Menu Fermer
  • Accueil
  • Rédiger des scénarios de risque pertinents
    •

Rédiger des scénarios de risque pertinents

Igor Scerbo

S’il y a une activité récurrente dans la gestion des risques, c’est la conception de scénarios de risque qui fassent du sens pour l’entreprise et qui soient exploitables. Très souvent ils sont soit trop haut niveau et génériques, soit trop bas niveau. Il y a peu de référentiels pour nous y aider mais un des incontournables est Cobit qui permet d’obtenir des scénarios génériques associés aux processus Cobit. Ils sont utiles lorsqu’on commence ce type d’activités et que l’on souhaite commencer simplement. En disposant de scénarios génériques de type Cobit, il est possible de les faire évaluer directement par un panel d’experts dont un gestionnaire de risques chevronné pourra servir de facilitateur (cf. la méthode FRAP). Le panel sera composé de toutes les parties prenantes en fonction de type de scénario.$

On doit distinguer deux niveaux de scénarios selon l’audience à laquelle on s’adresse. Si on vise la haute direction, alors les scénarios doivent être « stratégiques » en traitant des inquiétudes de la direction; si on vise une direction opérationnelle, alors on concevra plutôt des scénarios « tactiques » plus facilement exploitables par un personnel plus technique, notamment les membres d’une équipe de réaction aux incidents.
Logiquement, les deux types de scénarios se complètent bien et suivront une structure hiérarchique. Les scénarios stratégiques seront peu nombreux et répondront au Quoi tandis que les scénarios tactiques répondront plus au Comment. Mais dans tous les cas un scénario aura comme structure ou syntaxe basique la relation d’une cause et de son effet ou conséquence. Cet effet sera un évènement de menace ou évènement adverse ou évènement redouté.

Scénarios stratégiques

Ils sont eux-mêmes de deux sortes : ceux qui traitent des aspects métier en passant par les processus et activités de l’entreprise et ceux qui se focalisent sur les pertes des propriétés de la sécurité de l’information. Dans le premier cas, il faut au préalable disposer ou établir une liste des processus clé de l’entreprise. Si une équipe de continuité des activités est déjà en place, c’est un bon endroit pour commencer. Les équipes de gestion des risque TI et cyber devraient être en contact étroit tant leurs activités sont interdépendantes.
La liste des processus dépend du secteur d’activité de l’entreprise. Si elle fabrique des biens, les processus clé seront centrés autour de sa capacité à sortir ses produits à temps des lignes d’assemblage et de les acheminer rapidement aux clients qui les ont commandés. Si elle vend un service, les processus clé concerneront la fourniture de ce service dans le respect des conditions contractuelles. Dans tous les cas, si l’organisation est commerciale, certains processus clé concerneront la connaissance des clients, la gestion de l’offre de produits ou de services, la gestion du client de bout en bout, ainsi que la gestion des relations avec les partenaires.
A ce niveau, le scénario de risque résumera la dégradation ou l’interruption d’un de ces processus clé avec le type d’impact organisationnel possible.

Un exemple de scénario stratégique serait pour un établissement financier l’impossibilité de distribuer des billets sur demande à partir d’un guichet automatique. Cet évènement redouté peut résulter de causes multiples et pour chaque cause sa solution spécifique (son plan de traitement de risque). Il est donc important de lui adjoindre une cause plausible, qu’elle soit ou non survenue par le passé.

Impossibilité de distribuer des billets sur demande à partir d’un guichet automatique suite à la défaillance de l’automate.

Un autre type de scénario stratégique est celui qui indique les impacts sur les propriétés de la sécurité de l’information, soit les pertes de la confidentialité, de l’intégrité et de la disponibilité de l’information. Nous ne redonnerons pas les définitions de ces termes que vous retrouverez dans le glossaire. On peut alors étendre le scénario stratégique précédent de la manière suivante :

Impossibilité de distribuer des billets sur demande à partir d’un guichet automatique suite à lindisponibilité de l’automate.

La perte de disponibilité est venue préciser le type de défaillance de l’automate mentionnée précédemment. Ce scénario reste compréhensible par des interlocuteurs non techniques et non spécialistes de la sécurité. Le focus reste l’évènement redouté dont la portée est stratégique, dès lors qu’il traite d’activités importantes pour l’entreprise.

Scénarios tactiques (ou opérationnels)

Les scénarios tactiques ou opérationnels intéressent en premier lieu le chef de la sécurité de l’information et tout personnel technique capable de comprendre ce niveau d’information. Les impacts simplifiés sur les propriétés de la sécurité de l’information seront remplacés par des évènements plus détaillés, notamment ils feront référence à des causalités qui ont du sens en sécurité et dont on peut souvent estimer les facteurs de risque plus facilement.

