Modélisation des Menaces
Trouver le bon équilibre entre la sécurité, la confidentialité et l'ergonomie est l'une des premières et des plus difficiles tâches que vous aurez à accomplir dans votre voyage de la récupération de votre vie privée. Tout est une histoire de compromis : plus quelque chose est sécurisé, plus il est limité ou peu pratique, etc. Souvent, les gens trouvent que le problème avec les outils qui leurs sont recommandés est qu'ils sont trop difficiles à utiliser !
Si vous vouliez utiliser les outils les plus sécurisés actuellement disponibles, vous devriez sacrifier beaucoup de facilité d'utilisation. Et même dans ce cas, rien n'est jamais totalement sécurisé. On parle de sécurité élevée, mais jamais de sécurité totale. C'est pourquoi les modèles de menace sont importants.
Alors, quels sont ces modèles de menace ?
Un modèle de menace est une liste des menaces les plus probables pour votre sécurité/vie privée. Puisqu'il est impossible de se protéger contre toutes les attaques(ants), vous devriez vous concentrer sur les menaces les plus probables. En matière de sécurité informatique, une menace est un événement potentiel qui pourrait saper vos efforts pour protéger votre vie privée et voter sécurité.
En vous concentrant sur les menaces qui comptent pour vous, vous affinez votre réflexion sur la protection dont vous avez besoin, ce qui vous permet de choisir les outils qui conviennent le mieux.
Création de votre modèle de menace¶
Pour identifier ce qui pourrait arriver aux choses auxquelles vous tenez et déterminer de qui vous devez les protéger, vous devez répondre à ces cinq questions :
- Qu'est-ce que je veux protéger ?
- De qui je veux le protéger ?
- Quelle est la probabilité que je doive la protéger ?
- Les conséquences sont-elles graves si j'échoue ?
- Combien de problèmes suis-je prêt à traverser pour essayer d'empêcher les conséquences potentielles ?
Qu'est-ce que je veux protéger ?¶
Un "actif" est quelque chose que vous valorisez et que vous voulez protéger. Dans le contexte de la sécurité numérique, un actif est généralement un type d'information. Par exemple, vos e-mails, vos listes de contacts, vos messages instantanés, votre emplacement et vos fichiers sont tous des actifs possibles. Vos appareils eux-mêmes peuvent également constituer des actifs.
Dressez la liste de vos actifs : les données que vous conservez, où elles sont conservées, qui y a accès et ce qui empêche les autres d'y accéder.
De qui je veux le protéger ?¶
Pour répondre à cette question, il est important d'identifier qui pourrait vouloir vous cibler, vous ou vos informations. Une personne ou une entité qui représente une menace pour vos actifs est un “adversaire.” Des exemples d'adversaires potentiels sont votre patron, votre ancien partenaire, votre concurrence d'affaires, votre gouvernement ou un pirate informatique sur un réseau public.
Dressez une liste de vos adversaires, ou de ceux qui pourraient vouloir s'emparer de vos actifs. Votre liste peut comprendre des particuliers, une agence gouvernementale ou des sociétés.
Selon l'identité de vos adversaires, dans certaines circonstances, cette liste peut être quelque chose que vous souhaitez détruire après avoir terminé ce plan de sécurité.
Quelle est la probabilité que je doive la protéger ?¶
==Le risque est la probabilité qu'une menace particulière contre un actif particulier se produise réellement. Il va de pair avec la capacité. Si votre opérateur de téléphonie mobile a la capacité d'accéder à toutes vos données, le risque qu'il publie vos données privées en ligne pour nuire à votre réputation est faible.
Il est important de faire la distinction entre ce qui pourrait se produire et la probabilité que cela se produise. Par exemple, votre bâtiment risque de s'effondrer, mais le risque que cela se produise est bien plus grand à San Francisco (où les tremblements de terre sont fréquents) qu'à Stockholm (où ils ne le sont pas).
L'évaluation des risques est un processus à la fois personnel et subjectif. De nombreuses personnes jugent certaines menaces inacceptables, quelle que soit la probabilité qu'elles se produisent, car la simple présence de la menace, quelle que soit la probabilité, n'en vaut pas la peine. Dans d'autres cas, les gens ignorent les risques élevés parce qu'ils ne considèrent pas la menace comme un problème.
Notez les menaces que vous allez prendre au sérieux et celles qui sont peut-être trop rares ou trop inoffensives (ou trop difficiles à combattre) pour que vous vous en préoccupiez.
