La Découverte est importante, mais il est tout aussi important d'être capable d'estimer le risque associé. Au début du cycle de vie, vous pouvez identifier les problèmes de sécurité dans l'architecture ou le design à l'aide de la modélisation des menaces. Plus tard, vous pouvez trouver des failles de sécurité en utilisant l'examen du code ou des tests de pénétration. Ou vous ne pouvez pas découvrir une faille tant que l'application en production n'est pas effectivement compromise.

En suivant l'approche ici, vous serez en mesure d'estimer la gravité de l'ensemble de ces risques pour votre organisation, et prendre une décision éclairée sur ce qu'il faut faire à leur sujet. Avoir un système de notation en place pour les risques fera gagner du temps. Ce système permettra d'assurer que vous ne vous laissez pas distraire par les petits risques, tout en ignorant des risques plus graves qui sont moins bien compris.

Dans l'idéal, il faudrait un système de notation de risque universel qui serait d'estimer avec précision tous les risques pour toutes les organisations. Mais une vulnérabilité qui est essentielle pour une organisation peut ne pas être très importante pour l'autre. Ainsi, un cadre de base est présenté ici que vous devez personnaliser pour votre organisation.

Les auteurs se sont efforcés de rendre ce modèle assez simple à utiliser, tout en gardant suffisamment de détails pour faire des estimations précises des risques. Reportez vous à la section ci-dessous sur la personnalisation pour plus d'informations à propos de l'adaptation du modèle pour une utilisation dans votre organisation.

Il existe de nombreuses approches différentes pour l'analyse des risques. Voir dans la section des références ci-dessous quelques-unes des plus communes. L'approche de l'OWASP présentée ici est basée sur ces méthodologies standard et sur mesure pour la sécurité des applications.

Commençons par le modèle standard des risques:

Risque Probabilité = * Impact

Dans les sections suivantes, on décompose les facteurs qui composent la «probabilité» et l'«impact» pour la sécurité des applications afin de montrer comment les combiner pour déterminer la gravité globale pour le risque.

• Étape 1: Identification d'un risque
• Étape 2: Estimation des facteurs de vraisemblance
• Etape 3: Estimation des facteurs d'impact
• Étape 4: Détermination de la gravité du Risque
• Etape 5: Décider ce qu'il faut corriger
• Etape 6: Personnalisation de votre modèle d'évaluation du risque

La première étape consiste à identifier un risque de sécurité qui doit être évalué. Vous aurez besoin de recueillir des informations sur l'agent de menace en jeu, l'attaque qu'il utilise, la vulnérabilité impliquée, et l'impact d'une exploitation réussie pour votre organisation. Il peut y avoir plusieurs groupes d'assaillants éventuels, ou même de multiples impacts possibles. En général, il est préférable de pécher par excès de prudence en utilisant l'option du pire, ce qui se traduira par le plus grand risque.

Une fois que vous avez identifié un risque potentiel, et que vous voulez apprécier sa gravité, la première étape consiste à estimer la «probabilité». Dans un premier temps, il s'agit d'une mesure approximative de la probabilité que la vulnérabilité découverte soit exploitée par un attaquant. Nous n'avons pas besoin d'être trop précis dans cette estimation. En règle générale, déterminer si la probabilité est faible, moyenne ou élevée est suffisante.

Il y a un certain nombre de facteurs qui peuvent nous aider à comprendre cela. Le premier ensemble de facteurs sont liés à l'agent de menace en cause. L'objectif est d'estimer la probabilité d'une attaque réussie d'un groupe d'assaillants éventuels. Notez qu'il peut y avoir plusieurs agents de menace qui peuvent exploiter une même vulnérabilité, il est donc généralement préférable d'utiliser le scénario le plus pessimiste. Par exemple, un utilisateur interne peut être un attaquant beaucoup plus probable qu'un utilisateur anonyme externe - mais cela dépend d'un certain nombre de facteurs.

Notez que chaque facteur a un ensemble d'options, et chaque option a une cote de probabilité de 0 à 9 qui lui est associée. Nous allons utiliser ces chiffres plus tard pour estimer la probabilité globale.

Le premier ensemble de facteurs sont liés à l'agent de menace en cause. Le but ici est d'estimer la probabilité d'une attaque réussie par ce groupe d'agents de menace. Utilisez l'agent de la pire menace.

