La modélisation des menaces constitue une responsabilité centrale pour toute équipe de cybersécurité souhaitant protéger son organisation et ses actifs. Elle a pour but de faciliter la détection et l’identification proactives des risques et menaces, et de mettre au point des scénarios, des modèles de réponse et d’autres stratégies de détection des menaces.
Toutefois, la modélisation des menaces évolue en même temps que les menaces. Dans cet article, nous allons voir la marche à suivre pour commencer à utiliser des modèles de menaces, les idées fausses à ignorer et la méthode permettant de trouver le bon framework pour protéger efficacement son organisation.
Qu’est-ce que la modélisation des menaces ?
La modélisation des menaces évalue les risques, les menaces et les vulnérabilités d’une organisation, détermine la probabilité que ces menaces ont de toucher une organisation, mais identifie aussi la capacité de l’organisation à les prévenir et y répondre.
La modélisation des menaces permet de se préparer à des scénarios pouvant aboutir à une violation. Les scénarios les plus courants incluent les attaques malveillantes comme le phishing, les ransomwares et les attaques de l’homme du milieu.
Toutefois, une modélisation des menaces efficace va plus loin dans le champ des possibles et des événements auxquels une organisation peut être préparée. Par exemple, lorsqu’une organisation intègre un fournisseur ou partenaire important, un fournisseur d’infrastructure de base de données par exemple, il existe un risque qu’il faut prendre en compte et auquel elle doit se préparer.
Il en va de même si une organisation procède à un déploiement public, comme un nouveau site Web ou une mise à jour majeure de son application. Il est essentiel de comprendre comment ces scénarios pourraient aboutir à une violation et comment réagir efficacement.
Déroulement du processus de modélisation des menaces
Le processus de modélisation des menaces se compose habituellement de 4 étapes de base :
Planification : que créons-nous ?
Il s’agit d’une étape centrale, au cours de laquelle vous bâtissez le cadre de votre modèle de menace. C’est là que vous définissez vos applications, votre architecture, votre flux de données, vos classifications de données, et les actifs, parties et acteurs concernés, tels que les services, partenaires et même clients.
Ce n’est qu’en échangeant avec l’ensemble des parties concernées et en comprenant chaque cas d’utilisation, composant, droit, utilisateur, point d’accès et actif important que vous pourrez passer à l’étape suivante.
Identification : qu’est-ce qui peut mal tourner ?
Cette étape commence par l’identification et le classement des types de menaces auxquelles vous pouvez être exposé, sur la base de l’étape précédente. C’est pour cette raison qu’il est important de se montrer aussi détaillé que possible, car vous devez avoir identifié la totalité de votre surface d’attaque.
Ensuite, vous devez passer en revue différents scénarios d’attaque : attaque par ransomware, exfiltration de données, injection SQL, etc. En connaissant l’importance de chaque actif et en localisation votre point de défaillance, vous saurez quelles attaques sont les plus dangereuses pour votre organisation.
Prévention/mitigation : que faisons-nous pour nous protéger des menaces ?
Cette étape repose sur les scénarios précédents et va plus loin : vous et votre équipe devez déterminer de quels technologies, plans de réponse aux incidents, contrôles, outils de mitigation des menaces et des risques, et processus vous disposez pour prévenir ou réduire les dommages induits par une violation ou une attaque réussie.
Vous devez avoir conscience que votre arsenal se recoupe d’une menace à l’autre : vous ne devez pas avoir un ensemble d’outils et de technologies spécifiques par type d’attaque ou scénario. Votre organisation doit s’appuyer sur les outils, systèmes, contrôles et processus qui protègent et défendent votre organisation de manière globale.
Validation/remédiation : avons-nous appliqué les étapes précédentes ?
L’étape précédente devrait mettre en lumière toute lacune susceptible de nuire à la sécurité de votre organisation ou de la rendre vulnérable. Au final, cette étape doit vous permettre de déterminer si la menace a bien été contrecarrée et d’identifier les mesures à prendre pour combler les éventuelles lacunes stratégiques.
Cette étape est continue : à mesure que les menaces changent et évoluent, et que votre organisation change elle aussi, votre modèle de menace doit s’adapter. Revenez régulièrement sur cette étape pour mieux comprendre quelles évolutions vous imposent de mettre à jour vos processus, outils, systèmes ou approches.
