Modélisation des menaces
Qu'est-ce que Modélisation des menaces ?
Modélisation des menacesAnalyse structurée qui identifie les actifs, menaces, vulnérabilités et contre-mesures d'un système afin d'intégrer la sécurité dès la conception.
La modélisation des menaces est une pratique d'ingénierie collaborative au cours de laquelle architectes, développeurs et ingénieurs sécurité raisonnent sur la manière dont un système pourrait être attaqué. Elle produit une décomposition de l'application (diagrammes de flux de données, frontières de confiance, actifs), énumère les menaces à l'aide de cadres comme STRIDE, PASTA ou LINDDUN et propose des contre-mesures priorisées via DREAD ou CVSS. Menée tôt dans le cycle de développement, elle déplace la sécurité vers la gauche et coûte bien moins cher que la correction de failles après mise en production. Le livrable est en général un modèle vivant mis à jour à chaque évolution architecturale.
● Exemples
- 01
Atelier STRIDE sur un nouveau microservice de paiement révélant une authentification manquante entre deux API internes.
- 02
Revue d'un diagramme de flux montrant un webhook non fiable franchissant une frontière sans vérification de signature.
● Questions fréquentes
Qu'est-ce que Modélisation des menaces ?
Analyse structurée qui identifie les actifs, menaces, vulnérabilités et contre-mesures d'un système afin d'intégrer la sécurité dès la conception. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Modélisation des menaces ?
Analyse structurée qui identifie les actifs, menaces, vulnérabilités et contre-mesures d'un système afin d'intégrer la sécurité dès la conception.
Comment se défendre contre Modélisation des menaces ?
Les défenses contre Modélisation des menaces combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Modélisation des menaces ?
Noms alternatifs courants : Analyse architecturale des risques.