Une Introduction au Modèle de Menace

Il n’existe pas de solution unique afin de demeurer sécurisé en ligne. La sécurité digitale ne traite pas des outils que vous utilisez, il s’agit plutôt de comprendre les menaces auxquelles vous devez faire face et comment y faire face. Afin d’être plus sécurisé, vous devez déterminer ce que vous devez protéger et contre qui vous devez le protéger. Les menaces varient en fonction de votre emplacement, de vos activités et des personnes avec lesquelles vous travaillez. En conséquence, afin de déterminer les solutions qui s’adapteront le mieux à vos besoins, vous devez effectuer une évaluation de votre modèle de menace.

Voici les cinq questions à vous poser pour évaluer votre modèle de menace Anchor link

  1. Que souhaitez-vous protéger ?
  2. Contre qui souhaitez-vous le protéger ?
  3. Quelle est la probabilité que vous ayez besoin de le protéger ?
  4. Quelles seraient les conséquences si vous échouiez ?
  5. Quels désagréments êtes-vous disposé à affronter afin de vous en prémunir ?

En ce qui concerne la première question, nous faisons souvent référence aux actifs ou aux choses que vous tâchez de protéger. Un actif est quelques chose à quoi vous attachez de la valeur et souhaitez protéger. Lorsque nous parlons de sécurité digitale, les actifs en question consistent normalement en des informations. Par exemple, vos e-mails, vos listes de contacts, vos messages instantanés et vos fichiers, tous sont considérés comme des actifs. Vos dispositifs sont également des actifs.

Écrivez une liste de données que vous rangez, où vous la rangez, qui y a accès et les mécanismes qui évitent que les autres y aient accès.

Afin de répondre à la deuxième question, “Contre qui souhaitez-vous le protéger,” il est important de comprendre qui est susceptible de vous avoir ciblé ou ciblé vos informations, ou qui est votre adversaire. Un adversaire est toute personne ou entité qui représente une menace pour votre actif ou vos actifs. Exemples d’adversaires potentiels : votre chef, votre gouvernement ou un pirate informatique sur un réseau public.

Faîtes une liste de ceux qui seraient susceptibles de souhaiter s’approprier de vos données ou communications. Il peut s’agir d’une personne, une agence du gouvernement ou une corporation.

Une menace est une catastrophe pouvant être subie par un actif. Il existe de nombreuses manières pour un adversaire de menacer vos données. Par exemple, un adversaire peut lire vos communications privées tandis qu’elles sont transmises sur le réseau, ou effacer ou corrompre vos données. Un adversaire peut également désactiver votre accès à vos propres données.

Les motifs des adversaires diffèrent largement, ainsi que leurs attaques. Un gouvernement tâchant de prévenir la propagation d’une vidéo montrant la violence policière peut tout simplement souhaiter effacer ou restreindre la disponibilité de cette vidéo, tandis qu’un opposant politique peut souhaiter avoir accès à un contenu secret et le publier sans que vous en ayez connaissance.

Écrivez ce que votre adversaire est susceptible de vouloir faire avec vos données privées.

La capacité de votre attaquant est également une chose importante à prendre en compte. Par exemple, votre prestataire de téléphonie portable a accès à tous les enregistrements de votre téléphone donc, dispose de la capacité d’utiliser ces données contre vous. Un pirate informatique sur un réseau Wi-Fi libre peut avoir accès à vos communications non chiffrées. Votre gouvernement peut posséder des capacités encore plus importantes.

La dernière chose à envisage est le risque. Le risque consiste en la probabilité qu’une certaine menace contre un actif en particulier ne survienne, ce qui va de pair avec la capacité. Votre prestataire de téléphonie mobile dispose de la capacité d’avoir accès à toutes vos données, mais le risque de publier vos données privées en ligne afin de porter atteinte à votre réputation est faible.

Il est important de distinguer entre les menaces et les risques. La menace est une catastrophe qui peut survenir, tandis que le risque est la probabilité que la menace survienne. Par exemple, votre immeuble est menacé de s’effondrer, mais le risque de cette survenance est beaucoup plus important à San Francisco (où les tremblements de terre sont habituels) qu’à Stockholm (où ils ne le sont pas).

Effectuer une analyse de risque est un processus à la fois personnel et subjectif, tout le monde n’a pas les mêmes priorités ni ne visualise les menaces de la même manière. De nombreuses personnes trouvent certaines menaces inacceptables peu importe le risque, car la seule présence de la menace, quelle que soit sa probabilité, n’en vaut pas la chandelle. Dans d’autres cas, les personnes ignorent les risques importants car ils ne visualisent pas la menace comme un problème.

Dans un contexte militaire, par exemple, il peut être préférable pour un actif d’être détruit plutôt que de tomber entre les mains ennemies. Au contraire, dans de nombreux contextes civils, il est plus important pour un actif tel qu’un service e-mail d’être disponible et non confidentiel.

Maintenant, exerçons le modèle de menace. Anchor link

Si vous souhaitez maintenir votre maison et vos possessions à l’abri, voici quelques questions que vous devez vous poser :

  • Dois-je verrouiller ma porte ?
  • Dans quelle sorte de verrou ou verrous dois-je investir ?
  • Ai-je besoin d’un système de sécurité plus avancé ?
  • Quels sont les actifs dans ce scénario ?
    • L’intimité de ma maison
    • Les éléments à l’intérieur de ma maison
  • Quelle est la menace ?
    • Quelqu’un peut entrer par effraction.
  • Quel est le risque réel de voir quelqu’un entrer par effraction ? Est-il probable ?

Une fois que vous vous êtes posé ces questions, vous êtes en situation d’évaluer les mesures à prendre. Si vos possessions sont de valeur mais le risque d’effraction est faible, vous n’investirez pas dans un verrou coûteux. Au contraire, si le risque est élevé, vous souhaiterez vous munir des meilleurs verrous existant sur le marché et, peut-être, ajouter un système de sécurité.

Dernière actualisation: 
2015-01-12
Cette page a été traduite de l’anglais. La version anglaise peut contenir des informations plus récentes.
JavaScript license information