OSAR





Outil de Support d'Analyse de Risques

Projet

OSAR est un projet étudiant lancé en 2017/2018 en collaboration avec un expert en anlyse de risque d'Orange Cyberdefense. Le rôle des experts en analyse de risque est d'aller auditer des entreprises clientes et d'analyser leur système d'information (SI). Ils prennent note des attentes des dirigeants concernants les éléments (biens essentiels) dont ils souhaitent s'assurer de la sécurité et de la sureté et étudient le SI pour détailler les élements par lesquels ils transitent (biens supports).

Le projet consiste en la réalisation d'un logiciel permettant à son utilisateur de saisir les éléments du système d'information qu'il étudie ainsi que les vulnérabilités auxquelles pourront faire face les différents équipements. Après calculs du logiciel l'utilisateur sera en mesure de connaître les différents chemins d'attaques possibles et les plus dangereux et ainsi en informer son client afin qu'il mette en place des mesures adaptées.


Outils

-

La méthodologie EBIOS

Analyser

Les Critères Communs

Evaluer

Les arbres d'attaques

Représenter



Les trois méthodes d'analyse sont issues de dizaines d'années de recherches mais surtout de l'expérience acquise sur le terrain. EBIOS nous permet d'analyser et localiser les points sensibles d'un système. Elle fournit, en outre, un moyen de lier les biens essentiels aux biens supports. On représente ces liens avec un arbre d'attaque qui permet d'avoir une visualisation graphique des scénarios d'attaque qui facilite l'analyse quantitative des scénarios de sécurité. Grâce aux Critères Communs, on peut valuer ce graphe et déterminer la vulnérabilité des biens supports pour un bien essentiel donné ainsi que le critère sur lequel elle repose.

Equipe

Ce sont 8 étudiants de l'INSA de Rennes qui sont en charge de ce projet pour l'année 2017/2018. Au premier semestre l'équipe a étudié le contexte et rédigé différents documents notamment des spécifications fonctionnelles et une planification. Au second semestre l'équipe s'est chargée de concevoir le logiciel et de le présenter au client.

Yves CORITON
Raphaël GILLET
Bastien LELARGE
Haris PASIC
Arthur PROVOST
Doran STEPHAN
Mathieu THÉ
Damien VILLERS
© OSAR 2017/2018 | Made with

EBIOS

La méthode Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS), est une méthode qui permet à la fois d’identifier les risques et de les hiérarchiser dans le but de proposer des contre-mesures à ceux ci.
EBIOS se compose de cinq modules. Les axes importants de cette méthodologie sont :

  1. Étude du contexte fonctionnel et technique;
  2. Expression des besoins de sécurité;
  3. Étude des menaces (fonctionnelles et techniques) pesant sur le périmètre au-dité;
  4. Expression des objectifs de sécurité;
  5. Détermination des exigences de sécurité.

Le premier module, étude du context, consiste à définir le contexte de travail avec le client. Ce dernier délimite un périmètre pour l’analyse de risques, qui pourra être redéfini avec la société d’étude grâce à son expérience afin de vérifier et d’ajuster le périmètre pour qu’il soit en adéquation avec l’étude. Le premier module est la principale force de la méthode EBIOS car il permet à la démarche de s’adapter au contexte de l’entreprise et d’être ajustée à ses outils.

Le second module, événements redoutés, se concentre uniquement sur les biens essentiels(information, service,....) que l’on cherche à protéger. Ce besoin de sécurité s’exprime selon des critères de sécurités suivants : la confidentialité, l’intégrité et la disponibilité (CID). Il faut ainsi identifier ces biens essentiels, estimer leurs valeurs, mettre en évidence les sources de menaces (gravité et vraisemblance) et montrer les impacts (économique, juridique....) sur l’organisme si les besoins ne sont pas respectés.

Le troisième module, les scénarios de menace, de la méthodologie EBIOS se concentre sur les biens supports. Ce sont les composants “réels/physiques” qui portent les biens essentiels. Les biens supports sont analysés concrètement à travers leur architecture, leur flux,... et les menaces et leurs sources sont identifiées.

Le quatrième module, les risques, a pour but de lister les risques qui sont des événements redoutés lié à des scénarios.

Le but du dernier module, les mesures de sécurités, est de proposer des contre-mesures aux risques identifiés précédemment, afin de réduire la vraisemblance des risques et leurs impacts.