Les impacts techniques utilisés par MITRE CWSS (Common Weaknesses Scoring System) sont précieux car ils sont une bonne synthèse du type de menace qui pourrait survenir. Ils remplacent avantageusement les plus traditionnels STRIDE de Microsoft en étant un peu plus granulaires. Mais les deux systèmes peuvent être mis en correspondance. Ces impacts techniques peuvent affecter en des degrés divers différents types d’actifs :

  • Système (poste de travail, mobile, serveur, système d’exploitation, appareil mobile, base de données)
  • Application (site web, application métier, service web, etc.)
  • Réseau (ou lien de communication)
  • Entreprise (ou infrastructure mutualisée) que j’appellerai plutôt un service d’infrastructure (service d’authentification, d’accès distant, équipements de routage, etc.).

Voici la liste des impacts techniques :

  • Modification de données, répertoires, systèmes de fichiers (STRIDE, Tampering ou Altération)
  • Lecture, divulgation de données, répertoires, systèmes de fichiers (STRIDE, Information Disclosure ou Divulgation d’information)
  • Déni de service par instabilité du système ou « exécution aléatoire » (STRIDE, Denial of service)
  • Déni de service par épuisement de ressources (STRIDE, Denial of service)
  • Exécution de code ou de commandes non autorisés
  • Gain de privilèges (STRIDE, Elevation of privilege ou Élévation de privilège)
  • Usurpation d’identité (STRIDE, Spoofing ou Usurpation d’identité)
  • Contournement d’un mécanisme de protection
  • Dissimulation d’activité (STRIDE, Repudiation ou Répudiation d’action, Perte d’imputabilité)

Cette liste est loin d’être complète. centrée autour des facteurs d’évaluation de failles ou vulnérabilités techniques, on pourrait ajouter plus de vecteurs et de granularité. L’abus de privilège par exemple, ne se retrouve pas dans la liste alors que c’est un vecteur fréquent d’incident de sécurité et la vulnérabilité n’est pas technique, mais le plus souvent procédurale.
Bien que le MITRE mette tous ces évènements au même niveau, on peut les hiérarchiser avec les impacts sur la confidentialité, intégrité et disponibilité en tête avec la perte d’imputabilité (objectifs de sécurité « étendus »), les autres étant des moyens techniques d’y parvenir. On peut légitimement penser que ce qui affecte le contrôle d’accès est susceptible d’affecter ultimement un ou plusieurs objectifs de la sécurité de l’information.

Le scénario tactique ou opérationnel tente de mettre en lumière la manière ou le cheminement qui a pu engendrer un scénario stratégique. Il peut mentionner l’acteur de l’évènement, l’actif ciblé, le vecteur de la menace avec une granularité accrue en plus de l’impact technique. Sa syntaxe complète ressemblerait à quelque chose comme ça :

Impact technique + actif informationnel + acteur + vecteur

Pour les acteurs, certains auteurs vont dans le détail pour les qualifier d’un point de vue presque criminalistique :

  • Cyberdélinquant
  • Cybercriminel
  • Cyberespion
  • Cybercombattant
  • Cyberterroriste
  • Cyberactiviste

On utilise généralement ces termes soit pour donner vie à un scénario, soit, plus problématique, pour évaluer une menace par le prisme criminalistique des moyens (ou ressources), l’opportunité (ou proximité), la motivation (MOM). Dans la conception de scénarios, l’essentiel, à mon sens est de distinguer :

  • Acteurs externes opportunistes
  • Acteurs externes motivés
  • Acteurs internes sans privilège étendu (utilisateur normal)
  • Acteurs internes avec privilège étendu (administrateur système ou de bases de données)

Cette classification simplifiée aide à comprendre la répartition des attaques cyber par la règle symbolique des 80/20 : 80% des attaques seront probablement opportunistes (par des acteurs de faible motivation et opportunité, moyens limités) et 20% des attaques seront probablement ciblées (par des acteurs de forte motivation et opportunité, moyens conséquents). Par ailleurs, 80% auront probablement une origine externe et 20% une origine interne. Avoir ou non des privilèges affecteront la magnitude de l’impact de l’attaque et sa facilité.

Voici des exemples de scénarios tactiques ou opérationnels en utilisant la syntaxe ci-dessus :

  • Divulgation de renseignements personnels par un administrateur de bases de données suite à un abus de privilège
  • Divulgation de renseignements personnels par un acteur externe ayant contourné le contrôle d’accès de la base de données
  • Modification d’un fichier de configuration d’un serveur applicatif
  • Dissimulation d’un accès non autorisé par la modification d’un journal d’audit de la base de données
  • Indisponibilité du portail client suite à une attaque par déni de service distribué par saturation des ressources réseau

Quel que soit le degré de granularité souhaité, il est important que dans une équipe ou à travers toute l’entreprise, la syntaxe soit normalisée pour tous, quitte à outiller le processus afin d’ajouter les mêmes contraintes techniques pour tous les analystes.

Igor SCERBO, CISSP, CRISC
IS Risk Intelligence

Tagged ,