Idées fausses et erreurs fréquentes en lien avec la modélisation des menaces
La modélisation des menaces constitue l’une des activités de sécurité les plus compliquées, ce qui génère des idées fausses et erreurs pouvant nuire au processus. En voici quelques-unes qu’il est important de démentir.
Penser que les tests d’intrusion, les formations à la sécurité et les examens de code sont suffisants. La modélisation des menaces englobe les menaces et scénarios de manière bien plus complète que les tests d’intrusion et les formations à la sécurité.
Ces processus fonctionnent et vous permettront de détecter des lacunes et vulnérabilités, mais la modélisation des menaces est bien plus efficace pour vous donner une visibilité sur les menaces auxquelles vous êtes prêt à faire face ou non à l’échelle de toute l’entreprise, tout en offrant davantage de possibilités d’agir concrètement en amont.
Attendre que votre service soit plus grand ou plus mature. La modélisation des menaces est un processus complexe, mais pas suffisamment pour justifier de repousser sa mise en œuvre. Vous pouvez commencer petit et même vous lancer sur des étapes de base : vous pourriez déjà identifier des angles morts importants.
En commençant petit, vous pouvez créer des points d’étape réguliers et renforcer votre modélisation, la faire évoluer et la rendre plus efficace à mesure que votre service se développe et gagne en ressources et en disponibilité.
Ne pas faire de modélisation des menaces avant un déploiement d’envergure. La publication d’un nouveau code, d’un nouveau produit ou d’une mise à niveau majeure sans modélisation des menaces peut être extrêmement risquée. Non seulement vous déployez un élément potentiellement vulnérable, mais vous ignorez en plus l’étendue de la menace ou du risque.
La modélisation des menaces est au contraire recommandée dans ce scénario, car elle vous permet de vous assurer de l’absence de vulnérabilités faciles à exploiter, tout en vous fournissant les informations détaillées nécessaires pour vous montrer proactif en cas de violation ou d’incident de sécurité.
Choix d’un framework ou d’une méthode de modélisation des menaces
Il existe de nombreux modèles de menaces et de frameworks. Chacun dispose de ses propres applications et d’un niveau de complexité différent. Certains fournisseurs, partenaires ou outils proposent également des solutions ou logiciels qui vous aident à gérer le processus.
Certains de ces frameworks peuvent également être combinés ou utilisés avec d’autres frameworks de risque, en particulier si votre modèle de menace intègre divers types de surfaces d’attaque et de vecteurs de risque. Un article bien utile publié par CMU détaille 12 modèles de menace à votre disposition et indique lequel utiliser en fonction du scénario qui vous concerne.
De manière générale, il existe plusieurs facteurs clés à prendre en compte lors de l’adoption d’un framework ou d’une méthode de modélisation des menaces :
- Votre secteur (et les menaces et risques qui lui sont associés)
- La taille de votre service de sécurité
- La composition de votre organisation (et ses parties prenantes)
- Les ressources disponibles
- Votre modèle de risque et votre appétit pour le risque
- Raison de la modélisation des menaces
- Éléments concernés (employés, appareil, déploiement de code, tiers)
- Modèles de menace disponibles (qu’ils soient proposés par un partenaire ou un fournisseur existant)
Lorsque vous démarrez la modélisation des menaces, ces éléments vous aideront à définir quelques points cruciaux, comme les actifs à risque et les attaquants potentiels, ce qui limite le type de framework à utiliser.
Modélisation des menaces avec Varonis
Il est courant pour les organisations de travailler avec d’autres partenaires ou fournisseurs afin de les accompagner dans la modélisation des menaces. Varonis aide les organisations en les aidant à appliquer le bon framework, en fonction de leurs besoins et de leurs projets à venir.
Le laboratoire de recherche de Varonis travaille en continu sur de nouveaux modèles de menace permettant d’identifier les vulnérabilités, les menaces et les risques dès leur apparition pour imaginer de nouveaux moyens de les prévenir, de sécuriser les systèmes et de répondre aux incidents.
Avec Varonis, vous pourrez trouver le bon modèle de menace et serez accompagné par un partenaire expérimenté qui vous informera des menaces auxquelles vous êtes exposé, mais vous fournira également un framework et un plan d’action permettant de sécuriser votre organisation.
Pour découvrir comment collaborer avec Varonis à la sécurisation de votre organisation, jetez un œil à notre solution de protection des données et demandez votre évaluation gratuite des risques sur vos données.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.