• Niveau de compétence

Comment est techniquement qualifié ce groupe d'agents de menace? Utilisateur disposant de compétences de pénétration de sécurité (1), de compétences en programmation et réseau (3), de compétences informatiques avancées (4), de certaines compétences techniques (6), d'aucune compétence technique (9)

• Motivation

Combien le groupe d'agents est motivé pour trouver et exploiter cette vulnérabilité? Peu ou pas de récompense (1), récompense possible (4), à forte rentabilité (9)

• Occasion

Quelles sont les ressources et les opportunités qui sont nécessaires pour que ce groupe d'agents puisse trouver et exploiter cette vulnérabilité? accès complet ou ressources coûteuses nécessaires (0), accès ou ressources spéciaux nécessaires (4), quelques accès ou ressources nécessaires (7), pas d'accès ou de ressources nécessaires (9)

• Grade

Quelle est le grade de ce groupe d'agents ? Développeurs (2),administrateurs système (2), utilisateurs de l'intranet (4), partenaires (5), utilisateurs authentifiés (6), utilisateurs Internet anonymes (9)

La prochaine série de facteurs sont liés à la vulnérabilité impliquées. Le but ici est d'estimer la probabilité que la vulnérabilité impliquée soit découverts et exploitée. Supposons que nous ayons sélectionné l'agent de menace ci-dessus.

• Facilité de découverte

Estimation du niveau de le facilité pour ce groupe d'agents pour découvrir cette vulnérabilité : Pratiquement impossible (1), difficile (3), facile (7), des outils automatisés sont disponibles (9)

• Facilité d'exploitation

Estimation du niveau de le facilité pour ce groupe d'agents de réellement exploiter cette vulnérabilité: Théorique (1), difficile (3), facile (5), des outils automatisés sont disponibles (9)

• Connaissance

Estimation du niveau de connaissance qu'ont ce groupe d'agents de cette vulnérabilité: Inconnu (1), caché (4), évident (6), connaissance du public (9)

Estimation du niveau de probabilité qu'un exploit puisse être détecté: Détection active dans l'application (1), détecté et contrôlé (3), détecté sans contrôle (8), pas détecté (9)

Pour évaluer l'impact d'une attaque réussie, il est important de réaliser qu'il y a deux types d'impacts. Le premier est «l'impact technique» sur l'application, les données qu'elle utilise, ainsi que les fonctions qu'elle offre. L'autre est «l'impact métier» sur l'organisation exploitant l'application.

En fin de compte, l'impact économique est plus important. Cependant, vous ne pouvez pas avoir accès à toutes les informations nécessaires pour comprendre les conséquences commerciales d'une exploitation réussie. Dans ce cas, fournir autant de détails au sujet du risque technique permettra au représentant commercial approprié de prendre une décision au sujet du risque d'entreprise.

Encore une fois, chaque facteur a un ensemble d'options, et chaque option a un indice d'impact de 0 à 9 qui lui est associé. Nous allons utiliser ces chiffres plus tard pour estimer l'impact global.

L'impact technique peut être décomposé en facteurs qui correspondent aux préoccupations traditionnelles de sécurité: la confidentialité, l'intégrité, la disponibilité et la non répudiation. L'objectif est d'estimer l'ampleur de l'impact sur le système si la vulnérabilité devaient être exploitées.

• Perte de confidentialité

Quelle quantité de données pourraient être divulguées et quel est leur niveau de sensibilité? minimum de données non sensibles divulguées (2), un minimum de données critiques divulguées (6), vastes quantités de données non sensibles divulguées (6), nombreuses données critiques divulguées (7), toutes les données divulguées (9)

• La perte d'intégrité

Quelle quantité de données peut être corrompue et comment sont-elles endommagées? Peu de données légèrement corrompues (1), un minimum de données sérieusement corrompues (3), de vastes quantités de données légèrement corrompus (5), de vastes quantités de données sérieusement corrompues (7), toutes les données totalement corrompues (9)

• Perte de disponibilité

Combien de services pourraient être perdus et comment est-il indispensable? Un minimum de services secondaires interrompues (1), un minimum de services primaires interrompus (5), de vastes services secondaires interrompues (5), de vastes services primaires interrompus (7), tous les services complètement perdu (9)

• Perte de la non répudiation

Les actions d'un individu s agents sont elles «traçables »? Entièrement traçables (1), peut-être traçable (7), complètement anonyme (9)

L'impact métiers découle de l'impact technique, mais nécessite une compréhension profonde de ce qui est important pour l'entreprise qui exécute l'application. En général, vous devriez évaluer ces risques d'impact sur les entreprises, en particulier si votre public est de niveau décisionnel. Le risque commercial est ce qui justifie l'investissement dans la résolution des problèmes de sécurité.

