Analyse de risque Méthodologie Octave

Transcription

1 Analyse de risque Méthodologie Octave Jean-Marc Robert Génie logiciel et des TI

2 Plan de la présentation Introduction NIST SP CERT OCTAVE OCTAVE v2.0 OCTAVE-S v1.0 OCTAVE- Allegro OCTAVE-Allegro Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 2

3 Objectif Permettre à une organisation d accomplir sa mission. Avoir une meilleure protection des systèmes qui conservent, traitent et transmettent les informations essentielles au bon déroulement des affaires. Prendre de meilleures décisions basées sur des faits tangibles et mesurables. Investissement en équipement, personnel, formation, etc. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 3

4 L analyse de risque le premier pas Définir les besoins. Déterminer les actifs à protéger et leurs propriétaires. Quelles sont leurs valeurs? Quelles sont leurs criticités? Quelles sont leurs propriétés? Déterminer les menaces représentant des risques. Quels sont les acteurs attaqueurs? Quels sont leurs motivations et leurs moyens? Déterminer les objectifs à atteindre. Quelles sont les propriétés des actifs à protéger? Proposer une solution. Déterminer les contre-mesures à mettre en place. Évaluer les risques résiduels. Déterminer quelles sont les vulnérabilités toujours présentes. Déterminer leurs impacts sur les objectifs initiaux. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 4

5 L analyse de risque schématiquement Propriétaires désirant minimiser demandant Contre-mesures tenant à réduisant Risques à augmentant Attaqueurs représentant Menaces à Actifs désirant accéder à Adapté de ISO/IEC Common Criteria. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 5

6 Les définitions Actifs L ensemble des données et des systèmes d information nécessaires au bon déroulement d une organisation. Vulnérabilité Défaut ou faiblesse d un système pouvant mener à une faille de sécurité ou à la violation de sa politique de sécurité. Menace La possibilité qu une vulnérabilité soit exploitée. Risque Impact sur la mission de l organisation. Dépend à la fois de la vraisemblance de la menace (condition) et de son impact sur les actifs et les ressources (conséquence). Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 6

7 NIST SP Trois grandes étapes Évaluation des risques Identification et évaluation des risques et de leurs impacts Détermination des priorités de ces risques Recommandation de contre-mesures Atténuation des risques Classement par ordre de priorité des contre-mesures Implémentation et maintenance des contre-mesures Évolution et évaluation Évaluation continue du système au cours de son évolution Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 7

8 Provenant de NIST SP Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 8

9 NIST SP Quoi mais pas Comment! Cette recommandation du NIST décrit ce qui est recherché. Malheureusement, elle ne décrit pas comment y arriver. Ce n est pas un processus ou une méthodologie! Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 9

10 CERT OCTAVE Operationally Critical Threat, Asset and Vulnerability Evaluation Développé par le CERT Survivable Entreprise Management team OCTAVE est une méthodologie pour identifier et évaluer les risques de sécurité associés aux systèmes d information. Développer des critères qualitatifs d évaluation de risque. Identifier les actifs. Identifier les vulnérabilités et les menaces. Évaluer les conséquences sur les objectifs d affaires si une attaque réussit. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 10

11 CERT OCTAVE : Famille de processus OCTAVE v2.0 Grande organisation (300 et +) Hiérarchique à plusieurs niveaux Infrastructure IT interne Connaissance technique importante (évaluation des vulnérabilités) OCTAVE-S v1.0 Moyenne organisation (~ 100) Équipe d analystes excellente connaissance de l organisation Connaissance technique limitée OCTAVE- Allegro Évaluation rapide Excellente connaissance de l organisation et connaissance technique limitée Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 11

12 CERT OCTAVE Simplifié grandement pour OCTAVE -S Provenant de CERT OCTAVE Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 12

13 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 13

14 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 14

15 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 15

16 OCTAVE-Allegro : 8 étapes simplifiées Définir les paramètres 1. Établir les critères d évaluation Définir les profils d actifs 2. Établir les profils des actifs informationnels 3. Identifier les intervenants et les contenants Identifier les menaces 4. Identifier les domaines de préoccupation 5. Identifier les scénarios de menaces Identifier et atténuer les risques 6. Identifier les risques 7. Analyser les risques 8. Choisir une approche face aux risques Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 16

