Modèle de Sélection de Contremesures - Optimization of cost-based threat response for Security

Notre solution considère l'approche proposée par Kheir et al. [KCBCD10, Khe10], où les auteurs dénissent le Retour Sur l'Investissement de Réponse (RORI) par la formule représentée dans l'Équation A.1.

RORI = [ICb − RC] − OC

CD + OC (A.1)

où,

ICb est l'impact d'intrusion attendu en l'absence des mesures de sécurité. Il mesure le coût des dommages du aux intrusions ou attaques.

RC est l'impact combiné tant pour l'intrusion que pour la réponse. RC représente la somme des impacts d'intrusion attendus après mise en place d'une réponse et coût engendré par cette réponse.

OC est le coût opérationnel qui inclut les coûts de déploiement et de mise en place de réponses, tel que la main d'oeuvre et le sur-provisionnement.

Le CD est le dommage de réponse collatérale qui représente le coût engendré par la mesure de sécurité.

Le déploiement de l'indice du Retour sur l'investissement de réponse (RORI) dans des scénarios réels a mis en évidence les limitations suivantes :

La valeur absolue de paramètres comme l'ICb et le RC est dicile à estimer. Néanmoins, un indice de ces paramètres est plus facile à déterminer, ce qui réduit à son tour des erreurs de magnitude.

L'indice RORI n'est pas déni lorsqu'aucune contremesure n'est choisie. Comme le coût opérationnel (OC) est associé à la mesure de sécurité, l'indice RORI donnera lieu à une indétermination lorsqu'aucune solution n'est choisie.

L'indice RORI n'est pas normalisé par rapport à la largeur et la complexité de l'infrastructure d'une organisation.

A.2.1 RORI Amélioré

Nous proposons une amélioration de l'indice RORI en tenant compte le coût de la contremesure et son niveau de mitigation associée ainsi que la valeur de l'infrastructure et les pertes qui peuvent se produire comme conséquence d'une intrusion ou d'une attaque. L'indice RORI amélioré considère le choix de n'est pas mettre en place de contremesure, et le compare avec les résultats obtenus par la mise en oeuvre de solutions de sécurité (individuelles ou combinées). L'indice amélioré du retour sur l'investissement de réponse (RORI) fournit également une réponse relative à la taille de l'infrastructure. Son calcul utilise les paramètres représentés dans l'Equation A.2.

RORI = (ALE × RM ) − ARC

ARC + AIV × 100 (A.2)

où,

ALE (Perte annuelle attendue) est le coût de l'impact obtenu en l'absence de mesures de sécurité. ALE est exprimée en devises par an (p.ex. $/an) et dépendra directement de la sévérité de l'attaque et de sa probabilité d'occurrence.

A.2. Modèle de Sélection de Contremesures RM désigne le niveau d'atténuation du risque associé à une solution particulière. Il prend

une valeur comprise entre 0 et 100. En l'absence de contremesures, RM est égal à 0%. ARC est le coût annuel de réponse qui est engagé par la mise en oeuvre d'une nouvelle

politique de sécurité. De l'équation A.1, ARC = OC + CD. ARC est toujours supérieur ou égal à 0, et il est exprimé en devise par an (p.ex. $/an)

AIV est la valeur annuelle de l'infrastructure (p.ex. le coût du matériel, des services pour les opérations régulières, etc) que l'on attend du système, quelles que soient les contremesures mises en oeuvre. ARC est supérieur à zéro (AIV > 0 ), et il est exprimé en devise par an (p.ex. $/an).

A.2.2 Améliorations

Les paramètres `ICB − RC' sont substitués par `ALE × RM' an dévaluer plus facilement la réponse de solutions individuelles et combinées, tout en réduisant l'ampleur d'erreur. Le paramètre AIV fournit une réponse par rapport à la taille de l'infrastructure. AIV est

corrélé à la perte annuelle attendue (ALE) du système, et permet de comparer les résultats RORI des diérents systèmes quelles que soient leurs tailles.

L'introduction du paramètre de valeur annuelle de l'infrastructure (AIV) permet de gérer le cas où aucune contremesure n'est sélectionnée, ce qui se traduit par la valeur 0, et signie qu'aucun gain n'est prévu si aucune solution n'est mise en oeuvre.

A.2.3 Analyse de Sensibilité

RORI est un indice relatif indiquant le pourcentage de bénéce perçus si une contremesure est mise en oeuvre. Lors de l'analyse de l'investissement dans la sécurité de l'information, il ne faut pas s'attendre à une augmentation des prots, mais plutôt au contraire, à une atténuation des risques auxquels l'organisation est exposée.

