HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet EBIOS

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet EBIOS Agrégation du risque & Rétro-propagation du risque Mikaël Smaha

Introduction 2/48

Introduction : représentation EBIOS Bien Essentiel 1..n Bien support Critère Mesure de sécurité 1..n n..1 m..n Vulnérabilité Conséquence métier Source de 1..n 1..n Menace n..1 n..1 Événement redouté 1..n m..n Scénario de Risques 3/48

Introduction : représentation risque Mesure de sécurité Source de A B D Bien essentiel impacté Scénario d'incident 4/48 Conséquence métier

L'agrégation du risque 5/48

Agrégation Le plan Description Intérêts Mise en œuvre Problématiques 6/48

Agrégation Description abstraite Avant Source de A B D Bien essentiel impacté Conséquence métier D Bien essentiel impacté Conséquence métier E Bien essentiel impacté Conséquence métier E Bien essentiel impacté Conséquence métier Scénario d'incident Source de A C Scénario d'incident Source de A B Scénario d'incident Source de A C Scénario d'incident 7/48

Agrégation Description abstraite Après B Source de D A C E Bien essentiel impacté Conséquence métier Scénario d'incident 8/48

Agrégation Description concrète Un concurrent vole l'ordinateur d'un utilisateur, Puis accède à une session ouverte, La mise en veille automatique ayant été désactivée par l'utilisateur, Le délai avant la mise en veille automatique n'ayant pas été atteint, Le concurrent ayant pris connaissance du mot de passe par observation de l'utilisateur ; Ou récupère les identifiants de connexion, Stocké en dehors du volume chiffré, En brute-forçant le volume chiffré, protégé avec un mot de passe simple ; Puis accède au réseau de l'entreprise via le VPN utilisateur... 9/48

Agrégation Aller plus loin Source de B D Bien essentiel impacté Conséquence métier E Bien essentiel impacté Conséquence métier A Source de 10/48 C Scénario d'incident Un concurrent Récupération d'information Un activiste Modification d'information Arrêt d'un service

Agrégation Intérêts Améliorer la couverture en traitant davantage de risques? La longue traîne représente un risque équivalent au risque identifié 11/48

12/48

Agrégation Intérêts Améliorer la prise de décision Rendre l'appréciation des risques plus attractives pour les décideurs => Objectif de 50 risques Être concis avec un niveau de granularité fin Mettre l'accent sur les scénarios de récurrents parmi les risques 13/48

Agrégation Mise en œuvre Mise en œuvre aisée Risque Événement redouté Description... Un concurrent vole l'ordinateur portable d'un utilisateur et accède au réseau de l'entreprise depuis ce poste... 14/48... Scénarios de Référence SM1 + [ SM2 SM3 ]+ SM 4 + [ SM5 SM6 ] Description Un concurrent vole l'ordinateur portable d'un utilisateur + [Accède à une session ouverte OU Récupère les identifiants de connexion ] + Accède au VPN de l entreprise + [ OU... ] Estimation...

Agrégation Les problématiques L'estimation de la vraisemblance Le niveau d'agrégation Les choix d'agrégation L'exploitation des résultats 15/48

Agrégation Les problématiques Calcul de la vraisemblance : Avant : Scénarios consécutifs A B A B Après : Scénarios consécutifs Scénarios alternatifs C A Requiert deux formules cohérentes 16/48

Agrégation Des solutions : Min-Max Scénarios consécutifs 3 V(Ω) = min{v(s)} Scénarios alternatifs 2 3 V(Ω) = max{v(s)} 3 4 Scénario d'incident Implique un ordre de grandeur infini entre deux niveaux de vraisemblance V = min(3,max(3, 3),max(2,4)) V = min(3, 3, 4) V=3 17/48

Agrégation Des solutions : Statistique Scénarios consécutifs 3 p(ω) = Π{p(s)} Scénarios alternatifs p(ω) = 1 Π{1-p(s)} 3 3 Scénario d'incident Caractéristiques Borné entre 0 et 1 Vraisemblance est une probabilité Implique 2 transformations Vraisemblance probabilité probabilité Vraisemblance 18/48 2 4

Agrégation Des solutions : Statistique Scénarios consécutifs p(ω) = Π{p(s)} Scénarios alternatifs 0,5 0,25 0,5 1 0,5 p(ω) = 1 Π{1-p(s)} Scénario d'incident (p) Exemple Pour Vmax = 4 et un ordre de grandeur de 2. p = 2V-4 V = 4 + Log2(p) p = 0,5 [1 (1-0,5) (1 0.5)] [1 (1 0,25) (1-1)] p = 0,5 (1 0,25) (1 0) p = 0,5 0,75 p = 0,375 V = 2,6 19/48

