Blog de Djan GICQUEL

Informagicien, crypto-convaincu, adorateur des internets 2.0, des chats et des logiciels libres

Créer son modèle de menaces

Publié le mercredi 28 août 2024, par Djan

Mis à jour le jeudi 29 août 2024

Mots clés : sécurité numérique, vie privée,

Définition

Avant de voir comment créer son modèle de menaces il faut commencer par définir cette notion. Un modèle de menaces peut être représenté sous forme d’un diagramme dans lequel on inscrit d’un côté ses actifs numériques, de l’autre côté les menaces auxquelles ces actifs sont confrontés et enfin, au milieu, les procédures et les outils pour défendre ses actifs des menaces.
Pour plus d’information je vous renvoie à mon document Introduction aux modèles de menaces (2016).

Il n’est pas possible de se prémunir de toutes les menaces existantes, c’est pourquoi un modèle de menaces se concentrera sur les menaces qui ont le plus d’impact ou les menaces les plus probables. Les risques les plus critiques pour le système d’information et/ou ses utilisateurs devront apparaître.

Qui a besoin d’un modèle de menaces ?

Tout utilisateur d’outils numériques a besoin d’un modèle de menaces, qu’il soit conscient ou non.

Par exemple un citoyen lambda veut probablement protéger

Pour cela il va sans doute choisir des mots de passe complexe, installer des logiciels de sécurité (antivirus, pare-feu), éviter de partager des informations personnelles sur internet...

Les militants politiques doivent avoir un modèle de menaces plus élaboré.
Ils peuvent craindre des accès frauduleux à leurs données sensibles de la part

  • de militants politiques adverse (espionnage)
  • de la police ; conversations, lieu de réunion, membre du réseau...
  • des journalistes d’investigations

De même les entreprises, les états, les associations et les collectifs ont également besoin d’un modèle de menaces. Puisque ces entités génèrent des données numériques qu’elles ont besoin de protéger, elles ont également besoin de réfléchir aux risques que courent leurs actifs numériques et aux moyens de les protéger.

Un modèle de menaces s’arrête t-il à la sécurité numérique ?

Un modèle de menaces ne s’arrête pas à la sécurité numérique. Il y a également d’autres aspects à prendre en compte comme la perte ou la corruption de données numériques. Des données stratégiques peuvent être perdues ou corrompues, il faut donc envisager leur sauvegarde.

Le logiciel et la stratégie de sauvegarde à utiliser va dépendre du modèle de menaces établi. Par exemple on peut utiliser un logiciel de sauvegarde privateur et en cloud si on n’a pas peur de se faire voler les données ou des accès non autorisés. Si l’intégrité des données est la confidentialité des sauvegardes est importante, on privilégiera un logiciel libre sur un support de stockage de confiance ou sur le cloud si la sécurité du logiciel est robuste et éprouvée. Il faudra respecter la règle 3-2-1 si le modèle de menaces indique que la perte des données est irréversible.
Voir à ce sujet mon article sur le Tao de la sauvegarde.

Quand le modèle de menaces est cassé

La plupart des problèmes de sécurité numérique et des arrestations de militants viennent de modèles de menaces cassés plus que des outils ou logiciels utilisés. Ce qu’on appelle « un modèle de menaces cassé », c’est lorsque les menaces n’ont pas été suffisamment pris en compte et/ou que les outils et/ou les stratégies utilisées ne répondent pas aux risques du modèle de menaces établi.

Par exemple, des militants écologistes espagnoles se sont fait arrêter, car leurs modèles de menaces étaient cassés dès le départ. Ils ont utilisé des adresses mail « sécurisées » pour converser entre eux. Il a été facile pour la police d’identifier les militants faisant partie du réseau écologiste au moyen d’une réquisition de justice après du fournisseur de service email.

Dans un contexte d’utilisation d’outils numériques par des militants, les adresses email ne doivent jamais être utilisés comme moyen de communication de base. En effet quand on utilise des adresses mail, même si celles-ci sont soit-disant chiffrées, le contenu des métadonnées ne l’est pas. Dans le contenu des métadonnées on retrouve les dates et heures de connexion, les adresses email qui se connectent ainsi que les adresses IP.

Après une réquisition de justice, la police peut remonter jusqu’au titulaire de la ligne internet via son FAI. La police n’a pas besoin de savoir quel est le contenu des emails, elle a seulement besoin de savoir qui sont les personnes qui se parlent entre elles et cela suffit à obtenir une cartographie du réseau des membres d’une association ou d’un collectif.

Je me suis fait « pirater » est-ce que mon modèle de menaces est défaillant ?

