Méfiez-vous des injonctions théoriques issues des « bonnes pratiques » !Il est bon de lire beaucoup sur les sujets qui nous passionnent, mais il est encore plus […]
Lire la suiteCatégorie : Évaluation des risques
ATTAQUES PAR DRIVE-BY / WATERHOLE
Une application de notre méthode de modélisation pour les attaques par Drive-by ou Water hole.
Lire la suiteModélisation des menaces avec notre modèle STRIDE-CX
STRIDE-CX (en ajoutant le contournement des défenses et l’exécution de code arbitraire) est une évolution du modèle de Microsoft STRIDE fusionné avec les impacts techniques […]
Lire la suiteNIST SSDF 1.1 (SP800-218) Cadre pour le développement logiciel sécurisé
Voici un aperçu du guide du NIST SP800-218 qui décrit les objectifs pour encadrer le développement logiciel sécurisé en 4 étapes : Je vous en […]
Lire la suiteServices AWS et fonctions de sécurité
Voici une synthèse des services AWS correspondant aux fonctions de sécurité (CSF 2.0) avec les suggestions de réponse aux menaces type (CWSS). Le cadre CWSS […]
Lire la suiteExemple de quantification du risque d’hameçonnage
Dans l’exemple ci-dessous, certains statistiques sont réelles, d’autres arbitraires. Chaque entreprise mesurant le niveau de vulnérabilité aux campagnes d’hameçonnage par des tests réguliers doivent disposer […]
Lire la suiteL’estimation des probabilités lors d’une évaluation des risques
L’évaluation des risques se fait sur deux facteurs : la vraisemblance ou la probabilité d’occurrence d’un événement (généralement adverse) et la magnitude d’impact associé à […]
Lire la suiteComment évaluer des mesures de contrôle (du risque)
C’est un sujet tellement vaste que je ne pense pas qu’il puisse être réduit à un seul article, mais comme il est au cœur d’une […]
Lire la suiteQu’est-ce qu’une analyse de risque ?
Je suppose que si vous avez atterri sur cette page, c’est que vous savez ou pensez savoir ce qu’est une analyse de risque parce que […]
Lire la suite