Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Mgr850 h13 cours 05 analyse2risques

MGR ?? Hiver Analyse de risques Chamseddine Talhi École de technologie supérieure ÉTS Dép Génie logiciel et des TI CPlan ? Motivations contexte ? Objectif ? Méthode OWASP ? Autres Méthodes d ? analyse de risque ? Méthode NIST ? Post Analyse de risques ? Conclusion CMotivation Contexte Source de la ?gure http projects webappsec org w page Web- Hacking-Incident-Database Chamseddine Talhi ÉTS MGR - H CMotivation Contexte Source http laststandonzombieisland com situational- awareness-get-some Yosr Jarraya ÉTS MGR - A CMotivation Contexte ? Les technologies de l'information sont notre plus grande force et en même temps notre plus grande faiblesse Dr Ron Ross Computer Security Division Information Technology Laboratory NIST Yosr Jarraya ÉTS MGR - A CMotivation Contexte Analyse de Risque Les questions à se poser ? Quels sont les actifs à protéger leurs valeurs et leurs propriétés ? Quelles sont les menaces leurs motivations et leurs moyens ? Quelles sont les mesures de protection en place et celles qui sont requises ? Quelle est la vraisemblance qu ? une vulnérabilité soit exploitée par une source de menace ? Quel est l ? impact de cette menace sur les objectifs de sécurité Yosr Jarraya ÉTS MGR - A CMotivation Contexte Crédibilité de l ? analyse incidents réels Instead of being concerned about what CAN happen theoretical scenarios perhaps we should ?rst be dealing with what IS happening analysis of real-world web compromises ? Au lieu d'être préoccupés par ce qui peut arriver scénarios théoriques peut-être nous devrions d'abord considérer ce qui est réellement en train de se passer analyse des compromis web dans le monde réel Ryan Barnett WASC WHID Project Leader Senior Security Researcher Chamseddine Talhi ÉTS MGR - A CMotivation Contexte Compiler des incidents réels - dé ?s ? Il faut d ? abord les détecter ? Attaques détectées après X jours ? Il faut les retracer o Faible traçabilité OU o Aucune véri ?cation en vue de détection d ? attaques Source OWASP Foundation - The Web Hacking Incident Database WHID Report for Chamseddine Talhi ÉTS MGR - A CMotivation Contexte Compiler des incidents réels - dé ?s ? Les victimes cachent les violations ? Les incidents les plus visibles sont les plus médiatisés ? Exemple Les banques ne sont pas obligés de divulguer les vols e ?ectués sur les comptes de leurs clients Source OWASP Foundation - The Web Hacking Incident Database WHID Report for Chamseddine Talhi ÉTS MGR - A CMotivation Contexte Analyse de risques Principes de base ? Actifs à protéger o Valeurs o Importances con ?dentiels top secret o Propriétés con ?dentialité intégrité disponibilité ? Menaces o Attaquants potentiels amateurs terroristes états concurrents o Scénarios d ? attaques déni de services ? o Vulnérabilités exploitées débordements de tableaux ? ? Mesures de protection o Déjà en place Menaces vulnérabilités couvertes o Requis Classés par priorité urgence ? Évaluation de risques o Vraisemblance impact Chamseddine Talhi ÉTS MGR - A CObjectif ? Comprendre les risques repérés lors du processus de détermination des risques ?