Les conséquences sont-elles graves si j'échoue ?¶
Il existe de nombreuses façons pour un adversaire d'accéder à vos données. Par exemple, un adversaire peut lire vos communications privées lorsqu'elles passent par le réseau, ou il peut supprimer ou corrompre vos données.
Les motifs des adversaires diffèrent considérablement, tout comme leurs tactiques. Un gouvernement qui tente d'empêcher la diffusion d'une vidéo montrant des violences policières peut se contenter de supprimer ou de réduire la disponibilité de cette vidéo. En revanche, un adversaire politique pourrait vouloir accéder à un contenu secret et le publier à votre insu.
Préparer un plan de sécurité implique de comprendre à quelle point les conséquences pourraient être mauvaises si un adversaire réussissait à accéder à l'un de vos actifs. Pour le déterminer, vous devez tenir compte du potentiel de votre adversaire. Par exemple, votre opérateur de téléphonie mobile a accès à tous vos relevés téléphoniques. Un pirate sur un réseau Wi-Fi ouvert peut accéder à vos communications non chiffrées. Votre gouvernement a peut-être des capacités plus importantes.
Écrivez ce que votre adversaire pourrait vouloir faire avec vos données privées.
Combien de problèmes suis-je prêt à traverser pour essayer d'empêcher les conséquences potentielles ?¶
Il n'y a pas d'option parfaite pour la sécurité. Tout le monde n'a pas les mêmes priorités, préoccupations, ou accès aux ressources. Votre évaluation des risques vous permettra de planifier la stratégie qui vous convient le mieux, en conciliant commodité, coût et respect de la vie privée.
Par exemple, un avocat représentant un client dans une affaire de sécurité nationale peut être prêt à faire plus d'efforts pour protéger les communications relatives à cette affaire, par exemple en utilisant un e-mail chiffré, qu'une mère qui envoie régulièrement à sa fille des vidéos de chats amusants.
Notez les options dont vous disposez pour atténuer les menaces qui vous sont propres. Notez si vous avez des contraintes financières, techniques ou sociales.
Essayez-le vous-même : Protéger vos biens¶
Ces questions peuvent s'appliquer à une grande variété de situations, en ligne et hors ligne. Pour illustrer de manière générique le fonctionnement de ces questions, établissons un plan pour assurer la sécurité de votre maison et de vos biens.
Que voulez-vous protéger ? (Ou, que possédez-vous qui mérite d'être protégé ?) :
Vos actifs peuvent comprendre des bijoux, des appareils électroniques, des documents importants ou des photos.
De qui voulez-vous le protéger ? :
Vos adversaires peuvent être des cambrioleurs, des colocataires ou des invités.
Quelle est la probabilité que je doive le protéger ? :
Votre quartier a-t-il des antécédents de cambriolages ? Vos colocataires/invités sont-ils dignes de confiance ? Quelles sont les capacités de vos adversaires ? Quels sont les risques à prendre en compte ?
Les conséquences sont-elles graves si vous échouez ? :
Avez-vous quelque chose dans votre maison que vous ne pouvez pas remplacer ? Avez-vous le temps ou l'argent pour remplacer ces choses ? Avez-vous une assurance qui couvre les biens volés à votre domicile ?
Combien de difficultés êtes-vous prêt à traverser pour empêcher ces conséquences ? :
Êtes-vous prêt à acheter un coffre-fort pour les documents sensibles ? Pouvez-vous vous permettre d'acheter une serrure de haute qualité ? Avez-vous le temps d'ouvrir un coffre-fort à votre banque locale et d'y conserver vos objets de valeur ?
Ce n'est qu'après vous être posé ces questions que vous serez en mesure d'évaluer les mesures à prendre. Si vos biens ont de la valeur, mais que la probabilité d'une effraction est faible, alors vous ne voudrez peut-être pas investir trop d'argent dans un verrou. Mais si la probabilité d'une effraction est élevée, vous voudrez vous procurer la meilleure serrure du marché et envisager d'ajouter un système de sécurité.
L'élaboration d'un plan de sécurité vous aidera à comprendre les menaces qui vous sont propres et à évaluer vos actifs, vos adversaires et les capacités de ces derniers, ainsi que la probabilité des risques auxquels vous êtes confrontés.
Pour en savoir plus¶
Pour les personnes qui cherchent à améliorer leur vie privée et leur sécurité en ligne, nous avons dressé une liste des menaces courantes auxquelles nos visiteurs sont confrontés ou des objectifs qu'ils poursuivent, afin de vous donner de l'inspiration et de démontrer la base de nos recommandations.