Analyse de sensibilité. Des analyses de sensibilité sont également fréquemment réalisées pour indiquer si des changements sur des valeurs d’entrée peuvent causer

des changements importants des calculs numériques partiels ou finals du risque.

Dans le contexte de cet ouvrage, nous exploitons principalement les arbres d’événements valués par des probabilités pour simplifier l’approche générale. Cette simplification permettra au lecteur intéressé de construire ses propres arbres d’événements au moyen d’outils maison que nous détaillons à la dernière partie de l’ouvrage.

À titre d’exemple, nous allons tenter de répondre au problème suivant par un arbre d’événements : si un distributeur de billets a calculé qu’un individu essayant un code au hasard est refoulé 999 fois sur 1 000 et que l’ordinateur n’accepte que trois essais consé-cutifs, quelle est la probabilité de retirer des billets par hasard ?

La réponse consiste à construire l’arbre d’événements associé aux trois saisies consécu-tives du code, comme l’illustre la figure 4.9.

La probabilité de retirer de l’argent au hasard est donc de :

P = 1/1 000 + 1/1 000 × 999/1 000 + 1/1 000 × (999/1 000)²≅ 0,002 997

Dans un cadre plus mathématique, les calculs reposent sur un arbre de probabilités dans un espace de probabilité donné. Nous définissons tout d’abord un espace de probabilité, une probabilité conditionnelle et un arbre de probabilités. Puis, nous recalculons dans ce cadre mathématique la probabilité de l’événement « le code est correct ».

Un espace de probabilité est défini par le triplet suivant (axiomatique de A. N. Kolmogorov, 1933).

Figure 4.8

Exemple d’arbre de défaillances

Problème sur un routeur

OU

Problème physique

Problème

de configuration ....

OU OU

.... ....

• Espace des observables Ω : c’est l’espace des événements élémentaires.

• Tribu d’événements T : T est une partie de P(Ω) et satisfait les axiomes suivants (un élément de T est appelé événement) :

Si A ∈ T, alors son complémentaire A^c = Ω\A est aussi dans T.

Si l’on a une suite finie ou dénombrable de A_1, A_{2 ….} A_{n, …} d’éléments de T, alors leur réunion est aussi dans T.

L’ensemble vide ∅ est dans T.

• La probabilité P : P est une application de T dans [0,1] qui associe à tout événement A un nombre P(A). Cette application satisfait les axiomes suivants :

P(Ω) = 1.

Pour toute suite, A_1, A_{2 ….} A_n, …, suite finie ou dénombrable d’événements de T qui sont de plus deux à deux disjoints, c’est-à-dire tels que A_k ∩ A_j = ∅ si k ≠ j, alors la série :

converge et a pour somme .

On définit une probabilité conditionnelle de la manière suivante :

Soit un espace de probabilité (Ω,T,P) B ∈ T tel que P(B) > 0. L’application P_B de T dans [0,1] telle que pour tout A ∈ T est :

(1) = P(A|B).

P(A|B) se lit alors la probabilité de A sachant B.

Figure 4.9

Un arbre de probabilités est un graphe orienté et pondéré. Il est associé à un espace de probabilités (Ω,T, P) et obéit aux règles suivantes :

• La somme des pondérations (ou probabilités) des branches issues d’un même sommet est égale à 1.

• La pondération de la branche allant d’un sommet A vers un sommet B est la probabilité de B sachant A (ou P(B|A)).

• La probabilité d’un chemin est le produit des probabilités des branches qui le composent.

Dans notre exemple, la probabilité de l’événement A « le code est correct » s’écrit de la manière suivante :

P(A) = P(A₁∪ A₂∪ A₃)

où A₁ est l’événement « le code est correct au bout du 1^er essai », A₂ est l’événement « le code est correct au bout du 2^e essai » et A₃ est l’événement « le code est correct au bout du 3^e essai ».

