"Principes fondamentaux de la modélisation des risques" introduit un cadre pratique pour comprendre et évaluer les risques liés à la vie privée, en vous fournissant des outils pour identifier les vulnérabilités potentielles dans vos interactions numériques.

Modélisation des risques

Équilibrer la sécurité, la confidentialité et l’utilisabilité est l’une des premières tâches les plus difficiles auxquelles vous devrez faire face dans votre quête de confidentialité. Tout est un trade-off : plus quelque chose est sûr, plus restrictif ou gênant il est généralement, etc. Souvent, les gens trouvent que le problème avec les outils qu’ils voient recommandés est qu’ils sont trop difficiles à utiliser!

Si vous voulez utiliser les outils plus sécurisés disponibles, vous devrez sacrifier une grande partie de la facilité d’utilisation. Et même alors, rien n’est complètement sûr. Il y a une sécurité élevée, mais jamais totale. C’est pourquoi les modèles de menace sont importants.

Alors, quels sont ces modèles de menace?

Un modèle de menace est une liste des menaces les plus probables à vos efforts de sécurité et de confidentialité. Comme il est impossible de se protéger contre chaque attaque (ou attaque), vous devez vous concentrer sur les menaces les plus probables. Dans la sécurité informatique, une menace est un événement qui pourrait saper vos efforts pour rester privé et sûr.

Se concentrer sur les menaces qui comptent pour vous réduit votre réflexion sur la protection dont vous avez besoin, afin que vous puissiez choisir les bons outils pour le travail.

Créer votre modèle de risque

Pour identifier ce qui pourrait arriver aux choses que vous appréciez et déterminer de qui vous devez les protéger, vous devez répondre à ces cinq questions :

1. Qu’est-ce que je veux protéger?
2. De qui je veux le protéger?
3. Quelle est la probabilité que vous ayez besoin de le protéger?
4. Quelles sont les conséquences si j’échoue ?
5. Combien de problèmes suis-je prêt à passer pour essayer d’éviter les conséquences possibles?

Qu’est-ce que je veux protéger ?

Un "actif" est quelque chose que vous appréciez et que vous voulez protéger. Dans le contexte de la sécurité numérique, un actif est généralement une sorte d’information. Par exemple, vos e-mails, listes de contacts, messages instantanés, emplacement et fichiers sont tous actifs possibles. Vos propres appareils peuvent également être actifs.

Dressez une liste de vos actifs : les données que vous stockez, l’endroit où elles sont stockées, qui y a accès et ce qui empêche d’autres personnes d’y accéder.

De qui je veux le protéger ?

Pour répondre à cette question, il est important d’identifier qui pourrait vouloir s’adresser à vous ou à vos informations. *** Une personne ou entité qui représente une menace pour ses biens est un "adversaire"**. Des exemples d’adversaires potentiels sont votre patron, votre ancien partenaire, votre concurrent commercial, votre gouvernement ou un hacker sur un réseau public.

Faites une liste de vos adversaires ou de ceux qui pourraient vouloir s’emparer de vos biens. Votre liste peut inclure des individus, une agence gouvernementale ou des entreprises.

Selon qui sont vos adversaires, cette liste peut être quelque chose que vous voulez détruire après avoir fini de développer votre modèle de menace.

Quelle est la probabilité que vous ayez besoin de le protéger?

Le risque est la probabilité qu’une menace concrète se produise contre un actif donné. Elle va de pair avec la capacité. Bien que votre opérateur de téléphonie mobile ait la capacité d’accéder à toutes vos données, le risque qu’ils publient vos données privées en ligne pour nuire à votre réputation est faible.

Il est important de faire la distinction entre ce qui pourrait se produire et la probabilité que cela se produise. Par exemple, votre bâtiment risque de s’effondrer, mais le risque est beaucoup plus grand à San Francisco (où les tremblements de terre sont courants) qu’à Stockholm (où ils ne le sont pas).

L’évaluation des risques est un processus à la fois personnel et subjectif. Beaucoup de gens trouvent certaines menaces inacceptables, peu importe la probabilité qu’elles se produisent, parce que la simple présence de la menace ne vaut pas le coût. Dans d’autres cas, les gens ignorent les risques élevés parce qu’ils ne considèrent pas la menace comme un problème.

Indiquez les menaces que vous prendrez au sérieux et celles qui peuvent être trop rares ou inoffensives (ou trop difficiles à combattre) pour vous inquiéter.

Quelles sont les conséquences si j’échoue ?

Il existe de nombreuses façons pour un adversaire d’accéder à vos données. Par exemple, un adversaire peut lire vos communications privées au fur et à mesure qu’elles passent sur le réseau, ou ils peuvent effacer ou corrompre vos données.