Fermer

les Critères Communs

Les Critères Communs sont nés d’un besoin d’uniformisation dans le monde de l’analyse de risques. Dans les années 80 et 90, plusieurs pays ont commencé à développer des méthodes d’analyse de risques. Le problème était qu'un système certifié, qui respecte des normes de sécurité définies par une méthode, n’était pas obligatoirement reconnu dans les pays utilisant une norme différente. De plus, il était difficile de comparer les logiciels à certifier entre eux car la norme de certification utilisée était bien souvent différente. De ce désir d’uniformisation est sortie la norme ISO-15408 que l'on nomme Critères Communs reconnue par 17 pays signataires qui peuvent donc certifier des systèmes.
Les Critères Communs sont décrits selon 3 documents. Le premier est l'introduction, il présente les 2 autres documents et leurs fonctionnements. Il explique la méthode mais ne précise pas de manière explicite comment l'implémenter. Le deuxième document présente les exigences fonctionnelles, et le troisième les critères en terme d'assurance de sécurité.

Pour ce projet nous utilisons une partie spécifique des critères communs : le potentiel d'attaque. Le potentiel d'attaque fait partie de l'évaluation de vulnérabilité. Cette évaluation se passe en différentes étapes :

  • Identification de zones concernées : l'évaluateur va rechercher au sein du système des zones où il juge nécessaire de vérifier la vulnérabilité et il va effectuer des recherches sur la conception, l'architecture de ces zones pour rassembler des informations;
  • Recherche de vulnérabilités : cette partie consiste à rechercher dans les zones concernées des possibles vulnérabilités en se basant sur des connaissances communes et sur l'analyse des informations regroupées;
  • Vérification des hypothèses : on vérifie dans la liste de vulnérabilités si elles sont applicables dans l'environnement du système, si elles peuvent être utilisées pour attaquer.

Au final une liste de vulnérabilités est construite. A partir de cette liste, des scénarios d'attaques sont établis pour chaque vulnérabilité pour calculer ensuite le potentiel d'attaque. Celui-ci correspond à une valeur numérique calculée à partir d'un scénario qui exploite une faille. Les scénarios sont découpés en deux étapes : Identification et Exploitation. Pour permettre de valuer ces deux étapes on effectue une somme des valeurs attribuées à des facteurs qui sont les suivants :

  • Temps passé : Temps requis pour effectuer l'étape;
  • Connaissance requise : Niveau de connaissance requis pour effectuer l'étape;
  • Connaissance sur le système cible : Connaissance que doit avoir l'attaquant sur le système pour faire l'étape;
  • Fenêtre d’opportunité : Fenêtre qui est requise avant d'être contré ou découvert ou bien que l'attaque soit réussie;
  • Équipement nécessaire : Logiciel et équipement nécessaire pour attaquer.

Ainsi, pour les deux étapes qui composent un scénario, on fait la somme des valeurs attribuées à chaque facteurs. Pour finir on fait la somme entre les deux étapes pour obtenir le potentiel d'attaque d'une scénario donnée.

Fermer

Les arbres d'attaques et ADTool

Les arbres d'attaques sont une représentation des scénarios d'attaques. La racine représente le but final de l'attaque, les différents noeuds sont les buts intermédiaires et les feuilles les actions élémentaires à effectuer. Ces actions seront valuées au potentiel d'attaque des critères communs.
On distingue trois types de nœuds :

  • Nœud disjonctif OR : OU logique. Cela signifie que pour que le nœud soit réalisé, il faut qu’au moins un de ses fils soit réalisé.
  • Nœud conjonctif AND : ET logique. Pour sa réalisation, il faut que l’ensemble de ses fils soit réalisé.
  • Nœud conjonctif séquentiel SAND : Pour sa réalisation, il faut que l'ensemble de ses fils soit réalisé dans un ordre séquentiel c'est-à-dire les fils sont effectués les uns après les autres dans l’ordre indiqué.

En fonction de ces noeuds les valeurs des feuilles seront remontées pour obtenir le potentiel d'attaque de la racine.


Vers ADTool

ADTool est un logiciel qui permet la création, l'édition et l'affichage de ces arbres. Il permet de valuer les feuilles et faire remonter les valeurs à la racine selon différents algorithmes. Pour notre projet, ADTool permet d'afficher les arbres d'attaques qui sont créés par OSAR.

Exemple d'un arbre générique créé par OSAR et affiché par ADTool :


Fermer