Published 8 mars 2026
By Emre SalmanogluModelisation des menaces : le guide complet pour les équipes sécurité et conformité
Decouvrez comment mettre en oeuvre la modelisation des menaces pour satisfaire les exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre STRIDE, PASTA, arbres d'attaque, diagrammes de flux de données, évaluation des risques et preuves de conformité.
modelisation des menaces
STRIDE
évaluation des risques
conception securisee
conformité
Qu'est-ce que la modelisation des menaces ?
La modelisation des menaces est une methodologie structuree pour identifier et attenuer les menaces de sécurité durant la phase de conception et d'architecture du developpement des systemes. Plutot que d'attendre de trouver des vulnerabilites par des tests, la modelisation des menaces analyse proactivement comment un systeme pourrait etre attaque et integre les defenses dans la conception.
Une modelisation efficace des menaces repond a quatre questions cles : Que construisons-nous ? Qu'est-ce qui peut mal tourner ? Que faisons-nous pour y remedier ? Avons-nous fait un travail suffisant ?
Methodologies de modelisation des menaces
| Methodologie | