Recommandations pour l’analyse des menaces
S’applique à cette recommandation de liste de contrôle Sécurité Power Platform Well-Architected :
| SE:02 | Établissez une base de référence en matière de sécurité alignée sur les exigences de conformité, les normes du secteur et les recommandations de la plateforme. Mesurez régulièrement l’architecture et les opérations de votre charge de travail par rapport à la base de référence pour maintenir ou améliorer votre posture de sécurité au fil du temps. |
|---|
Une analyse complète pour identifier les menaces, les attaques, les vulnérabilités et les contre-mesures est cruciale pendant la phase de conception d’une charge de travail. La modélisation des menaces est un exercice d’ingénierie qui comprend la définition des exigences de sécurité, l’identification et l’atténuation des menaces, ainsi que la validation de ces atténuations. Vous pouvez utiliser cette technique à n’importe quelle étape du développement ou de la production d’une application, mais elle est plus efficace lors des étapes de conception de nouvelles fonctionnalités.
Ce guide décrit les recommandations relatives à la modélisation des menaces afin que vous puissiez identifier rapidement les failles de sécurité et concevoir vos défenses de sécurité.
Définitions
| Terme | Définition |
|---|---|
| Cycle de vie du développement logiciel | Processus systématique et en plusieurs étapes pour développer des systèmes logiciels. |
| STRIDE | Une taxonomie définie par Microsoft pour catégoriser les types de menaces. |
| Modélisation des menaces | Un processus permettant d’identifier les vulnérabilités de sécurité potentielles dans l’application et le système, d’atténuer les risques et de valider les contrôles de sécurité. |
Stratégies de conception clés
La modélisation des menaces est un processus crucial qu’une organisation doit intégrer dans son SDLC. La modélisation des menaces n’est pas uniquement la tâche du développeur. C’est une responsabilité partagée entre :
- L’équipe chargée de la charge de travail, qui est responsable des aspects techniques du système.
- Les parties prenantes de l’entreprise, qui comprennent les résultats commerciaux et ont un intérêt direct dans la sécurité.
Il existe souvent un décalage entre la direction organisationnelle et les équipes techniques concernant les exigences commerciales relatives aux charges de travail critiques. Cette déconnexion peut conduire à des résultats indésirables, en particulier pour les investissements en matière de sécurité.
Tenez compte des exigences commerciales et techniques lors de l’exercice de modélisation des menaces. L’équipe chargée de la charge de travail et les parties prenantes de l’entreprise doivent se mettre d’accord sur les besoins spécifiques en matière de sécurité de la charge de travail afin de pouvoir investir de manière adéquate dans les contre-mesures.
Les exigences de sécurité servent de guide pour l’ensemble du processus de modélisation des menaces. Pour que cet exercice soit efficace, l’équipe chargée de la charge de travail doit avoir un esprit de sécurité et être formée aux outils de modélisation des menaces.
Comprendre l’étendue de l’exercice
Une compréhension claire de l’étendue est cruciale pour une modélisation efficace des menaces. Cela permet de concentrer les efforts et les ressources sur les domaines les plus critiques. Cette stratégie implique de définir les limites du système, de dresser l’inventaire des actifs qui doivent être protégés et de comprendre le niveau d’investissement requis dans les contrôles de sécurité.
Recueillir des informations sur chaque composant
Un diagramme d’architecture de charge de travail est un point de départ pour collecter des informations, car il fournit une représentation visuelle du système. Le diagramme met en évidence les dimensions techniques du système. Par exemple, il montre les flux d’utilisateurs, la façon dont les données se déplacent à travers différentes parties de la charge de travail, les niveaux de données Sensibilité et les types d’informations, ainsi que les chemins d’accès aux identités.
Cette analyse détaillée peut souvent fournir un aperçu des vulnérabilités potentielles de la conception. Il est important de comprendre la fonctionnalité de chaque composant et ses dépendances.
Évaluer les menaces potentielles
Analysez chaque composant d’un point de vue extérieur. Par exemple, avec quelle facilité un attaquant peut-il accéder à des données sensibles ? Si les attaquants accèdent à l’environnement, peuvent-ils se déplacer latéralement et potentiellement accéder à d’autres ressources, voire les manipuler ? Ces questions vous aident à comprendre comment un attaquant pourrait exploiter les ressources de la charge de travail.
Classer les menaces en utilisant une méthodologie industrielle
Une méthodologie pour classer les menaces est désignée sous le nom de STRIDE. Microsoft Security Development Lifecycle l’utilise. La classification des menaces vous aide à comprendre la nature de chaque menace et à utiliser les contrôles de sécurité appropriés.
Atténuer les menaces
Documentez toutes les menaces identifiées. Pour chaque menace, définissez les contrôles de sécurité et la réponse à une attaque en cas d’échec de ces contrôles. Définissez un processus et un calendrier qui minimisent l’exposition aux vulnérabilités identifiées dans la charge de travail, afin que ces vulnérabilités ne puissent pas rester sans réponse.
Utilisez l’approche Supposer une violation. Cela peut aider à identifier les contrôles nécessaires dans la conception pour atténuer les risques en cas d’échec d’un contrôle de sécurité principal. Évaluez la probabilité que le contrôle principal échoue. En cas d’échec, quelle est l’ampleur du risque organisationnel potentiel ? Par ailleurs, quelle est l’efficacité des contrôles compensatoires ? Sur la base de l’évaluation, appliquer des mesures de défense en profondeur pour remédier aux défaillances potentielles des contrôles de sécurité.
Prenons un exemple :
| Poser cette question | Pour déterminer les contrôles qui... |
|---|---|
| Les connexions sont-elles authentifiées via Microsoft Entra ID et utilisez des protocoles de sécurité modernes approuvés par l’équipe de sécurité : - Entre les utilisateurs et l’application ? - Entre composants d’application et services ? |
Empêchez tout accès non autorisé aux composants et aux données de l’application. |
| Limitez-vous l’accès aux seuls comptes qui doivent écrire ou modifier des données dans l’application ? | Empêcher la falsification ou la modification non autorisée des données. |
| L’activité de l’application est-elle enregistrée et introduite dans un système d’informations de sécurité et gestion d’événement (SIEM) via Azure Monitor ou une solution similaire ? | Détectez et enquêtez rapidement sur les attaques. |
| Les données critiques sont-elles protégées par un cryptage approuvé par l’équipe de sécurité ? | Empêchez la copie non autorisée des données au repos. |
| Le trafic réseau entrant et sortant est-il isolé des domaines approuvés par les équipes de sécurité ? | Empêchez la copie non autorisée des données. |
| L’application est-elle protégée contre l’accès depuis des emplacements externes/publics tels que des cafés en utilisant des pare-feu IP sur l’environnement ? | Empêchez l’accès à partir de lieux publics non autorisés. |
| L’application stocke-t-elle les identifiants de connexion ou les clés permettant d’accéder à d’autres applications, bases de données ou services ? | Identifiez si une attaque peut utiliser votre application pour attaquer d’autres systèmes. |
| Les contrôles applicatifs vous permettent-ils de répondre aux exigences réglementaires ? | Protégez les données privées des utilisateurs et évitez les amendes de non-conformité. |
Suivre les résultats de la modélisation des menaces
Nous vous recommandons fortement d’utiliser un outil de modélisation des menaces. Les outils peuvent automatiser le processus d’identification des menaces et produire un rapport complet de toutes les menaces identifiées. Assurez-vous de communiquer les résultats à toutes les équipes intéressées.
Suivez les résultats dans le cadre de la réplication de l’équipe chargée de la charge de travail pour permettre la responsabilisation en temps opportun. Attribuez des tâches aux personnes chargées d’atténuer un risque particulier identifié par la modélisation des menaces.