Les motivations des adversaires sont très différentes, tout comme leurs tactiques. Un gouvernement qui cherche à empêcher la diffusion d’une vidéo montrant des violences policières peut se contenter de supprimer ou de réduire la disponibilité de cette vidéo. En revanche, un opposant politique peut vouloir accéder à du contenu secret et le publier sans que vous ne le sachiez.

La planification de la sécurité implique de comprendre à quel point les conséquences pourraient être mauvaises si un adversaire accède à l’un de ses actifs. Pour déterminer cela, vous devez considérer la capacité de votre adversaire. Par exemple, votre opérateur de téléphonie mobile a accès à tous vos relevés téléphoniques. Un hacker sur un réseau Wi-Fi ouvert peut accéder à vos communications sans cryptage. Votre gouvernement pourrait avoir des capacités plus fortes.

Écrivez ce que votre adversaire pourrait vouloir faire avec vos données privées.

Combien de problèmes suis-je prêt à passer pour essayer d’éviter les conséquences possibles?

Il n’existe pas de solution parfaite pour la sécurité. Tout le monde n’a pas les mêmes priorités, les mêmes préoccupations ou l’accès aux ressources. Votre évaluation des risques vous permettra de planifier la bonne stratégie pour vous, en équilibrant la commodité, le coût et la confidentialité.

Par exemple, un avocat représentant un client dans une affaire de sécurité nationale peut être disposé à déployer des efforts supplémentaires pour protéger les communications relatives à cette affaire, comme l’utilisation du courrier électronique crypté, une mère qui envoie régulièrement des vidéos de chats amusantes à sa fille.

Notez les options qui s’offrent à vous pour atténuer vos menaces uniques. Veuillez noter si vous avez des contraintes financières, techniques ou sociales.

Essayez-le vous-même : Protégez vos biens

Ces questions peuvent s’appliquer à une grande variété de situations, en ligne et hors ligne. Comme une démonstration générique de la façon dont ces questions fonctionnent, construisons un plan pour garder votre maison et vos biens en sécurité.

Que voulez-vous protéger? (Ou, qu’avez-vous qui vaut la peine d’être protégé?)
Vos biens peuvent inclure des bijoux, des appareils électroniques, des documents importants ou des photos.

De qui voulez-vous le protéger?
Vos adversaires peuvent être des voleurs, des colocataires ou des invités.

Quelle est la probabilité que vous aurez besoin de le protéger?
Votre quartier a-t-il un historique de vols? Quelle est la fiabilité de vos colocataires ou invités? Quelles sont les capacités de vos adversaires? Quels sont les risques à prendre en compte?

Quelles sont les conséquences si vous échouez?
Avez-vous quelque chose dans votre maison que vous ne pouvez pas remplacer? Avez-vous le temps ou l’argent pour remplacer ces choses? Avez-vous une assurance qui couvre les biens volés de votre maison?

Combien de problèmes êtes-vous prêt à passer pour éviter ces conséquences?
Êtes-vous prêt à acheter un coffre fort pour documents sensibles? Pouvez-vous vous permettre d’acheter un cadenas de haute qualité? Avez-vous le temps d’ouvrir un coffre-fort dans votre banque locale et y garder vos objets de valeur?

Ce n’est qu’après avoir posé ces questions que vous serez en mesure d’évaluer les mesures à prendre. Si vos possessions sont précieuses, mais la probabilité d’un vol est faible, alors vous ne voulez pas investir trop d’argent dans une serrure. Mais, si la probabilité d’un vol est élevée, vous voudrez obtenir le meilleur verrouillage sur le marché et envisager d’ajouter un système de sécurité.

Élaborer un plan de sécurité vous aidera à comprendre les menaces qui sont uniques pour vous et à évaluer vos actifs, vos adversaires et leurs capacités, ainsi que la probabilité des risques auxquels vous êtes confronté.

Autres lectures

Pour les personnes qui cherchent à améliorer leur vie privée et leur sécurité en ligne, nous avons compilé une liste des menaces courantes auxquelles nos visiteurs ou cibles sont confrontés par nos visiteurs, pour vous donner un peu d’inspiration et de démontrer la base de nos recommandations.

• [Cibles et menaces courantes] (https://www.privacyguides.org/fr/basics/common-threats/)

Sources

• EFF Surveillance Self Defense : Votre plan de sécurité

13 février 2025 - 12 février 2022 | Jonah Aragon (81,13%), Daniel Gray (1,89%), Kai Tebay, d4rklynk

*Privacy Guides est un site Web à but non lucratif, à motivation sociale qui fournit des informations pour protéger la sécurité et la confidentialité de vos données.
Nous ne gagnons pas d’argent en recommandant certains produits, et nous n’utilisons pas de liens affiliés.
Licence Creative Commons 2019-2025 Guides de confidentialité et contributeurs. Avis de confidentialité. *

Article original en anglais : https://www.privacyguides.org/en/basics/threat-modeling/