L'indice RORI varie de −ARC

ARC+AIV (dans sa limite inférieure) jusqu'à ALE

AIV (dans sa limite

supérieure). Un RORI positif signie que nous nous attendons à diminuer le risque jusqu'à un certain niveau et qu'il est donc approprié d'appliquer la solution de sécurité. p.ex. un RORI de 50% signie que nous nous attendons à atténuer la moitié du risque auquel l'organisation est exposée. Toutefois, lors de l'évaluation de l'option de ne rien faire (pas de contremesure évaluée), il faut s'attendre à 0% de mitigation du risque.

Le pire scénario (le coût de la contremesure est supérieur aux avantages qu'elle procure) aura ALE × RM << ARC, donc RORI → _ARC+AIV−ARC . Le meilleur scénario (mitigation parfaite) aura RM = 1, ARC = 0, donc RORI = ALE

AIV. Si le bénéce attendu est égal au coût de la contremesure,

RORI s'approchera à zéro. Toutefois, si le bénéce attendu est inférieur au coût de la contremesure, RORI atteindra une valeur négative. Ce n'est que dans les cas où le bénéce est supérieur au coût de la mise en oeuvre d'une mesure de sécurité que RORI atteindra une valeur positive.

An d'évaluer les eets sur les résultats RORI, nous avons eectué une série d'analyses de sensibilité où deux variables ont été modiées, tandis que les autres ont gardé leurs valeurs du scénario de référence. Les résultats obtenus sont décrits comme suit:

Si l'ARC est des ordres de magnitude en dessous de l'AIV (ARC AIV ), l'impact de l'ARC sur RORI est très faible. Dans ce cas, ARC + AIV ∼= AIV, donc RORI ∼= ALE×RM_AIV . Toutefois, si l'ARC est des ordres de magnitude au-dessus de l'AIV (ARC AIV ), l'impact de l'ARC sur l'indice RORI est très forte. Dans ce cas, ARC + AIV ∼= ARC, donc RORI ∼=

APP A. FRENCH SUMMARY

Si l'ALE est des ordres de magnitude en dessous de l'AIV (ALE AIV ), l'ALE impact négativement l'indice RORI, car ALE × RM ∼= 0, donc RORI ∼= _ARC+AIV−ARC . Toutefois, si l'ALE est des ordres de magnitude au-dessus de l'AIV (ALE AIV ), l'indice RORI est positivement impacté. Dans ce cas, AIV ∼= 0, donc RORI ∼= (ALE×RM )−ARC_ARC .

Si l'ALE est des ordres de magnitude en dessous de l'ARC (ALE ARC), l'ALE impact négativement l'indice RORI, car ALE ∼= 0, donc RORI ∼=_ARC+AIV−ARC . Toutefois, si l'ALE est des ordres de magnitude au-dessus de l'ARC (ALE ARC), l'indice RORI est positivement impacté. Dans ce cas, l'ARC ∼= 0, donc RORI ∼=ALE×RM_AIV .

Si RM augmente par rapport à l'AIV, l'ALE et l'ARC, l'indice RORI dépendra de la valeur de l'ALE. Dans ce cas, ALE ×RM ∼= ALE, donc RORI ∼=ALE−ARC_ARC+AIV, ce qui rend la solution plus attractive au mesure que l'ALE augmente.

A.2.4 Limitations restantes

L'évaluation et la sélection des contremesures dépendent de l'estimation appropriée de la valeur de l'infrastructure, de l'impact des attaques et de la dénition des politiques de sécurité nécessaires pour atténuer l'attaque. Une telle dénition devrait inclure les coûts et les bénéces associés à une contremesure particulière dans un scénario d'attaque donnée.

La principale limitation du mod`ele RORI est la précision dans l'estimation des diérents paramètres qui composent la formule. L'estimation de la perte annuelle attendue (ALE) d'une attaque qui se produirait sur un système donné, et le niveau d'atténuation des risques (RM) d'une contremesure particulière est dicile à déduire et nécessite un eort important. Une mesure précise de ces deux paramètres est quasi-impossible car elle nécessite des prédictions d'un événement qui n'a pas encore eu lieu. Cependant, une estimation qualitative de la RM et ALE reste possible, ce qui fait de l'évaluation RORI un outil intéressant dans l'aide à la décision pour les analystes de sécurité.

Le modèle RORI présenté dans ce document ne considère pas l'interdépendance entre contremesures (c.-à-d. comment l'application d'une contremesure peut aecter l'ecacité des autres), mais il décrit les restrictions et/ou les conts qui peuvent se produire lors de la mise en oeuvre de la contremesure choisie (p.ex. contremesures partiellement ou totalement restrictives).

Finalement, le modèle évalue les contremesures individuelles et combinées pour attenuer les eets d'une attaque donnée, mais il ne tient pas compte de l'évaluation et de la sélection des contremesures dans un scénario d'attaques multiples.

A.3 Processus de Sélection de Contremesures Individuelles

Dans le document Optimization of cost-based threat response for Security Information and Event Management (SIEM) systems (Page 171-173)