Menu Fermer

Voici la liste de vulnérabilités qui sont proposées en annexe de ISO 27005:2011 afin d’aider les analystes de risque (elles sont associées à des types de menace).

  • Matérielles
    • Insuffisance de maintenance
    • Installation défaillante de support de stockage
    • Absence de remplacements périodiques
    • Susceptibilité à l’humidité, la poussière et la saleté
    • Sensibilité aux radiations électromagnétiques
    • Absence de contrôle efficace des changements de configuration
    • Susceptibilité aux variations de voltage
    • Susceptibilité aux variations de température
    • Entreposage non protégé
    • Absence de soin apporté à la destruction
    • Copie non maîtrisée
  • Logicielles
    • Aucun test logiciel ou insuffisant
    • Failles logicielles bien connues
    • Pas de déconnexion en quittant sa station de travail
    • Destruction ou réutilisation de supports de stockage sans effacement adéquat des données
    • Absence de piste d’audit
    • Allocation erronée de droits d’accès
    • Logiciel disséminé largement
    • Interface utilisateur complexe
    • Absence de documentation
    • Paramétrage incorrect
    • Dates saisies incorrectes
    • Absence de mécanismes d’identification et d’authentification pour l’utilisateur par exemple
    • Tables de mots de passe non protégée
    • Services inutiles activés
    • Logiciel immature ou nouveau
    • Spécifications peu claires ou incomplètes pour le logiciel
    • Absence de contrôle des changements efficace
    • Téléchargement et usage de logiciels non maîtrisés
    • Absence de copies de sauvegarde
    • Absence de protection physique pour le bâtiment, les portes et les fenêtres
    • Impossibilité de produire des rapports à la direction (x)

Nous pouvons remarquer deux choses dans le référentiel de ISO 27005 : l’inclusion de mesures de sécurité absentes ou inefficaces comme vulnérabilités et la confusion entre menace (comme événement adverse) et vulnérabilité. Par exemple « Impossibilité de produire des rapports à la direction » est plus précisément une menace. La vulnérabilité correspondante pourrait être une mauvaise gestion de temps, l’absence prolongée de personnel, etc. Nous marquons du caractère « X » ente parenthèses s’il nous semble qu’il y a une erreur.
Il n’est pas rare de devoir débattre entre collègues pour remettre de l’ordre dans certains exemples, la raison est bien-sûr que les menaces et les vulnérabilités doivent être associées, elles sont les deux faces d’une même pièce … c’est facile de regarder du mauvais côté de la pièce.
Une manière d’éviter la confusion est de considérer que le risque est surtout lié à un événement de menace (adverse ou redouté) dont on ignore la probabilité d’occurrence ou la magnitude de son impact. En revanche une vulnérabilité n’a rien d’incertain (même si parfois on est poussé par supposer son existence faute d’informations plus précise), c’est un état observé directement lié à l’objet de l’étude. Par ailleurs, une faiblesse, vulnérabilité ou faille, est décrite en utilisant des mots clé qu’il faut reconnaître, comme « absence de », « déficient », « insuffisant », « insatisfaisant ». Quant aux événements de menace, on peut les exprimer par des verbes précédés par des mots clé comme « impossibilité de », « incapacité de », tout ce qui permet de déduire et d’y associer directement une conséquence.

On distingue les vulnérabilités intrinsèques ou extrinsèques. Dans le premier cas, on observe l’actif et on détermine les défauts de sa conception, de son architecture, de son implémentation, de sa configuration. Dans le second cas, ce sont des défauts relatifs aux mesures de protection ajoutées après coup à l’actif ou dans l’environnement dans lequel celui-ci opère. Plus généralement, la mesure de protection est soit absente, soit insuffisante, soit inefficace.