CASES.LU

Glossary

  1. ▹ Antivirus
  2. ▹ Assets
  3. ▹ Authentication
  4. ▹ Availability
  5. ▹ Basic criteria for risk analysis
  6. ▹ Computer Hacks
  7. ▹ Confidentiality
  8. ▹ Control
  9. ▹ Cryptography
  10. ▹ Cybercrime
  11. ▹ Cybercriminals
  12. ▹ DRP – Disaster Recovery Plan
  13. ▹ Data backups
  14. ▹ Data loss
  15. ▹ Defacement
  16. ▹ Disinfect machine with a live CD
  17. ▹ Disposal
  18. ▹ Email
  19. ▹ Firewall
  20. ▹ Human error
  21. ▹ IDS/IPS
  22. ▹ Image rights
  23. ▹ Impact
  24. ▹ Integrity
  25. ▹ Internet and copyright
  26. ▹ Legal Aspects
  27. ▹ LuxTrust
  28. ▹ Malicious Codes
  29. ▹ Malicious websites
  30. ▹ Network segmentation
  31. ▹ Password
  32. ▹ Patches
  33. ▹ Phishing
  34. ▹ Physical faults
  35. ▹ Securing a fixed workstation
  36. ▹ Physical theft
  37. ▹ Recommendations for securing a file server
  38. ▹ Recommendations to secure a server connected to Internet
  39. ▹ Recommendations to secure a Web server
  40. ▹ Removable devices
  41. ▹ Risk processing
  42. ▹ Spam – unwanted emails
  43. ▹ SSL/TLS – encryption technologies on the web
  44. ▹ Update softwares with Secunia PSI
  45. ▹ Security Charter
  46. ▹ Social engineering
  47. ▹ Threat
  48. ▹ Virtual Private Networks (VPNs)
  49. ▹ Vulnerabilities
  50. ▹ Web of Trust - WOT
  51. ▹ Web filter – Proxy
  52. ▹ Why is it important to protect your computer?

Threat

Les menaces exploitent des vulnérabilités d’actifs et créent ainsi un impact. Les interactions entre actifs, menaces et vulnérabilités sont analysées lors de la gestion des risques.

Il est impossible pour un organisme d’exclure totalement l’existence de menaces. En matière de sécurité on s’applique donc généralement à

EBIOSv2

EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité.

Les menaces par groupes

EBIOSv2[1] propose une liste d’Agents Menaçants (e.g. menaces) génériques :

DOMMAGES PHYSIQUES

ÉVÉNEMENTS NATURELS

  • Phénomène climatique
  • Phénomène sismique
  • Phénomène volcanique
  • Phénomène météorologique
  • Crue

PERTE DE SERVICES ESSENTIELS

DISTRIBUTION DUES AUX RADIATIONS

  • Rayonnements électromagnétiques
  • Rayonnements thermiques
  • Impulsions électromagnétiques (IEM)

COMPROMISSION D’INFORMATIONS

DÉFAILLANCES TECHNIQUES

ACTIONS NON AUTORISÉES

Qualification des menaces

Les menaces EBIOSv2 peuvent être qualifiées selon :

LEUR ORIGINE

  • E : Environnementale - tous les incidents qui ne sont pas causés par des actions humaines
  • D : Délibérée - pour toutes les actions délibérées visant les actifs
  • A : Accidentelle - utilisé pour toutes les actions humaines qui peuvent accidentellement endommager des actifs

LEUR ATTEINTE À LA

  • D: Disponibilité
  • I: Intégrité
  • C: Confidentialité

LEUR TYPE

  • N: Naturel
  • H: Humain
  • E: Environnemental

Lien Vulnérabilités / Menaces / Actifs

Cette section fait référence aux vulnérabilités génériques du document EBIOS v2 – Section 4 – Outillage (Appréciation)

On peut identifier :

Objectifs de sécurité

La section 2 Objectifs de sécurité génériques du document EBIOS v2 – Section 5 – Outillage (Traitement) [4] propose pour chacun des 7 types d’entités / actifs haut niveau une liste d’objectifs de sécurité génériques adressant de fait les vulnérabilités génériques identifiées précédemment.

