Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Qu’est-ce que la modélisation des menaces et comment choisir le bon framework ?

Découvrez pourquoi la modélisation des menaces est nécessaire pour protéger votre organisation et comment choisir le framework adapté à vos besoins.
Josue Ledesma
5 minute de lecture
Publié 10 août 2021
Dernière mise à jour 6 octobre 2023

La modélisation des menaces constitue une responsabilité centrale pour toute équipe de cybersécurité souhaitant protéger son organisation et ses actifs. Elle a pour but de faciliter la détection et l’identification proactives des risques et menaces, et de mettre au point des scénarios, des modèles de réponse et d’autres stratégies de détection des menaces.

Toutefois, la modélisation des menaces évolue en même temps que les menaces. Dans cet article, nous allons voir la marche à suivre pour commencer à utiliser des modèles de menaces, les idées fausses à ignorer et la méthode permettant de trouver le bon framework pour protéger efficacement son organisation.

Qu’est-ce que la modélisation des menaces ?

La modélisation des menaces évalue les risques, les menaces et les vulnérabilités d’une organisation, détermine la probabilité que ces menaces ont de toucher une organisation, mais identifie aussi la capacité de l’organisation à les prévenir et y répondre.

La modélisation des menaces permet de se préparer à des scénarios pouvant aboutir à une violation. Les scénarios les plus courants incluent les attaques malveillantes comme le phishing, les ransomwares et les attaques de l’homme du milieu.

Toutefois, une modélisation des menaces efficace va plus loin dans le champ des possibles et des événements auxquels une organisation peut être préparée. Par exemple, lorsqu’une organisation intègre un fournisseur ou partenaire important, un fournisseur d’infrastructure de base de données par exemple, il existe un risque qu’il faut prendre en compte et auquel elle doit se préparer.

Il en va de même si une organisation procède à un déploiement public, comme un nouveau site Web ou une mise à jour majeure de son application. Il est essentiel de comprendre comment ces scénarios pourraient aboutir à une violation et comment réagir efficacement.

Déroulement du processus de modélisation des menaces

Le processus de modélisation des menaces se compose habituellement de 4 étapes de base :

Planification : que créons-nous ?

Il s’agit d’une étape centrale, au cours de laquelle vous bâtissez le cadre de votre modèle de menace. C’est là que vous définissez vos applications, votre architecture, votre flux de données, vos classifications de données, et les actifs, parties et acteurs concernés, tels que les services, partenaires et même clients.

Ce n’est qu’en échangeant avec l’ensemble des parties concernées et en comprenant chaque cas d’utilisation, composant, droit, utilisateur, point d’accès et actif important que vous pourrez passer à l’étape suivante.

Identification : qu’est-ce qui peut mal tourner ?

Cette étape commence par l’identification et le classement des types de menaces auxquelles vous pouvez être exposé, sur la base de l’étape précédente. C’est pour cette raison qu’il est important de se montrer aussi détaillé que possible, car vous devez avoir identifié la totalité de votre surface d’attaque.

Ensuite, vous devez passer en revue différents scénarios d’attaque : attaque par ransomware, exfiltration de données, injection SQL, etc. En connaissant l’importance de chaque actif et en localisation votre point de défaillance, vous saurez quelles attaques sont les plus dangereuses pour votre organisation.

Prévention/mitigation : que faisons-nous pour nous protéger des menaces ?

Cette étape repose sur les scénarios précédents et va plus loin : vous et votre équipe devez déterminer de quels technologies, plans de réponse aux incidents, contrôles, outils de mitigation des menaces et des risques, et processus vous disposez pour prévenir ou réduire les dommages induits par une violation ou une attaque réussie.

Vous devez avoir conscience que votre arsenal se recoupe d’une menace à l’autre : vous ne devez pas avoir un ensemble d’outils et de technologies spécifiques par type d’attaque ou scénario. Votre organisation doit s’appuyer sur les outils, systèmes, contrôles et processus qui protègent et défendent votre organisation de manière globale.

Validation/remédiation : avons-nous appliqué les étapes précédentes ?

L’étape précédente devrait mettre en lumière toute lacune susceptible de nuire à la sécurité de votre organisation ou de la rendre vulnérable. Au final, cette étape doit vous permettre de déterminer si la menace a bien été contrecarrée et d’identifier les mesures à prendre pour combler les éventuelles lacunes stratégiques.

Cette étape est continue : à mesure que les menaces changent et évoluent, et que votre organisation change elle aussi, votre modèle de menace doit s’adapter. Revenez régulièrement sur cette étape pour mieux comprendre quelles évolutions vous imposent de mettre à jour vos processus, outils, systèmes ou approches.

