La vraisemblance d'un scénario peut être calculée en tenant compte de deux facteurs principaux :
La probabilité que l'action se réalise, c'est-à-dire à quel point il est probable qu'une telle attaque survienne.
La difficulté technique nécessaire pour mener à bien cette action, qui dépend de la complexité des mesures de sécurité en place et des compétences requises pour les contourner.
Chaque organisation peut définir sa propre échelle d'évaluation en fonction de ses spécificités, de son secteur d'activité et de sa tolérance au risque.
Voici un exemple des différentes échelles que vous pouvez utiliser à travers 3 tableaux.
Échelle de probabilité de succès d’une action élémentaire | |
Niveau de l'échelle | Description |
4 - Quasi-certaine | Probabilité de succès quasi certaine > 90 % |
3 - Très élevée | Probabilité de succès très élevée > 60 % |
2 - Significative | Probabilité de succès significative > 20 % |
1 - Faible | Probabilité de succès faible < 20 % |
0 - Très faible | Probabilité de succès très faible < 3 % |
Dans le cadre d'EBIOS RM, si un serveur est bien protégé (mises à jour régulières, pare-feu, monitoring), la probabilité de succès pourrait être évaluée à 1 - Faible (<20%).
Si, au contraire, ce serveur n'est pas mis à jour depuis plusieurs mois, la probabilité pourrait monter à 3 - Très élevée (>60%).
Échelle de difficulté technique d’une action élémentaire | |
Niveau de l'échelle | Description |
4 - Très élevée | Difficulté très élevée : l'attaquant engagera des ressources très importantes pour mener à bien son action. |
3 - Élevée | Difficulté élevée : l'attaquant engagera des ressources importantes pour mener à bien son action. |
2 - Modérée | Difficulté modérée : l'attaquant engagera des ressources significatives pour mener à bien son action. |
1 - Faible | Difficulté faible : les ressources engagées par l'attaquant seront faibles. |
0 - Négligeable | Difficulté négligeable, voire nulle : les ressources engagées par l'attaquant seront négligeables ou déjà disponibles. |
Dans le cadre d'EBIOS RM, si un serveur vulnérable (non mis à jour) est exposé, la difficulté technique pour un attaquant est faible ou négligeable (niveau 0 ou 1), rendant la probabilité de succès élevée (>60%). En revanche, si le serveur est bien protégé (mises à jour, WAF configuré), la difficulté technique devient élevée ou très élevée (niveau 3 ou 4), et la probabilité de succès chute (<20%). Ainsi, un serveur non protégé représente un risque critique nécessitant des actions immédiates, alors qu’un serveur bien protégé permet de tolérer un risque résiduel. Les échelles de difficulté et de probabilité guident la hiérarchisation des actions de sécurité.
Voici le tableau d'évaluation de la vraisemblance :
|
| Difficulté technique du mode opérationnel | ||||
|
| 0 - Négligeable | 1 - Faible | 2 - Modérée | 3 - Élevée | 4 - Très élevée |
Probabilité de succès | 4 - Quasi-certaine | 4 | 4 | 3 | 2 | 1 |
| 3 - Très élevée | 4 | 3 | 3 | 2 | 1 |
| 2 - Significative | 3 | 3 | 2 | 2 | 1 |
| 1 - Faible | 2 | 2 | 2 | 1 | 0 |
| 0 - Très faible | 1 | 1 | 1 | 0 | 0 |
Dans le cadre d'EBIOS RM, Un serveur non à jour (vulnérabilité publique) aura une probabilité de succès élevée (3) et une difficulté technique faible (1), positionnant le risque à niveau 3 (critique). Si le serveur est mis à jour et un WAF est configuré, la probabilité chute à faible (1) et la difficulté technique monte à modérée (2), réduisant le risque à niveau 2. Cette matrice aide à prioriser les actions pour minimiser les risques.
Voyons à présent l'application de nos tableaux dans le cadre de VETO+.
Dans un premier temps vous devez évaluer la probabilité et la difficulté technique de chaque action élémentaire.
