Comment menez-vous un exercice de modélisation des menaces ?
Réponse courte
La modélisation des menaces répond à quatre questions : que construisons-nous, qu'est-ce qui peut mal tourner, qu'allons-nous y faire, et avons-nous bien fait le travail. Vous schématisez le système (souvent un diagramme de flux de données avec frontières de confiance), énumérez les menaces avec un framework comme STRIDE, priorisez par risque et assignez des mitigations. PASTA ajoute une saveur centrée sur le risque et l'attaquant ; les arbres d'attaque décomposent un seul objectif. Le faire au moment de la conception est bien moins coûteux que de patcher la production.
La modélisation des menaces est la pratique consistant à trouver les failles de conception avant qu'elles ne soient construites. Les recruteurs interrogent dessus pour voir si vous savez raisonner sur un système de manière structurelle plutôt que de seulement réagir à la sortie d'un scan, et si vous savez que l'endroit le moins coûteux pour corriger une faille de sécurité est le tableau blanc.
Les quatre questions
Un bon modèle répond aux quatre questions de cadrage d'Adam Shostack : Que construisons-nous ? Qu'est-ce qui peut mal tourner ? Qu'allons-nous y faire ? Avons-nous fait un travail assez bon ? Tout ce qui suit est la machinerie pour y répondre.
Le déroulé
- Modéliser le système. Dessiner un diagramme de flux de données — processus, magasins de données, entités externes, flux de données — et marquer les frontières de confiance là où les données passent d'une zone moins fiable à une zone plus fiable. Les menaces se concentrent sur ces frontières.
- Énumérer les menaces. Appliquer un framework. STRIDE est le cheval de trait : Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege — chacun correspondant à une propriété violée (authentification, intégrité, non-répudiation, confidentialité, disponibilité, autorisation).
- Prioriser. Noter les menaces par vraisemblance et impact afin de dépenser l'effort là où le risque est le plus élevé, et non sur chaque problème théorique.
- Mitiger et vérifier. Assigner à chaque menace acceptée un contrôle, puis confirmer qu'il a réellement été implémenté et testé.
Choisir une méthode
STRIDE excelle par composant et par flux de données. Les arbres d'attaque décomposent un seul objectif d'attaquant (par ex. « exfiltrer la base de données ») en branches et sont excellents pour l'analyse approfondie d'un risque. PASTA est un processus plus lourd, en sept étapes, centré sur le risque et l'attaquant, qui relie les menaces techniques à l'impact métier — utile quand vous avez besoin de l'adhésion des dirigeants.
Ce que recherchent les recruteurs
Ils veulent vous entendre partir de la conception et des frontières de confiance, faire correspondre les lettres de STRIDE à des propriétés de sécurité concrètes, et garder le modèle vivant à mesure que le système évolue plutôt que de le traiter comme un document ponctuel.
Questions de suivi probables
- À quoi correspond chaque lettre de STRIDE, et à quelle propriété de sécurité ?
- Quand choisiriez-vous PASTA ou les arbres d'attaque plutôt que STRIDE ?
- Comment gardez-vous un modèle de menace vivant à mesure que l'architecture évolue ?