Qu'est-ce que STRIDE ?

STRIDE est un modele de classification des menaces developpe par Microsoft qui categorise les menaces en six types : Spoofing (usurpation d'identite), Tampering (falsification de donnees ou de code), Repudiation (deni d'actions effectuees), Information Disclosure (divulgation d'informations a des parties non autorisees), Denial of Service (empechement de l'acces legitime) et Elevation of Privilege (obtention de niveaux d'acces non autorises). Chaque categorie STRIDE correspond a des controles de securite specifiques.

Quand faut-il realiser une modelisation des menaces ?

La modelisation des menaces doit etre realisee : durant la phase de conception de nouveaux systemes ou fonctionnalites, lors de modifications architecturales significatives, avant le deploiement de nouvelles integrations ou connexions avec des tiers, durant les revues de securite et evaluations des risques, et periodiquement (au moins annuellement) pour les systemes critiques. L'objectif est de trouver et corriger les problemes de securite au niveau de la conception avant qu'ils ne deviennent des vulnerabilites couteuses au niveau du code.

Qu'est-ce qu'un diagramme de flux de donnees (DFD) en modelisation des menaces ?

Un diagramme de flux de donnees (DFD) est une representation visuelle de la maniere dont les donnees circulent dans un systeme. Il montre les entites externes (utilisateurs, systemes), les processus (applications, services), les stockages de donnees (bases de donnees, fichiers), les flux de donnees (chemins de communication) et les frontieres de confiance (ou les niveaux de privilege changent). Les DFD sont le fondement de la plupart des approches de modelisation des menaces car ils montrent clairement ou les donnees franchissent les frontieres de confiance — les emplacements les plus courants des vulnerabilites de securite.

Quelle est la difference entre STRIDE et PASTA ?

STRIDE est une approche centree sur les menaces qui classifie les menaces en six categories et convient le mieux aux equipes de developpement analysant des composants specifiques. PASTA (Process for Attack Simulation and Threat Analysis) est une methodologie en sept etapes centree sur le risque qui prend en compte les objectifs metier, le renseignement sur les menaces et la simulation d'attaques. STRIDE est plus simple et plus accessible pour les developpeurs ; PASTA est plus complet mais necessite une expertise en securite plus approfondie.

Comment hierarchiser les menaces ?

Les menaces sont hierarchisees a l'aide d'une evaluation des risques combinant probabilite et impact. Les methodes courantes incluent : le scoring DREAD (Damage, Reproducibility, Exploitability, Affected users, Discoverability), les notations de severite de type CVSS, l'analyse d'impact metier tenant compte de la sensibilite des donnees et des exigences reglementaires, et les matrices de risque croisant probabilite et impact. Concentrez la remediation sur les menaces a forte probabilite et fort impact en priorite.

Quels referentiels de conformite exigent la modelisation des menaces ?

ISO 27001 (A.5.7 — Renseignement sur les menaces, A.8.25 — Cycle de vie de developpement securise), SOC 2 (CC3.2 — Evaluation des risques), NIS2 (Article 21(2)(a) — Analyse des risques et politiques de securite des systemes d'information), DORA (Article 8 — Cadre de gestion des risques TIC) et PCI DSS (Exigence 6.5 — Traiter les vulnerabilites courantes de codage) exigent ou recommandent fortement l'analyse des menaces dans le cadre de la gestion des risques et du developpement securise.

Quels outils supportent la modelisation des menaces ?

Les outils de modelisation des menaces populaires incluent : Microsoft Threat Modeling Tool (gratuit, base sur STRIDE, pilote par les DFD), OWASP Threat Dragon (open source, base sur le web), IriusRisk (commercial, analyse automatisee des menaces), Threagile (open source, modelisation des menaces as code) et draw.io/Lucidchart (diagrammes generaux pour les DFD). Choisissez en fonction de la taille de l'equipe, des besoins d'integration et de votre preference pour les approches visuelles ou basees sur le code.

Modelisation des menaces : le guide complet pour les equipes securite et conformite

Published 8 mars 2026

By Emre Salmanoglu

Modelisation des menaces : le guide complet pour les equipes securite et conformite

Q: Qu'est-ce que la modelisation des menaces ?

La modelisation des menaces est une approche structuree pour identifier, quantifier et traiter les menaces de securite pesant sur un systeme. Elle consiste a creer une abstraction du systeme, identifier les menaces et vulnerabilites potentielles, evaluer leur severite et determiner les contre-mesures appropriees. La modelisation des menaces est plus efficace lorsqu'elle est realisee en phase de conception, mais peut egalement etre appliquee aux systemes existants.