Détaillons avec l’exemple de VETO+:
Actions | Probabilité | Difficulté technique |
Action 1 : Reconnaissance externe de la cible | Question à se poser : Est-ce que le cybercriminel peut facilement trouver des informations sur les employés de VETO+ ? Proposition de réponse : Les adresses e-mails des employés sont disponibles sur le site internet de VETO+, ce qui rend la collecte d'informations facile. La probabilité de succès est donc de 4. | Aucune compétence technique particulière n'est nécessaire. La difficulté est donc de 1. |
Action 2 : Intrusion via mail d'hameçonnage | Question à se poser : Est-ce que les employés VETO+ sont suffisamment vigilants et les dispositifs de sécurité performants ? Proposition de réponse : Le succès d'une tentative d'hameçonnage dépend de la vigilance des employés et des dispositifs de sécurité (comme des formations contre le phishing). Disons que VETO+ a mis en place des formations régulières. La probabilité est donc modérée, à 2. | Créer un e-mail d’hameçonnage ne demande pas de compétences techniques avancées, mais un minimum de préparation et d’outils. La difficulté est évaluée à 2. |
Action 3 : Création et maintien d’un canal d'exfiltration | Question à se poser : Est-ce que VETO+ dispose des dispositifs nécessaires pour détecter et stopper une tentative d'exfiltration de données sur ses systèmes d'information ? Proposition de réponse : La réussite d'une exfiltration de données dépend de la capacité des attaquants à créer un canal discret et à maintenir son activité sans être détecté par les dispositifs de sécurité (tels que les pare-feux, les systèmes de détection d'intrusion et la surveillance réseau). Si VETO+ a mis en place une surveillance réseau performante et des outils de détection avancés, l’identification d’une exfiltration pourrait être plus rapide, mais il existe toujours des risques si des techniques sophistiquées sont utilisées. La probabilité de réussir une telle attaque, dans le cadre de VETO+ avec ses dispositifs de surveillance, est évaluée à 2 (modérée), car des protections existent, mais elles peuvent être contournées. La probabilité est estimée à 2. | La création et le maintien d’un canal d’exfiltration nécessitent des compétences techniques plus avancées et une infrastructure dédiée, mais cela reste faisable par des attaquants expérimentés. La difficulté de l’attaque est donc évaluée à 3, car elle demande des compétences élevées et une préparation approfondie. |
Voici donc à quoi cela pourrait ressembler :
Comment calculer la vraisemblance de chaque action élémentaire ?
La note de vraisemblance, de notre action N°1 “reconnaissance externe de la cible” est notée 4, car si vous vous référez à la grille présentée en haut de ce chapitre, cette note est l’intersection d’une probabilité de 4 et d’une difficulté de 1. On obtient donc une vraisemblance de :
4, dite vraisemblance “faible”, pour l’action 1
2, dite vraisemblance “modérée”, pour l’action 2
2, dite vraisemblance “élevée”, pour l’action 3.
Calculez la vraisemblance globale
Pour évaluer la vraisemblance globale du scénario, nous allons :
Garder la valeur la plus faible pour la probabilité : Ici, la probabilité la plus faible est de 2 (hameçonnage et latéralisation).
Garder la valeur la plus élevée pour la difficulté technique : Ici, la difficulté la plus élevée est de 3 (latéralisation).
Concernant la probabilité : nous garderons la valeur la plus faible car si une des actions est très difficile à réussir cela veut dire que le scénario a une vraisemblance faible.
Concernant la difficulté technique, c’est l’inverse. Nous gardons la valeur la plus élevée.
La vraisemblance de notre scénario “récupération des données des salariés par un cybercriminel via un intermédiaire” est donc : Probabilité : 2, Difficulté technique : 3. Et pour la vraisemblance globale, en se référant à notre grille initiale : vraisemblance V2 - Élevée.
Cette analyse permet à VETO+ d’identifier le niveau de menace associé à chaque étape et de prendre des mesures de sécurité adaptées pour réduire les risques.
À titre d’exemple, retrouvez dans ce livrable plusieurs scénarios :
En résumé
Identifiez pour chaque action élémentaire sa vraisemblance à partir de la grille de référence.
Évaluez ensuite la vraisemblance globale de votre scénario.
Prêt pour la dernière partie ? Découvrez l’atelier 5 de la méthode EBIOS RM, tout de suite après le quiz !