17 Étape 1 Établir les critères d évaluation Définir un ensemble de mesures qui permettra d évaluer l impact des menaces sur les objectifs d affaires afin de déterminer le niveau de risque. Réputation et Confiance des clients Financier Productivité Sûreté et santé Législatif Voir les «Worksheets» 1, 2, 3, 4, 5 et 6. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 17

18 Étape 1 Établir les critères d évaluation Prioriser les mesures d impact de la plus importante à la moins importante. 5 plus importante 1 moins importante Voir le «Worksheet» 7. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 18

19 Étape 2 Établir les profils des actifs Identifier l ensemble des actifs informationnels Quels sont les actifs qui ont le plus de valeur pour l organisation? Quels sont les actifs utilisés tous les jours dans l accomplissement des diverses tâches de l organisation? Quels sont les actifs dont la perte empêcherait l organisation d atteindre ses objectifs d affaires? Quels sont les actifs liés aux actifs précédents? Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 19

20 Étape 2 Établir les profils des actifs Pour chaque actif : Nom de l actif Raison de sa sélection Description Propriétaire Besoin de sécurité (confidentialité, intégrité, disponibilité, etc.) Besoin le plus important Voir le «Worksheet» 8. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 20

21 Étape 3 Identifier les contenants Identifier les contenants techniques (internes et externes) Serveurs d applications Web ou de bases de données, réseaux internes, Internet, stations de travail, Identifier les lieux physiques (internes et externes) Où sont conservées les copies (papier ou électronique)? Identifier les intervenants (personnes internes et externes) Voir les «Worksheets» 9a, 9b et 9c. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 21

22 Étape 4 Identifier les préoccupations Description d une situation pouvant affecter un actif. Entrée : Information Asset Risk Environment Maps («Worksheets» 9a, 9b et 9c). À partir des préoccupations, détailler les scénarios. Acteur Moyen Motif Résultat Impacts sur les exigences de sécurité Voir le «Worksheet» 10 items 1 à 5. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 22

23 Étape 5 Identifier les scénarios de menace Menace : Indication d un événement indésirable potentiel. Scénario d une menace : Situation où un actif peut être compromis (acteur, motif, moyen, résultat). Arbre de menaces : Structure arborescente permettant de visualiser un ensemble de scénarios de menace. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 23

24 Acteurs humains Moyens techniques Acteur Motif Résultat accidentel interne délibéré accidentel externe délibéré Chaque branche doit être considérée. divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 24

25 Acteurs humains Moyens physiques Acteur Motif Résultat accidentel interne délibéré accidentel externe délibéré Chaque branche doit être considérée. divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 25

26 Problèmes techniques Motif Défaut logiciel Défaut matériel Panne système Code malicieux Chaque branche doit être considérée. Résultat divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 26

27 Autres problèmes Motif Alimentation électrique Télécommunication Tiers Désastre naturel Chaque branche doit être considérée. Résultat divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption divulgation modification perte/destruction interruption Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 27

28 Étape 5 Identifier les scénarios de menace Entrée : Information Asset Risk Environment Maps («Worksheets» 9a, 9b et 9c). Pour chaque contenant, Est-il possible qu une personne interne (ou externe) puisse le divulguer, modifier, interrompre, ou détruire accidentellement ou intentionnellement? Voir les questionnaires 1, 2 et 3. Remplir un «Worksheet» 10 pour chaque nouvelle menace. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 28

29 Étape 5 Identifier les scénarios de menace Activité facultative : Établir la probabilité d une menace Basse Moyenne Haute Voir le «Worksheet» 10 item 6. Fonction : Motivation (ou gain potentiel) Expertise requise Matériel requis Moyens de défense déjà présents Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 29

30 Étape 6 Identifier les risques Pour chaque scénario de menace identifié, déterminer les conséquences. Voir le «Worksheet» 10 item 7. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 30

