Cadre d’évaluation du niveau de risques des exploitations logiques relatives à un parcours d’authentification
Ce chapitre présente le cadre d’évaluation du niveau de risques liés à un parcours d’authentification. Le processus d’évaluation se focalise sur la capacité d’une spécification d’un parcours d’authentification à prévoir ou à évi- ter les défauts logiques pouvant conduire à des exploitations. En d’autres termes, nous étudions le niveau de risque induit d’une part, par les défauts de conception du parcours d’authentification et d’autre part, par l’entité légi- time par ses choix d’usages. Ce cadre d’évaluation se base sur les exigences et les exploitations logiques présentées dans le Chapitre 3. Plusieurs cadres de gestion des risques existent, notamment, EBIOS [9], ISO27-000 [47] et OCTAVE [6, 7]. Une définition du risque est : un évènement indésirable potentiel pouvant, s’il n’est pas anticipé ou maîtrisé, empêcher ou entraver de manière significative la marche d’un projet ou le déroulement d’une activité vers ses objectifs. Ainsi, il convient d’identifier les évènements redoutés, leurs causes, sources et impacts. Ensuite, pour chaque évènement redouté, évaluer le niveau de risque associé afin d’en déduire les mesures adéquates (e.g., gérer, transférer ou accepter le risque). Une des façons de faire, est de définir des niveaux associés à la probabilité d’occurrence et la criticité d’un risque. Par exemple la Table 4.1 décrit une analyse de risque avec deux niveaux de risque (i.e., Acceptable, Intolérable). Le risque est « Acceptable » tant que celui-ci à un impact mineur sur le système indépendamment de sa probabilité. Alors qu’il est « Intolérable » quand l’impact est critique ou significatif avec une probabilité d’occurrence élevée. La mesure à prendre en fonction de l’évaluation (i.e., Acceptable, Intolérable) dépend ainsi de la politique de sécurité de l’application concernée. De plus, la criticité est aussi sensible au contexte de l’application en question. Pour toutes ces raisons susmentionnées, ce cadre se focalise sur la probabilité d’occurrence qu’un risque soit avéré. Ainsi, pour la suite du document, le niveau de risque, se référera à la probabilité d’occurrence (i.e., la vraisemblance) d’un risque.
Comme nous l’avons précisé plus haut (cf. Section 4.1.1), en gestion de risque, il convient d’identifier le ou les biens à protéger, les sources, l’origine des menaces et les impacts sur ces biens à protéger. Dans ce cadre, les évènements redoutés (i.e., les risques) sont une conséquence directe des exploitations logiques décrites en Section 3.2. Particulièrement, nous nous focalisons sur la souscription d’une entité frauduleuse, l’accès non autorisé à l’espace utilisateur de l’entité légitime et la substitution de celle-ci. L’impact de ces trois risques est souvent néfaste pour l’utilisateur final d’une application ou d’un service(e.g., vol d’identité, préjudice pénale, perte fi- nancière). La Figure 4.1 décrit le processus d’évaluation du risque avec les différents facteurs d’entrées. Ces facteurs sont : la spécification du parcours d’authentification (i.e., en vérifiant le respect ou non des exigences de sécurité définies dans le Chapitre 3), le comportement de l’utilisateur final (e.g., non respect des recommandations de sécurité, choix de sécurité faible, etc.) et les éléments de contexte extérieurs à l’application (e.g., dispositif non sécurisé, perte ou vol d’un dispositif, etc.). De ces trois facteurs, nous en déduisons les critères pertinents qui permettent d’évaluer le risque sur trois niveaux : les niveaux ÉLEVÉ, MODÉRÉ et FAIBLE.
Le niveau de risque est ÉLEVÉ, s’il y a une évidence sur le non respect d’une ou de plusieurs exigences favorisant systématiquement l’exploitation relative à ce risque indépendamment des éléments extérieurs au parcours. La réussite de l’exploitation est donc « très probable ». Le niveau de risque est MODÉRÉ, si le non respect d’une ou plusieurs exigences ou si une action (e.g., changement, modification) des éléments de contexte est susceptible de conduire à l’exploitation correspondante. Le risque associé est donc « modérément probable » dans certaines conditions d’exécution. Le niveau de risque est FAIBLE, si tous les éléments connus (e.g., exigences, en- vironnement, mécanisme d’authentification, etc.) sont anticipés afin d’éviter le ou les exploitations identifiées. Nous gardons ce dernier niveau de risque du fait de la spécificité des défauts logiques à être imprévisibles et donc à favoriser de nouveaux risques durant le cycle de vie d’une application. Organisation de la suite de ce chapitre Les sections suivantes détaillent respectivement la sémantique pour l’évaluation des risques d’une souscription d’une entité frauduleuse, d’un accès non autorisé à un service et la substitution de l’entité légitime. L’analyse et l’évaluation du niveau de risque ne pouvant pas être générique du fait de la particularité des évènements redoutés, les critères d’évaluation de chacun des risques sont présentés dans la section correspondante. De plus, nous proposons un exemple illustratif de la sémantique.