Se faire « pirater » ne veut pas forcément dire que son modèle de menaces est défaillant. L’expression « se faire pirater » et une expression populaire et doit être explicité en sécurité numérique.

Le terme « piratage » se traduit souvent par « accès non autorisé » en sécurité numérique. Lorsqu’on subit un « piratage », en réalité, ce n’est généralement pas notre ordinateur qui subit un accès non autorisé. Cela peut être un serveur mal sécurisé ou encore une usurpation d’adresse email.

Si vous êtes dans cette situation, il faut commencer par vérifier quels sont les accès qui ont été usurpés ou quels sont les ordinateurs qui ont subi des accès frauduleux. Si votre mot de passe a été compromis il est indispensable de le modifier. Vous devez vérifier si votre modèle de menaces prend en compte les accès non autorisés à vos comptes en ligne et quelles sont les stratégies retenues. Le cas échéant, appliquer les stratégies du modèle.

Comment créer son modèle de menace

Pour créer son modèle de menace, vous pouvez commencer par créer un diagramme sur un logiciel de dessin (par exemple LibreOffice DRAW) et y inscrire vos actifs numériques.

Exemple d’actifs numériques ;

Ensuite vous pouvez lister les menaces auxquelles ces actifs vont être confrontés.

Exemple de menaces pour vos actifs ;

Enfin vous pouvez relier vos actifs numériques et vos menaces via des procédures, des stratégies et des logiciels pour les protéger.

Parmi les réponses aux menaces on peut citer ;

Conclusion

En tant que libriste je vais fortement vous conseiller d’utiliser le plus possible de logiciels libres non cloud, mais, évidemment ce n’est pas toujours possible dans certains contextes. Dans tous les cas votre modèle de menaces doit, a minima, prendre en compte les menaces les plus probables et les plus conséquentes, un logiciel ou une stratégie couvrant très souvent plusieurs menaces à la fois.
Je peux vous aider à créer votre modèle de menaces et vous conseiller sur les logiciels à utiliser.

Logo de l’article : Modèle de menace de Bruce WAYNE (https://simpleprivacy.fr)

Sources :
Proton Mail transmet des données personnelles à la justice espagnole
Protonmail et la transmission des adresses IP
Votre plan de sécurité (EFF)
Atelier modèle de menaces (Nothing to hide)
Le modèle de menace (ou comment bien démarrer)
Sécurité des systèmes d’information
L’analyse de risques dans une entreprise, outil indispensable à une bonne hygiène informatique

Un message, un commentaire ?

Si la question concerne un script que j'ai écris, merci de me contacter directement.

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.

Dernières brèves

En route vers la technophobie 29 août

La CNIL protège-t-elle nos données ? 24 août

Antivirus douteux 29 juillet

Retour sur la panne mondiale chez Microsoft 27 juillet

Le contenu des fichiers Microsoft Office est transmis à Microsoft 30 juin

La publicité débarque dans le menu démarrer 30 juin

La CNIL ; passivité ou duplicité ? 12 juin

La complexité de la simplicité 9 juin

Installer un antivirus ne sert à rien 29 mai

Faire du Wordpress sans Wordpress 29 mai

Dernière brève et flux RSS 24 décembre 2023

Cyberattaque : la carte des villes, départements et hôpitaux victimes en 2023 19 décembre 2023

Google Drive et le voyage dans le temps 4 décembre 2023

Outlook copie vos données vers les serveurs Microsoft 15 novembre 2023

Les VPN sont-ils utiles ? 1er novembre 2023

Articles épinglés
Rechercher
Agenda du libre en Alsace

Strasbourg : L’AFT67 sera au Village des Associations Strasbourg 2024., Du samedi 14 septembre 2024 à 12h00 au dimanche 15 septembre 2024 à 18h00.

Strasbourg : La réunion d’Alsace Réseau Neutre (visio), Le vendredi 27 septembre 2024 de 20h00 à 22h00.

Vandœuvre-lès-Nancy : Infographie - Sérigraphie, Du lundi 21 octobre 2024 à 09h00 au vendredi 25 octobre 2024 à 17h00.

Metz : Présentation d’OpenStreetMap - première partie, Le samedi 30 novembre 2024 de 14h00 à 16h00.

Metz : Le quiz des termes du monde informatique, Le samedi 9 novembre 2024 de 14h00 à 16h00.

no-gafam-zone

Onestlà!

Web0 manifesto

(c) 2010-2024 - Blog de Djan GICQUEL | Site web propulsé par SPIP et éco-conçu

Politique de vie privée / Statuts des services / Lexique / Assistance / Revue du web / English / Corriger cette page / Warrant Canary

 Fil des articles  Plan du site  Contact  Haut