Agrégation Des solutions : Électricité Scénarios consécutifs 3 r(ω) = Σ{r(s)} Scénarios alternatifs r(ω) = 1 Σ{1 r(s)} 3 3 Scénario d'incident Caractéristiques Borné entre 0 et +ꝏ Vraisemblance est inverse à la résistance Implique 2 transformations Vraisemblance résistance résistance Vraisemblance 20/48 2 4

Agrégation Des solutions : Électricité Scénarios consécutifs 2 r(ω) = Σ{r(s)} Scénarios alternatifs 2 2 r(ω) = 1 Σ{1 r(s)} Scénario d'incident (r) Exemple Pour Vmax = 4 et un ordre de grandeur de 2. r = 24-V V = 4 - Log2(r) r = 2 + 1 (1 2 + 1 2 ) + 1 (1 4 + 1 1) r = 2 + 1 1 + 1 1,25 r = 2 + 1 + 0,8 r = 3,8 V = 2,7 21/48 4 1

Agrégation Les problématiques Niveau d agrégation : trouver l équilibre entre Les scénarios unitaires Le scénario comportant l ensemble des cheminements possibles Comment agréger différents risques B D B G A F C Scénario d'incident 22/48 A E C Scénario d'incident D

Agrégation Les problématiques En pratique S'assurer que la description du scénario d'incident reste simple Rappel : l'agrégation vient d'un besoin de concision. Source de intentionnelle Agrégation sur le premier scénario de Que peut faire une personne malveillante une fois la première barrière franchie? Source de accidentelle Agrégation sur la partie accidentelle Environnemental Habituellement, une seule étape 23/48

Agrégation Les problématiques Exploitation des résultats : Quelle pertinence à comparer deux scénarios multiples! B Source de D A C E Bien essentiel impacté Conséquence métier Bien essentiel impacté Conséquence métier Scénario d'incident G Source de H F I Scénario d'incident 24/48

La rétro-propagation du risque 25/48

Rétro-propagation: Le plan Description Intérêts Mise en œuvre Problématique 26/48

Rétro-propagation La modélisation La propagation Bien Essentiel 1..n Bien support Critère Mesure de sécurité 1..n n..1 m..n Vulnérabilité Conséquence métier Source de 1..n 1..n Menace n..1 n..1 Événement redouté 1..n m..n Scénario de Risque 27/48

Rétro-propagation La modélisation La rétro-propagation Bien Essentiel 1..n Bien support Critère 1..n n..1 Conséquence métier Mesure de sécurité m..n Vulnérabilité Source de 1..n 1..n Menace n..1 n..1 Événement redouté 1..n m..n Scénario de Risque 28/48

Rétro-propagation Déclinaisons Rétro-propagation conditionnelle et/ou pondérée Afin de privilégier les risques importants 29/48

Rétro-propagation : Intérêts L'évaluation des risques associés à un Scénario de permet D' identifier les scénarios récurrents au sein des risques Scénario Scénario Scénario Scénario de de Scénario Scénario de de de de D'améliorer la sélection des mesures de sécurité De résoudre les problèmes de cohérence et de niveau de granularité en cas d'agrégation des risques. 30/48

Rétro-propagation : Intérêts L'évaluation de l'impact des Mesures de sécurité sur les risques permet Mesure de sécurité Mesure de sécurité Mesure de sécurité Mesure de sécurité D'identifier l'efficacité des mesures de sécurité existantes ou additionnelles D'affiner la sélection des mesures de sécurité 31/48

Rétro-propagation : Intérêts L'évaluation des risques associés à un Bien de support permet De vérifier la cohérence des résultats obtenus 32/48 Bien Bien Bien Bien support Bien support support support support

33/48

Rétro-propagation : Intérêts L'évaluation des risques associés à une Source de permet D'identifier les sources de prépondérantes Source dede Source Source dede Source Source de Éventuellement, d'agir sur ces sources de Environnemental => Changer de site Accidentel => Améliorer la qualification du personnel => Réduire le turnover => Réduire la population interagissant avec le système Intentionnel (interne) => Améliorer le climat social => Améliorer la qualification du personnel (habilitations) 34/48