Decouvrez comment mettre en oeuvre la modelisation des menaces pour satisfaire les exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre STRIDE, PASTA, arbres d'attaque, diagrammes de flux de donnees, evaluation des risques et preuves de conformite.

modelisation des menaces

STRIDE

evaluation des risques

conception securisee

conformite

Qu'est-ce que la modelisation des menaces ?

La modelisation des menaces est une methodologie structuree pour identifier et attenuer les menaces de securite durant la phase de conception et d'architecture du developpement des systemes. Plutot que d'attendre de trouver des vulnerabilites par des tests, la modelisation des menaces analyse proactivement comment un systeme pourrait etre attaque et integre les defenses dans la conception.

Une modelisation efficace des menaces repond a quatre questions cles : Que construisons-nous ? Qu'est-ce qui peut mal tourner ? Que faisons-nous pour y remedier ? Avons-nous fait un travail suffisant ?

Methodologies de modelisation des menaces

Methodologie	Approche	Ideal pour	Complexite
STRIDE	Classification des menaces (6 categories)	Equipes de developpement, analyse de composants	Faible-Moyenne
PASTA	Centree sur le risque, processus en 7 etapes	Evaluation des risques en entreprise	Elevee
Arbres d'attaque	Structure arborescente cartographiant les chemins d'attaque	Scenarios de menaces specifiques	Moyenne
LINDDUN	Categories de menaces centrees sur la vie privee	Applications sensibles a la vie privee	Moyenne
VAST	Modelisation des menaces visuelle, agile et evolutive	Grandes organisations, DevOps	Moyenne
Analyse de la kill chain	Modelisation du comportement de l'adversaire	Preparation a la reponse aux incidents	Moyenne

Categories de menaces STRIDE

Categorie	Menace	Propriete de securite	Contre-mesure
Spoofing	Usurpation d'identite d'un utilisateur ou systeme	Authentification	Authentification forte, MFA, certificats
Tampering	Modification de donnees, code ou configurations	Integrite	Validation des entrees, sommes de controle, signatures numeriques
Repudiation	Deni des actions effectuees	Non-repudiation	Journalisation d'audit, signatures numeriques, horodatages
Information disclosure	Exposition de donnees a des parties non autorisees	Confidentialite	Chiffrement, controles d'acces, masquage des donnees
Denial of service	Empechement de l'acces legitime aux ressources	Disponibilite	Limitation de debit, redondance, auto-scaling
Elevation of privilege	Obtention de niveaux d'acces non autorises	Autorisation	Moindre privilege, RBAC, validation des entrees

Processus de modelisation des menaces

Etape	Activites	Resultat
1. Perimetre	Definir les limites du systeme, les actifs et les niveaux de confiance	Diagramme de contexte du systeme
2. Decomposition	Creer des diagrammes de flux de donnees montrant les composants, flux de donnees et frontieres de confiance	DFD avec frontieres de confiance
3. Identification des menaces	Appliquer STRIDE ou la methodologie choisie a chaque element	Liste des menaces avec descriptions
4. Evaluation des risques	Noter chaque menace par probabilite et impact	Matrice de menaces hierarchisee
5. Determination des contre-mesures	Identifier les controles de securite pour chaque menace	Correspondance des contre-mesures
6. Validation	Verifier que les contre-mesures sont efficaces et mises en oeuvre	Rapport de validation
7. Documentation	Enregistrer le modele, les decisions et les risques residuels	Document de modelisation des menaces

Elements d'un diagramme de flux de donnees

Element	Symbole	Exemples	Focus des menaces
Entite externe	Rectangle	Utilisateurs, API externes, systemes tiers	Usurpation, validation des entrees
Processus	Cercle	Logique applicative, microservices	Toutes les categories STRIDE
Stockage de donnees	Lignes paralleles	Bases de donnees, systemes de fichiers, caches	Falsification, divulgation d'informations
Flux de donnees	Fleche	Appels API, connexions reseau, transferts de fichiers	Falsification, divulgation d'informations
Frontiere de confiance	Ligne pointillee	Perimetre reseau, service mesh, authentification	Toutes les categories (zone a plus haut risque)

Matrice d'evaluation des risques

	Impact faible	Impact moyen	Impact eleve	Impact critique
Probabilite elevee	Moyen	Eleve	Critique	Critique
Probabilite moyenne	Faible	Moyen	Eleve	Critique
Probabilite faible	Informatif	Faible	Moyen	Eleve

