Analyse des risques
Analyse des risques
Mercredi 19 septembre 2001
Analyse des risques sécurité SI © 2001 Nicolas Dubée, ndubee@secway.com
1
Nécessité d’une AR
• Identifier les risques sur un SI • Les classer • Les chiffrer • Pour concevoir les parades
Mercredi 19 septembre 2001
Analyse des risques sécurité SI © 2001 Nicolas Dubée, ndubee@secway.com
2
Modèles d’analyse
• Des modèles analytiques sont disponibles pour chiffrer les risques en général • Nous allons en voir quelques exemples, appliqués au cas de réseaux connectés à Internet
Mercredi 19 septembre 2001 Analyse des risques sécurité SI © 2001 Nicolas Dubée, ndubee@secway.com 3
Equation des risques (1)
Aggresseur Terroriste Criminel Pirate amateur Déni de service Employé compromis Vulnérabilité firewall
Risque =
Menace * Vulnérabilités * Impact Contremesures
Backups IDS Firewall
Catastrophique Eleve Moyen Faible
(SANS, janv. 2001)
Mercredi 19 septembre 2001 Analyse des risques sécurité SI © 2001 Nicolas Dubée, ndubee@secway.com 4
Equation des risques (2)
• Dans ce modèle:
– Les vulnérabilités augmentent le potentiel de la menace – Les contremesures réduisent ce potentiel – L’impact augmente le problème entier
Mercredi 19 septembre 2001
Analyse des risques sécurité SI © 2001 Nicolas Dubée, ndubee@secway.com
5
Equation des risques (3)
• Evaluation probabilistique : Risque = Pa x (1 – Pi) x C
– Pa: probabilité de l’attaque – Pi: Efficacité des contremesures – C : conséquences de la perte de la ressource considérée
Mercredi 19 septembre 2001
Analyse des risques sécurité SI © 2001 Nicolas Dubée, ndubee@secway.com
6
La menace (1)
• Mes systèmes sont-ils une cible potentielle ? Et pour qui ? • La menace la plus évidente: les personnes
– Des pirates incompétents aux pirates talentueux – Des curieux aux très motivés
Mercredi 19 septembre 2001 Analyse des risques sécurité SI © 2001 Nicolas Dubée,