Idées fausses et erreurs fréquentes en lien avec la modélisation des menaces

La modélisation des menaces constitue l’une des activités de sécurité les plus compliquées, ce qui génère des idées fausses et erreurs pouvant nuire au processus. En voici quelques-unes qu’il est important de démentir.

Penser que les tests d’intrusion, les formations à la sécurité et les examens de code sont suffisants. La modélisation des menaces englobe les menaces et scénarios de manière bien plus complète que les tests d’intrusion et les formations à la sécurité.

Ces processus fonctionnent et vous permettront de détecter des lacunes et vulnérabilités, mais la modélisation des menaces est bien plus efficace pour vous donner une visibilité sur les menaces auxquelles vous êtes prêt à faire face ou non à l’échelle de toute l’entreprise, tout en offrant davantage de possibilités d’agir concrètement en amont.

Attendre que votre service soit plus grand ou plus mature. La modélisation des menaces est un processus complexe, mais pas suffisamment pour justifier de repousser sa mise en œuvre. Vous pouvez commencer petit et même vous lancer sur des étapes de base : vous pourriez déjà identifier des angles morts importants.

En commençant petit, vous pouvez créer des points d’étape réguliers et renforcer votre modélisation, la faire évoluer et la rendre plus efficace à mesure que votre service se développe et gagne en ressources et en disponibilité.

Ne pas faire de modélisation des menaces avant un déploiement d’envergure. La publication d’un nouveau code, d’un nouveau produit ou d’une mise à niveau majeure sans modélisation des menaces peut être extrêmement risquée. Non seulement vous déployez un élément potentiellement vulnérable, mais vous ignorez en plus l’étendue de la menace ou du risque.

La modélisation des menaces est au contraire recommandée dans ce scénario, car elle vous permet de vous assurer de l’absence de vulnérabilités faciles à exploiter, tout en vous fournissant les informations détaillées nécessaires pour vous montrer proactif en cas de violation ou d’incident de sécurité.

Choix d’un framework ou d’une méthode de modélisation des menaces

Il existe de nombreux modèles de menaces et de frameworks. Chacun dispose de ses propres applications et d’un niveau de complexité différent. Certains fournisseurs, partenaires ou outils proposent également des solutions ou logiciels qui vous aident à gérer le processus.

Certains de ces frameworks peuvent également être combinés ou utilisés avec d’autres frameworks de risque, en particulier si votre modèle de menace intègre divers types de surfaces d’attaque et de vecteurs de risque. Un article bien utile publié par CMU détaille 12 modèles de menace à votre disposition et indique lequel utiliser en fonction du scénario qui vous concerne.

De manière générale, il existe plusieurs facteurs clés à prendre en compte lors de l’adoption d’un framework ou d’une méthode de modélisation des menaces :

  • Votre secteur (et les menaces et risques qui lui sont associés)
  • La taille de votre service de sécurité
  • La composition de votre organisation (et ses parties prenantes)
  • Les ressources disponibles
  • Votre modèle de risque et votre appétit pour le risque
  • Raison de la modélisation des menaces
  • Éléments concernés (employés, appareil, déploiement de code, tiers)
  • Modèles de menace disponibles (qu’ils soient proposés par un partenaire ou un fournisseur existant)

Lorsque vous démarrez la modélisation des menaces, ces éléments vous aideront à définir quelques points cruciaux, comme les actifs à risque et les attaquants potentiels, ce qui limite le type de framework à utiliser.

Modélisation des menaces avec Varonis

Il est courant pour les organisations de travailler avec d’autres partenaires ou fournisseurs afin de les accompagner dans la modélisation des menaces. Varonis aide les organisations en les aidant à appliquer le bon framework, en fonction de leurs besoins et de leurs projets à venir.

Le laboratoire de recherche de Varonis travaille en continu sur de nouveaux modèles de menace permettant d’identifier les vulnérabilités, les menaces et les risques dès leur apparition pour imaginer de nouveaux moyens de les prévenir, de sécuriser les systèmes et de répondre aux incidents.

Avec Varonis, vous pourrez trouver le bon modèle de menace et serez accompagné par un partenaire expérimenté qui vous informera des menaces auxquelles vous êtes exposé, mais vous fournira également un framework et un plan d’action permettant de sécuriser votre organisation.

Pour découvrir comment collaborer avec Varonis à la sécurisation de votre organisation, jetez un œil à notre solution de protection des données et demandez votre évaluation gratuite des risques sur vos données.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).