Calculons P(A₁) :

P(A₁) = P(« code correct au bout du 1^er essai ») = P(« code correct au 1^er essai ») = 1/1 000

Calculons P(A₂) :

P(A₂) = P(« code correct au bout du 2^e essai »)

= P(« code incorrect au 1^er essai » ∩ « code correct au 2^e essai ») D’après (1), on a :

P(A₂) = P(« code incorrect au 1^er essai ») × P(« code correct au 2^e essai » | « code incor-rect au 1^er essai ») = 999/1 000 × 1/1 000

Calculons P(A₃) :

P(A₃) = P(« code correct au bout du 3^e essai ») = P(« code incorrect au 1^er essai » ∩ « code incorrect au 2^e essai » ∩ « code correct au 3^e essai »)

D’après (1), on a :

P(A₃) = P(« code incorrect au 1^er essai ») × P(« code incorrect au 2^e essai » | « code incorrect au 1^er essai ») ×P(« code correct au 3^e essai » | « code incorrect au 1^er essai » ∩ « code incorrect au 2^e essai »)

P(A₃) = P(« code incorrect au 1^er essai ») × P(« code incorrect au 2^e essai » | « code incorrect au 1^er essai ») ×P(« code correct au 3^e essai » | « code incorrect au 2^e essai ») = 999/1 000 × 999/1 000 × 1/1 000

Calculons maintenant P(A) :

P(A) = P(A₁∪ A₂∪ A₃) = P(A₁) + P(A₂) + P(A₃), car les événements sont incompatibles.

P(A) = 1/1 000 + 999/1 000 × 1/1 000 + 999/1 000 × 999/1 000 × 1/1 000 P(A) ≅ 0,002 997

Ces calculs réalisés sur un arbre de probabilités seront mis en œuvre dans la suite de l’ouvrage afin de réaliser des calculs de risque sur un système au sens large.

En résumé

La politique de sécurité d’une entreprise se fonde sur une analyse de risques décrivant les ressources critiques de l’entreprise, ses objectifs de sécurité, ses vulnérabilités, les proba-bilités d’occurrence de menaces sur ses ressources vitales, ainsi que leurs conséquences.

Cette analyse de risques peut être menée de différentes manières suivant la nature du système considéré. Nous avons détaillé dans ce chapitre des méthodes qualitatives ainsi que des méthodes quantitatives plus complexes.

Dans le cadre du présent ouvrage, les tableaux de bord de la sécurité réseau que nous proposons s’appuieront sur une analyse probabiliste de risques tenant compte de manière précise des arbres d’événements, de la quantification des probabilités de transition des événements ainsi que de la quantification des conséquences associées aux états finaux.

Après avoir décrit les différentes méthodes permettant de mener une analyse de risques, nous détaillons au chapitre suivant les objectifs et le contenu d’une politique de sécurité réseau.

Choix de notre méthode d’analyse des risques de sécurité d’un réseau

Comme nous l’avons vu précédemment, beaucoup de méthodes ont été développées et continuent de l’être afin d’évaluer la sécurité d’un système. Bien que de nombreux travaux couvrent la gestion des risques pour un système d’information, nous ne connaissons à ce jour aucune publication évoquant réel-lement l’évaluation de la sécurité d’un réseau de télécommunications.

Dans le cadre d’un réseau, la notion de privilèges sur un équipement réseau est très limitée et peut être réduite à « pas de privilège », « privilège de lecture » et « privilège d’écriture ». De plus, les vulnérabilités de configuration offrant de tels droits et pouvant être exploitées par des attaques externes sont aisément détectées par nos outils maison de vérification des configurations, comme nous le verrons par la suite.

Nous ne tenons pas compte ici des vulnérabilités inconnues et associées au système d’exploitation et aux applications.

Notre problème consiste plutôt à déterminer, pour la majorité des vulnérabilités qui ne peuvent être exploi-tées par une attaque externe, le risque pris si ces vulnérabilités ne sont pas corrigées. Notre besoin nous oriente donc vers un modèle permettant de décrire toutes les séquences d’événements pouvant impacter le réseau plutôt qu’un modèle fondé sur des graphes d’attaques ou de privilèges.

Sachant de surcroît que notre objectif est de quantifier le risque associé à la non-application de la politi-que de sécurité et politi-que les vérifications réalisées sur les équipements réseau sont de nature statipoliti-que, nous avons choisi d’appuyer notre méthode d’évaluation sur une évaluation probabiliste des risques.

Dans le cadre de cet ouvrage, nous exploiterons principalement les arbres d’événements valués par des probabilités.

5

Définir une politique