Schemas de menaces courants

Schema	Description	Ou le trouver	Contre-mesure
Authentification defaillante	Authentification faible ou contournee	Flux de connexion, endpoints API	MFA, gestion des sessions, validation des tokens
Injection	Entrees non fiables executees comme du code	Requetes base de donnees, commandes OS, LDAP	Validation des entrees, requetes parametrees
Exposition de donnees	Donnees sensibles transmises ou stockees de maniere non securisee	API, bases de donnees, journaux	Chiffrement, masquage, controles d'acces
Escalade de privileges	L'utilisateur obtient un acces superieur a celui autorise	Fonctions d'administration, attributions de roles	Moindre privilege, verifications d'autorisation
Compromission de la chaine d'approvisionnement	Composants tiers malveillants	Dependances, integrations, API	SCA, SBOM, evaluation des fournisseurs
Menace interne	Un utilisateur autorise agit de maniere malveillante	Tous les systemes internes	Surveillance, separation des fonctions, revues d'acces

Exigences de conformite

Correspondance avec les referentiels

Exigence	ISO 27001	SOC 2	NIS2	DORA
Evaluation des risques	A.5.7	CC3.2	Art. 21(2)(a)	Art. 8(1)
Renseignement sur les menaces	A.5.7	CC3.2	Art. 21(2)(a)	Art. 8(6)
Conception securisee	A.8.25	CC8.1	Art. 21(2)(e)	Art. 8(1)
Exigences de securite	A.8.26	CC8.1	Art. 21(2)(e)	Art. 8(1)
Tests de securite	A.8.29	CC8.1	Art. 21(2)(e)	Art. 8(3)
Evaluation des risques lies aux changements	A.8.32	CC8.1	Art. 21(2)(e)	Art. 8(2)

Preuves d'audit

Type de preuve	Description	Referentiel
Documents de modelisation des menaces	Modeles de menaces completes pour les systemes critiques	Tous les referentiels
Diagrammes de flux de donnees	DFD a jour montrant les frontieres de confiance	ISO 27001, SOC 2
Resultats d'evaluation des risques	Listes hierarchisees de menaces avec notations	Tous les referentiels
Correspondance des contre-mesures	Menaces associees aux controles mis en oeuvre	Tous les referentiels
Enregistrements de revue des modeles de menaces	Preuves de revue et de mise a jour periodiques	ISO 27001, NIS2
Suivi de la remediation	Tickets montrant le flux menace-vers-correction	Tous les referentiels
Enregistrements de formation	Formation des developpeurs a la modelisation des menaces	ISO 27001, SOC 2

Erreurs courantes

Erreur	Risque	Correction
Ne modeliser qu'a la conception initiale	Derive entre le modele et la realite	Mettre a jour les modeles de menaces lors de changements significatifs
Trop abstrait, pas de resultat actionnable	Les modeles n'apportent aucune valeur securite	Inclure des contre-mesures specifiques et testables
Seule l'equipe securite participe	Connaissances metier manquantes	Inclure developpeurs, architectes et responsables produit
Ignorer les frontieres de confiance	Manquer les surfaces d'attaque a plus haut risque	Cartographier chaque franchissement de frontiere de confiance dans les DFD
Pas de hierarchisation des menaces	Traiter toutes les menaces de maniere egale	Utiliser l'evaluation des risques pour se concentrer d'abord sur les menaces critiques
Ne pas suivre la remediation	Les menaces identifiees ne sont jamais traitees	Suivre les contre-mesures comme des exigences de securite

Comment Orbiq accompagne la conformite en modelisation des menaces

Orbiq vous aide a demontrer vos pratiques de modelisation des menaces et d'evaluation des risques :

Collecte de preuves — Centralisez les modeles de menaces, evaluations des risques et enregistrements de remediation
Surveillance continue — Suivez la couverture de la modelisation des menaces et la progression de la remediation
Trust Center — Partagez vos pratiques de conception securisee via votre Trust Center
Correspondance avec les referentiels — Associez les activites de modelisation des menaces a ISO 27001, SOC 2, NIS2 et DORA
Preparation aux audits — Packages de preuves pre-elabores pour la revue par les auditeurs

Pour aller plus loin

Cadres de gestion des risques — Evaluation et traitement des risques en entreprise
DevSecOps — Integrer la modelisation des menaces dans le CI/CD
Gestion des vulnerabilites — De l'identification des menaces a la remediation
Reponse aux incidents — Quand les menaces se materialisent
Securite de la chaine d'approvisionnement — Evaluation des menaces tiers
Securite des API — Modelisation des menaces pour les API