Menaces
 

Les menaces exploitent des vulnérabilités d'actifs et créent ainsi un impact. Les interactions entre actifs, menaces et vulnérabilités sont analysées lors de la gestion des risques.

Il est impossible pour un organisme d'exclure totalement l'existence de menaces. En matière de sécurité on s'applique donc généralement à

Les menaces par groupes

EBIOSv2[1] propose une liste d'Agents Menaçants (e.g. menaces) génériques :

Qualification des menaces

Les menaces EBIOSv2 peuvent être qualifiées selon :

  • leur origine

    • E : Environnementale - tous les incidents qui ne sont pas causés par des actions humaines

    • D : Délibérée - pour toutes les actions délibérées visant les actifs

    • A : Accidentelle - utilisé pour toutes les actions humaines qui peuvent accidentellement endommager des actifs

  • leur atteinte à la

    • D: Disponibilité

    • I: Intégrité

    • C: Confidentialité

  • leur type

    • N: Naturel

    • H: Humain

    • E: Environnemental

Lien Vulnérabilités / Menaces / Actifs

Cette section fait référence aux vulnérabilités génériques du document EBIOS v2 – Section 4 – Outillage (Appréciation)

On peut identifier :

Objectifs de sécurité

La section 2 Objectifs de sécurité génériques du document EBIOS v2 – Section 5 – Outillage (Traitement) [4] propose pour chacun des 7 types d'entités / actifs haut niveau une liste d'objectifs de sécurité génériques adressant de fait les vulnérabilités génériques identifiées précédemment.

La section 3.2 Exigences issues de l'ISO 17799 du même document EBIOS v2 – Section 5 – Outillage (Traitement)[5] propose des exigences de sécurité en lien avec chacune des clauses de la norme ISO/IEC 17799 : 2000 (et non la version de la norme publiée en 2005 [ISO/IEC 27002:2005]).

EBIOS 2010

EBIOS 2010[6] propose une présentation différente de la version 2, tant sur le plan de la présentation des menaces que de l'approche globale.

EBIOS 2010 se divise selon les axes suivants :

  • Types de biens support

    • SYS - Systèmes informatiques et de téléphonie

    • ORG - Organisations

    • LOC - Locaux

  • Impacts

    • Impacts sur le fonctionnement

    • Impacts humains

    • Impacts sur les biens

    • Autres impacts

  • Sources de menaces

    • Sources humaines

      • Délibéré malveillant

        • Source (humaine) interne

          • Capacités faibles

          • Capacités importantes

          • Capacités illimitées

        • Source (humaine) externe

          • Capacités faibles

          • Capacités importantes

          • Capacités illimitées

      • Accidentel sans intention de nuire

        • Source (humaine) interne

          • Capacités faibles

          • Capacités importantes

          • Capacités illimitées

        • Source (humaine) externe

          • Capacités faibles

          • Capacités importantes

          • Capacités illimitées

      • Sources non humaines

Les menaces MEHARI par groupe de menace

  • Désastres naturels

    • Feu

    • Dommages provoqués par l'eau

    • Catastrophes naturelles

  • Désastres d’origine industrielle

    • Feu

    • Dommages provoqués par l'eau

    • Désastres industriels

    • Pollution mécanique

    • Pollution électromagnétique

    • Panne d'origine physique ou logique

    • Coupure de l'alimentation en électricité

    • Conditions inadéquates de température et/ou humidité

    • Défaillance des services de communications

    • Interruption des autres services et des approvisionnements essentiels

    • Dégradation des supports de stockage de l'information

    • Émanations électromagnétiques

  • Erreurs et défaillances non intentionnées

    • Erreurs des utilisateurs

    • Erreurs de l'administrateur

    • Erreurs de contrôle (log)

    • Erreurs de configuration

    • Déficiences au niveau de l'organisation

    • Diffusion de software nuisible

    • Erreurs de ré-acheminement

    • Erreurs de séquence

    • Fuites d'information

    • Altération de l'information

  • Introduction de fausses informations

    • Dégradation de l'information

    • Destruction de l'information

    • Divulgation de l'information

    • Vulnérabilités des programmes (software)

    • Erreurs de maintenance / actualisation des programmes (software)

    • Erreurs de maintenance / actualisation des équipements (hardware)

    • Effondrement du système provoqué par l'épuisement des ressources

    • Perte d'équipements

    • Indisponibilité du personnel

  • Attaques délibérées

    • Manipulation de la configuration

    • Supplantation de l'identité de l'utilisateur

    • Abus de privilèges d'accès

    • Utilisation non prévue

    • Diffusion de software nuisible

    • Ré-acheminement des messages

    • Altération de séquence

    • Accès non autorisé

    • Analyse du trafic

    • Répudiation

    • Interception d'information (écoute)

    • Modification de l'information

    • Introduction de fausses informations

    • Corruption de l'information

    • Destruction de l'information

    • Divulgation de l'information

    • Manipulation des programmes

    • Refus de service

    • Vol d'équipements

    • Attaque destructive

    • Occupation ennemie

    • Indisponibilité du personnel

    • Extorsion

    • Ingénierie sociale