Rétro-propagation : Intérêts L'évaluation des risques associés à une Conséquence métier permet Conséquence Conséquence Conséquence Conséquence métier métier métier métier D'identifier les conséquences les plus importantes, en considérant Leur importance pour l'organisme L'infrastructure technique et organisationnelle sous-jacente D'anticiper ces conséquences par un plan de gestion de crise 35/48

Rétro-propagation : Mise en œuvre Ajout d'une colonne «Risque associé» pour Les scénario de Les événements redoutés Les sources de Les conséquences métier Ajout d'une colonne «Réduction du risque» pour Les mesures de sécurité 36/48

Rétro-propagation : Les calculs Bien Essentiel 1..n Bien support Critère 1..n n..1 Conséquence métier Mesure de sécurité m..n Vulnérabilité Source de 1..n 1..n Menace n..1 n..1 Événement redouté 1..n m..n Scénario de Risque 37/48

Rétro-propagation : Les calculs Relation 1..n Risque {Événement redouté} = Σ {Risques associés} Risque {Conséquence} = \ Σ {Risques des événements redoutés associés} Risque {Source de } = \ Σ {Risques des événements redoutés associés} 38/48

Rétro-propagation : Les calculs Relation n..m - Scénarios de Scénario de Deux situations : Pas d agrégation : L ensemble des scénarios de du scénario d incident contribue de façon identique au risque Risque {Scénario de } = Σ {Risques associés} Agrégation Contribution différente des scénarios de au risque Décomposition automatique en scénario simple puis Risque {Scénario de } = Σ {Risques associés} Risque {Scénario de } = Σ {F(Risques associés)} 39/48

Rétro-propagation : Les calculs Relation n..m - Scénarios de Scénario de Cas particulier pour l agrégation : la solution «électricité» La vraisemblance est équivalente à une résistance Extension possible : La gravité est équivalente à un potentiel Le risque est équivalent à une intensité Intensité = Débit assimilable à Un coût lié aux incidents sur un durée déterminée assimilable à Un risque On peut utiliser les formules d «électricité» (U=RI) pour déterminer l intensité dans chacune des branches, le risque associé à chaque scénario de. 40/48

Rétro-propagation : Les calculs Relation n..m - Mesure de sécurité Mesure de sécurité Rappel : Démarche EBIOS Module 4 : étude des risques Risque = F(Vraisemblancescénario de ) Gravité Module 5 : étude des mesures de sécurité Modification de la vraisemblance des scénarios de s et/ou Modification de la gravité des risques associés Impact des mesures de sécurité sur le scénario de Évalué par l expert Vue d ensemble des différentes mesures de sécurité qui s appliquent au scénario de 41/48

Rétro-propagation : Les calculs Relation n..m - Mesure de sécurité Mesure de sécurité Il est IMPOSSIBLE de distinguer automatiquement la contribution des différentes mesures de sécurité sur un même scénario de. Mesure de sécurité A Scénario de 42/48 Mesure de sécurité B Mesure de sécurité C Risque

Rétro-propagation : Les calculs Relation n..m - Mesure de sécurité Mesure de sécurité Il est IMPOSSIBLE de distinguer automatiquement la contribution des différentes mesures de sécurité sur un même scénario de. Rondes de nuit autour de la salle serveur Porte de secours sous alarme Intrusion physique en salle serveur 43/48 Destruction volontaire du serveur de prod. Sauvegarde du serveur sur un site distant Arrêt de la production

Rétro-propagation : Les calculs Relation n..m - Mesure de sécurité Mesure de sécurité Si on essaye!! Réduction {Mesure de sécurité} = F(Σ { F(Risquesscénario de associé(avant l application des mesures)) F(Risquesscénario de associé(après l application des mesures)) } On suppose que chaque mesure contribue de façon équivalente à la réduction du risque F(x) = x / Nombre de mesure de sécurité en réduction 44/48

Rétro-propagation : Problématiques Calculs parfois complexes à mettre en œuvre Le tableur Excel devient insuffisant Nécessite de réaliser des développements spécifiques Pertinences des résultats Attention pour les résultats obtenus sur les mesures de sécurité Valider l approche S assurer que le bruit n est pas amplifié 45/48

Conclusion Deux extensions utilisables Agrégation Améliorer la concision. Attention : Prendre des précautions quand on l utilise. Rétro-propagation EBIOS est une démarche longue et coûteuse Propose d approfondir les résultats obtenus «Taxe d entrée» : automatiser la partie «calcul» 46/48

Conclusion Aspect à creuser Faire le parallèle entre électricité et risque Outils existants Représentation lisible 47/48

Questions? 48/48