La section 3.2 Exigences issues de l’ISO 17799 du même document EBIOS v2 – Section 5 – Outillage (Traitement)[5] propose des exigences de sécurité en lien avec chacune des clauses de la norme ISO/IEC 17799 : 2000 (et non la version de la norme publiée en 2005 [ISO/IEC 27002:2005).

EBIOS 2010

EBIOS 2010[6] propose une présentation différente de la version 2, tant sur le plan de la présentation des menaces que de l’approche globale.

EBIOS 2010 se divise selon les axes suivants :

TYPES DE BIENS SUPPORT

  • SYS - Systèmes informatiques et de téléphonie
  • ORG - Organisations
  • LOC - Locaux

IMPACTS

  • Impacts sur le fonctionnement
  • Impacts humains
  • Impacts sur les biens
  • Autres impacts

SOURCES DE MENACES

  • Sources humaines
    • Délibéré malveillant
    • Source (humaine) interne * Capacités faibles * Capacités importantes * Capacités illimitées
      • Source (humaine) externe
        • Capacités faibles
        • Capacités importantes
        • Capacités illimitées
    • Accidentel sans intention de nuire
      • Source (humaine) interne
        • Capacités faibles
        • Capacités importantes
        • Capacités illimitées
      • Source (humaine) externe
        • Capacités faibles
        • Capacités importantes
        • Capacités illimitées
      • Sources non humaines

Les menaces MEHARI par groupe de menace

  • Désastres naturels
    • Feu
    • Dommages provoqués par l’eau
    • Catastrophes naturelles
  • Désastres d’origine industrielle
    • Feu
    • Dommages provoqués par l’eau
    • Désastres industriels
    • Pollution mécanique
    • Pollution électromagnétique
    • Panne d’origine physique ou logique
    • Coupure de l’alimentation en électricité
    • Conditions inadéquates de température et/ou humidité
    • Défaillance des services de communications
    • Interruption des autres services et des approvisionnements essentiels
    • Dégradation des supports de stockage de l’information
    • Émanations électromagnétiques
  • Erreurs et défaillances non intentionnées
    • Erreurs des utilisateurs
    • Erreurs de l’administrateur
    • Erreurs de contrôle (log)
    • Erreurs de configuration
    • Déficiences au niveau de l’organisation
    • Diffusion de software nuisible
    • Erreurs de ré-acheminement
    • Erreurs de séquence
    • Fuites d’information
    • Altération de l’information
  • Introduction de fausses informations
    • Dégradation de l’information
    • Destruction de l’information
    • Divulgation de l’information
    • Vulnérabilités des programmes (software)
    • Erreurs de maintenance / actualisation des programmes (software)
    • Erreurs de maintenance / actualisation des équipements (hardware)
    • Effondrement du système provoqué par l’épuisement des ressources
    • Perte d’équipements
    • Indisponibilité du personnel
  • Attaques délibérées
    • Manipulation de la configuration
    • Supplantation de l’identité de l’utilisateur
    • Abus de privilèges d’accès
    • Utilisation non prévue
    • Diffusion de software nuisible
    • Ré-acheminement des messages
    • Altération de séquence
    • Accès non autorisé
    • Analyse du trafic
    • Répudiation
    • Interception d’information (écoute)
    • Modification de l’information
    • Introduction de fausses informations
    • Corruption de l’information
    • Divulgation de l’information
    • Manipulation des programmes
    • Refus de service
    • Vol d’équipements
    • Attaque destructive
    • Occupation ennemie
    • Indisponibilité du personnel
    • Extorsion
    • Ingénierie sociale

Table of Contents