre en compte au niveau des bases de menaces, de vulnérabilités et enfin de créer les scénarios de menace.

Modes opératoires [icône : Vulnérabilités]

 
NomAbrév.Description
 
  • Nom : Nom du mode opératoire
  • Abrev. : Champ de texte libre, permettant d'apporter une abréviation pour identifier facilement une menace
  • Description : Champ de texte libre permettant d'apporter une description à la menace

Menaces [icône : Menaces]

 
Abrev.Type de bien supportMode opératoireNomCritères de sécuritéVulnérabilités exploitablesDescription
 
  • Abrev. : Champ de texte libre, permettant d'apporter une abréviation pour identifier facilement une menace
  • Type de bien support : Champ de sélection permettant d'attribuer un type de bien support sur lequel intervient la menace
  • Mode opératoire : Champ de sélection permettant d'attribuer un mode opératoire à la menace
  • Nom : Nom de la menace
  • Critères de sécurité : Champ à sélection multiple permettant de spécifier si l'origine de la menace est Humaine ou Non-Humaine
  • Vulnérabilités exploitables : Champ de sélection à choix multiples permettant de définir les vulnérabilités exploitables
  • Description : Champ de texte libre permettant d'apporter une description à la menace

Vulnérabilités [icône : Vulnérabilités]

 
NomExemplesDescription
 
  • Nom : Nom de la vulnérabilité
  • Exemples : Champ de texte libre permettant d'apporter un exemple
  • Description : Champ de texte libre permettant d'apporter une description à la vulnérabilité

Scénarios de menace [icône : Risques]

 
JustificationNomBiens supportsCritère de sécuritéMenacesSources de menaceVraisemblanceVulnérabilités exploitablesDescription
 
  • Justification : Champ de texte libre, permettant de justifier la non prise en compte de l'élément dans l'étude et de démontrer que ce n'est pas un élément oublié
  • Nom : Nom de la vulnérabilité
  • Biens supports : Champ de sélection permettant d'attribuer des biens supports au scénario de menace
  • Critère de sécurité : Champ de sélection permettant d'attribuer un critère de sécurité au scénario de menace
  • Menaces : Champ à sélection multiple permettant de spécifier les menaces liées au scénario de menace
  • Sources de menace : Champ à sélection multiple permettant de spécifier les sources de menaces liées au scénario de menace
  • Vraisemblance : Champ de sélection permettant d'attribuer une vraisemblance au scénario de menace
  • Vulnérabilités d'exploitation : Champ à sélection multiple permettant de spécifier les vulnérabilités exploitables liées au scénario de menace
  • Description : Champ de texte libre permettant d'apporter une description à la menace

Conditions de validation automatique du module

  1. Disposer d'au moins un scénario de menace dans le module et lui associer :
    • Un bien support
    • Un critère de sécurité
    • Une source de menace
    • Une vraisemblance