De nombreuses entreprises ont un guide de classification des actifs et/ou d'impact sur leur structure pour aider à formaliser ce qui est important pour elles. Ces normes peuvent aider à vous concentrer sur ce qui est vraiment important pour la sécurité. Si ceux-ci ne sont pas disponibles, dialoguez avec des gens qui comprennent l'entreprise pour obtenir leur point de vue sur ce qui est important.

Les facteurs ci-dessous sont des points communs à de nombreuses entreprises, mais ce domaine est encore plus unique pour chaque entreprise que les facteurs liés à l'agent de menace, la vulnérabilité et de l'impact technique.

• Préjudice financier

Combien de dégâts pécuniaire résulteront de l'exploit? Moins que le coût pour corriger la vulnérabilité (1), effet mineur sur le résultat annuel (3), effet significatif sur le résultat annuel (7), faillite (9)

• Atteinte à la réputation

Est-ce que l'exploit qui porte atteinte à la réputation de l'entreprise peut lui nuire? minimum de dommages (1), perte de clients grands comptes (4), perte de clientèle (5), dommages de marque (9)

• Degré de la violation

Quel est le degré de la violation? Violation mineure (2), violation flagrante (5), violation de haut niveau (7) Violation de la vie privée

Combien d'informations personnellement identifiables peuvent être divulgués? Un individu (3), des centaines de personnes (5), des milliers de personnes (7), des millions de personnes (9)

Dans cette étape, nous allons mettre sur pied l'estimation de la probabilité et de l'estimation de l'impact pour calculer une sévérité globale de ce risque. Tout ce que vous devez faire ici est de déterminer si la probabilité est faible, moyenne ou élevée, puis faire de même pour l'impact. Nous allons diviser notre échelle de 0 à 9 en trois parties.

Dans de nombreux environnements, il n'y a rien de mal dans certains facteurs. Vous devriez cependant réévaluer ceux-ci et identifier les principaux «moteurs» qui contrôlent le résultat de ces facteurs. Vous pourriez découvrir que votre première impression était erronée en considérant les aspects du risque qui n'étaient pas évidentes.

Si vous devez défendre vos valeurs ou de les rendre reproductibles, vous devre peut-être passer par un processus de notation des facteurs plus formel et calculer le résultat. Rappelez-vous que il y a beaucoup d'incertitude dans ces estimations, et que ces facteurs sont destinés à vous aider à arriver à un résultat raisonnable. Ce processus peut être soutenu par des outils automatisés pour faciliter le calcul.

La première étape consiste à sélectionner l'une des options associées à chaque facteur et entrez le numéro associé dans la table. Ensuite, il vous suffit de prendre la moyenne des scores pour calculer la probabilité globale. Par exemple:

Ensuite, nous avons besoin d'évaluer l'impact global. Le processus est similaire ici. Dans de nombreux cas, la réponse sera évidente, mais vous pouvez faire une estimation basée sur les facteurs, ou vous pouvez calculer la moyenne des scores pour chacun des facteurs. Un score, inférieur à 3 est faible, entre 3 et moins de 6 est moyen, entre 6 et 9 est Fort. Par exemple:

Puisque nous sommes arrivés à des estimations de probabilité et d'impact, nous pouvons maintenant les combiner pour obtenir une cote de gravité finale de ce risque. Notez que si vous avez une bonne information sur l'impact métiers, vous devriez l'utiliser à la place de l'information sur l'impact technique. Mais si vous n'avez aucune information sur l'entreprise, alors l'impact technique est la meilleure façon d'évaluer comme ce qui suit.