31 Étape 7 Analyser les risques Déterminer la valeur qualitative de l impact d une menace pour l organisation (le «Worksheet» 10 item 8) Basse (1) Moyenne (2) Haute (3) en fonction des objectifs d affaires (voir le «Worksheet» 7). Critère d évaluation Rang Valeur d Impact Pointage Réputation 4 Moyenne (2) 8 Financier 5 Basse (1) 5 Productivité 3 Basse (1) 3 Sécurité et Santé 1 Basse (1) 1 Législatif 2 Haute (3) 6 Total 23 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 31

32 Étape 7 Analyser les risques Entre deux pointages, la différence n est pas significative. Pointage #1 : 23 Pointage #2 : 45 La différence de 22 ne représente rien d autre que le Pointage #2 est plus grand que le Pointage #3. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 32

33 Étape 8 Faire face aux risques Accepter Fatalité! Atténuer Réduire l impact d une attaque réussie Stratégies permettant de limiter l impact sur les objectifs d affaires. Réduire la probabilité de réussite d une attaque Mécanismes de contrôle et de protection permettant d éviter que des vulnérabilités soient exploitables. Retarder la décision Plus d information est nécessaire. Continuer l analyse. Transférer Assurance Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 33

34 Étape 8 Faire face aux risques Prioriser les risques qui ont été identifiés. Matrice de priorisation probabiliste Probabilité Pointage total 30 à à 29 0 à 15 Haute Catégorie 1 Catégorie 2 Catégorie 2 Moyenne Catégorie 2 Catégorie 2 Catégorie 3 Basse Catégorie 3 Catégorie 3 Catégorie 4 Matrice de priorisation Pointage total 30 à à à 19 0 à 9 Catégorie 1 Catégorie 2 Catégorie 3 Catégorie 4 Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 34

35 Étape 8 Faire face aux risques Déterminer comment réagir (le «Worksheet» 10 item 9) Catégorie Approche 1 Atténuer 2 Atténuer ou Retarder 3 Accepter ou Retarder 4 Accepter Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 35

36 Étape 8 Faire face aux risques Développer une stratégie pour atténuer un risque (s il y a lieu). Décrire le moyen de contrôle choisi pour le contenant (technique, physique ou personne) approprié. Décrire le niveau de risque résiduel. Voir le «Worksheet» 10 item 9. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 36

37 Étape 8 Faire face aux risques Comment réduire la probabilité d une menace? Comment réduire le motif de l attaquant? Comment prévenir qu un attaquant exploite une vulnérabilité? ou utilise une méthode? Comment empêcher le résultat d une attaque? Comment réduire l impact d une attaque réussie? Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 37

38 Analyse de risque Conclusion Clés du succès Engagement des cadres supérieurs Engagement et la participation inconditionnels de l équipe des TI Compétence de l équipe effectuant l analyse de risque Expérience, outils, Sensibilisation et coopération des usagers Jusqu à une certaine limite. Il est impossible que tous les usagers soient formés de façon adéquate. À tenir compte lors de l analyse de risque. Évaluation continue des risques. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 38

39 Analyse de risque Conclusion L analyse de risque est une des plus importantes activités de la sécurité informatique. Elle permet de répertorier tous les risques auxquels les actifs critiques sont exposés et de les hiérarchiser. Cette analyse détermine ainsi quels risques devront être traités avec priorité et quels risques seront acceptables sans aucune intervention. Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 39

40 Références Gary Stoneburner, Alice Goguen, et Alexis Feringa, Risk Management Guide for Information Technology Systems, NIST SP , 55 pages, Richard A. Caralli, James F. Stevens, Lisa R. Young et William R. Wilson, Introducing OCTAVE Allegro: Improving the Information Security Risk, Assessment Process, Rapport technique, Software Engineering Institute, CMU, 154 pages, Software Engineering Institute, CMU, Documentation OCTAVE, Jean-Marc Robert, ETS MTI Analyse de risque - OCTAVE v1.1 40