Améliorer l’analyse des risques de sécurité de l’information avec des modèles prédictifs de menaces

Les technologies de l’information et de la communication sont des ressources essentielles pour les organisations de nos jours et, comme de grandes quantités d’informations circulent quotidiennement, la protection des informations devient une priorité.

Différentes méthodologies d’analyse des risques pour la sécurité de l’information permettent d’étudier et d’évaluer les mesures de sécurité utilisées pour protéger les données. Les méthodes traditionnelles fondent leurs calculs de risques sur des données historiques, en utilisant la fréquence d’occurrence des menaces comme l’un des paramètres d’entrée. Cependant, à mesure que de nouvelles protections sont mises en œuvre, la vulnérabilité potentielle change. Par conséquent, une approche intéressante serait l’utilisation d’algorithmes prédictifs pour estimer la fréquence des menaces afin de se concentrer sur les événements futurs plutôt que de passer en revue les précédents.

Les auteurs de cet article proposent d’inclure un module prédictif de menace-occurrence dans le processus d’analyse des risques en tenant compte de l’état actuel des vulnérabilités qui affectent le système.

Les auteurs proposent également d’inclure une composante de prédiction dans une méthodologie d’analyse des risques de l’information, MAGERIT, qui a été développée par le gouvernement espagnol. MAGERIT calcule deux types de risque : le risque potentiel et le risque résiduel. Le risque potentiel est un risque théorique qui s’applique aux situations où il n’y a pas de protection, tandis que le risque résiduel est le risque après la mise en œuvre des protections.

Les chercheurs ont effectué l’analyse des risques en utilisant la méthodologie MAGERIT dans une PME espagnole. Pour évaluer les menaces et les vulnérabilités des actifs, les auteurs ont d’abord mené des entretiens avec les administrateurs systèmes et les gestionnaires de la PME. Ils ont également créé une base de données contenant des données historiques sur les risques. Une fois les informations recueillies, les chercheurs ont déterminé quelles vulnérabilités et menaces affectaient chaque actif et ont extrait l’ensemble des vulnérabilités.

En utilisant la méthodologie MAGERIT avec une composante prédictive, les résultats ont montré que le risque pour tous les actifs critiques a changé, augmentant pour certains et diminuant pour d’autres. Ainsi, le risque calculé répond à un scénario davantage mis à jour.

Prédire les probabilités d’occurrence des menaces au lieu d’utiliser des données historiques garantit une meilleure connaissance du système et aide les organisations à se concentrer sur les menaces les plus dangereuses afin de mettre en place des garanties mieux ciblées et plus adéquates.

 

Pour citer cet article : Figueira, P. T., Bravo, C. L et Rivas Lopez, J. L. (2020). Improving information security risk analysis by including threat-occurrence predictive models. Computers & Security, 88, 1-10.