Dans l'exemple ci-dessus, la probabilité est moyenne, et l'impact technique est élevé, donc à partir d'un point de vue purement technique, il semble que la gravité globale soit à un HAUT niveau. Cependant, notez que l'impact commercial est en fait faible, de sorte la gravité globale devrait aussi être décrite comme faible. C'est pourquoi la compréhension du contexte métiers des vulnérabilités que vous évaluez est si essentielle pour la prise des bonnes décisions.

Après vous ayez classer les risques de l'application, vous devrez établir une liste de priorité des problèmes à résoudre. En règle générale, vous devez mettre les risques les plus graves en premier.

Rappelez-vous, tous les risques n'induisent pas les mêmes couts, et une certaine perte est non seulement prévu, mais également justifiable sur la base du coût de fixation de la faille. Par exemple, si il en coûterait 100.000 dollars pour mettre en œuvre des contrôles pour enrayer 2000 $ de fraude par an, il faudrait 50 ans de retour sur investissement pour ammortir la perte. Mais rappelez-vous qu'il peut y avoir atteinte à la réputation qui pourrait coûter à l'organisation beaucoup plus.

Avoir un cadre de classement des risques qui est personnalisable pour une entreprise est essentiel. Un modèle sur mesure est beaucoup plus susceptible de produire des résultats qui correspondent à la perception des gens sur ce qui représente un risque sérieux. Vous pouvez perdre beaucoup de temps à discuter sur les évaluations des risques s'ils ne sont pas pris en charge par un modèle comme celui-ci. Il y a plusieurs façons d'adapter ce modèle pour votre organisation.

Vous pouvez choisir différents facteurs qui représentent mieux ce qui est important pour votre organisation. Par exemple, une application militaire pourrait ajouter les facteurs d'impact liés à la perte de vies humaines ou d'informations classifiées. Vous pouvez également ajouter des facteurs de vraisemblance, tels que la fenêtre d'opportunité pour un attaquant ou la force de l'algorithme de chiffrement.

Il y a quelques échantillons d'options associées à chaque facteur, mais le modèle sera beaucoup plus efficace si vous personnalisez ces options pour votre entreprise. Par exemple, utilisez le nom des différentes équipes et vos noms pour les différentes catégories d'informations. Vous pouvez également modifier les scores associés aux options. La meilleure façon d'identifier les bonnes informations est de comparer les évaluations produites par le modèle a une note produite par une équipe d'experts. Vous pouvez affiner le modèle en ajustant avec soin les scores.

Le modèle de pondération ci-dessus suppose que tous les facteurs sont tout aussi importants. Vous pouvez pondérer les facteurs pour souligner les facteurs qui sont plus importants pour votre entreprise. Ceci rend le modèle un peu plus complexe, car vous aurez besoin d'utiliser une moyenne pondérée. Mais sinon tout fonctionne quand même. Encore une fois, vous pouvez affiner le modèle en le comparant à des cotes de risques de votre choix.

• Guide de gestion des risques pour les systèmes de technologie de l'information NIST 800-30 http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
• Gestion du risque AS / NZS 4360 http://www.saiglobal.com/shop/script/Details.asp?docn=AS564557616854
• Standard pour le classements des vulnérabilités, des gravités et des risques pour l'industrie (CVSS) http://www.first.org/cvss/
• Modèles améliorant la sécurité des processus (CLASP) http://www.owasp.org/index.php/Category:OWASP_CLASP_Project
• Aide-mémoire:Sécurité des applications Web - MSDN - Microsoft http://msdn.microsoft.com/en-us/library/ff649461.aspx
• Sécurité Dans Le cycle de vie du logiciel par le DHS https://buildsecurityin.us-cert.gov/daisy/bsi/87/version/12/part/4/data/Draft+Security+in+the+Software+Lifcycle+v1.2.pdf?branch=main&language=default
• Modélisation menace et des risques de l'OWASP https://www.owasp.org/index.php/Threat_Risk_Modeling
• Analyse des menaces http://www.ptatechnologies.com/
• Une plateforme pour l'analyse des risques des systèmes de sécurité critiques http://www2.nr.no/coras/
• Modèle de conduite du développement et de l'analyse des systèmes d'information sécurisés http://heim.ifi.uio.no/~ketils/securis/the-securis-technical-description.htm
• Conduite d'une modélisation d'une menace de sécurité sur la base d'une attaque d'analyse des chemins (paths) http://origin-www.computer.org/csdl/proceedings/hicss/2007/2755/00/27550280a.pdf