Model | Conception | Évaluation de la menace
La pratique d’évaluation des menaces (TA) se concentre sur l’identification et la compréhension des risques au niveau du projet en fonction de la fonctionnalité du logiciel en cours de développement et des caractéristiques de l’environnement d’exécution. À partir de détails sur les menaces et les attaques potentielles contre chaque projet, l’organisation dans son ensemble fonctionne plus efficacement grâce à de meilleures décisions sur l’établissement des priorités des initiatives pour la sécurité. En outre, les décisions relatives à l’acceptation des risques sont mieux éclairées, donc plus alignées sur l’entreprise.
En commençant par de simples modèles de menace et en construisant des profils de risque applicatifs, une organisation s’améliore au fil du temps. Au bout du compte, une organisation sophistiquée maintiendrait cette information de manière étroitement couplée aux facteurs compensateurs et aux risques provenant des entités externes. Cela permet de mieux comprendre les impacts potentiels des problèmes de sécurité en aval tout en surveillant de près les performances actuelles de l’organisation face aux menaces connues.
| Maturity level | Stream AProfil de risque de l'application | Stream BModélisation des Menaces | |
|---|---|---|---|
| 1 | Identification des menaces de haut niveau pour l'organisation et les projets individuels au mieux de vos capacités. | Une évaluation basique du niveau de risque de l'application est effectuée afin de comprendre la probabilité et l'impact d'une attaque. | Effectuez une modélisation des menaces adaptée à vos moyens et avec une approche par les risques en utilisant le remue-méninges et les diagrammes existants via de simples listes de contrôle des menaces. |
| 2 | Normalisation et analyse à l'échelle de l'entreprise des menaces liées aux logiciels au sein de l'organisation. | Comprendre le risque pour toutes les applications au sein de l'organisation en centralisant l'inventaire des profils de risque pour les intervenants. | Normaliser la formation, les processus et les outils de modélisation des menaces à l'échelle de l'entreprise. |
| 3 | Amélioration proactive de la couverture des menaces à travers toute l'organisation. | Examinez périodiquement les profils de risque des applications à intervalles réguliers afin de s'assurer de l'exactitude et de la pertinence de l'état actuel. | Optimisation et automatisation continue de votre méthodologie de modélisation des menaces. |