Au fur et à mesure que vous ajoutez de nouvelles fonctionnalités à la solution, mettez à jour le modèle de menace et intégrez-le dans le processus de gestion du code. Si vous découvrez un problème de sécurité, assurez-vous qu’il existe un processus permettant de trier le problème en fonction de sa gravité. Le processus doit vous aider à déterminer quand et comment résoudre le problème (par exemple, lors du prochain cycle de publication ou dans une version plus rapide).
Examiner régulièrement les exigences en matière de charge de travail critiques pour l’entreprise
Rencontrer régulièrement les sponsors exécutifs pour définir les exigences. Ces examens offrent l’occasion d’aligner les attentes et de garantir l’allocation des ressources opérationnelles à l’initiative.
Facilitation de Power Platform
Power Platform repose sur une culture et une méthodologie de conception sécurisée. La culture et la méthodologie sont constamment renforcées par les pratiques Cycle de vie du développement de la sécurité (SDL) et de modélisation des menaces de premier plan de Microsoft.
Le processus d’évaluation robuste de la modélisation des menaces garantit que les menances sont identifiées pendant la phase de conception, réduites et validées pour s’assurer qu’elles ont été atténuées.
La modélisation des menaces tient également compte de toutes les modifications apportées aux services qui sont déjà en ligne grâce à des examens réguliers continus. S’appuyer sur le modèle STRIDE aide à résoudre les problèmes les plus courants liés à la conception non sécurisée.
Le SDL de Microsoft est équivalent au Modèle de maturité de l’assurance logicielle OWASP (SAMM). Les deux sont construits sur le principe que la conception sécurisée fait partie intégrante de la sécurité des applications Web.
Pour plus d’informations, consultez les 10 principaux risques de l’OWASP : atténuations dans Power Platform.
Exemple
Cet exemple s’appuie sur l’environnement informatique établi dans les Recommandations pour l’établissement d’une base de référence en matière de sécurité. Cette approche permet une compréhension globale du paysage des menaces dans différents scénarios informatiques.
Personnages du cycle de vie du développement. De nombreux personnages sont impliqués dans un cycle de vie de développement, notamment les développeurs, les testeurs, les utilisateurs finaux et les administrateurs. Tous peuvent être compromis et mettre votre environnement en danger en raison de vulnérabilités ou de menaces créées intentionnellement.
Attaquants potentiels. Les attaquants considèrent un large éventail d’outils disponibles et faciles à utiliser à tout moment pour explorer vos vulnérabilités et lancer une attaque.
Contrôles de sécurité. Dans le cadre de l’analyse des menaces, identifiez les services de sécurité Microsoft, Azure et Power Platform à utiliser pour protéger votre solution, ainsi que l’efficacité de ces solutions.
Collection de journaux. Les journaux des ressources Power Platform et autres composants inclus dans votre charge de travail, tels que les ressources Azure et les composants local, peuvent être envoyés à Application Insights ou à Microsoft Purview afin que vous puissiez comprendre le comportement de votre solution développée et essayer de capturer les vulnérabilités initiales.
Solution SIEM (Security information event management). Microsoft Sentinel peut être ajouté même à un stade précoce de la solution afin que vous puissiez créer des requêtes analytiques pour atténuer les menaces et les vulnérabilités, en anticipant votre environnement de sécurité lorsque vous êtes en production.
Voir aussi
- Modèle STRIDE
- Modélisation des menaces
- Questions fréquentes (FAQ) sur la sécurité de Power Platform
- Plateforme d’identités Microsoft
- Cycle de vie du développement de la sécurité
- Évaluation continue de l’accès Azure AD
- Stratégie de sécurité du contenu
- Azure DDoS Protection
- Paramètres de la stratégie de conformité de Microsoft Intune
Liste de contrôle de sécurité
Référez-vous à l’ensemble complet des recommandations.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour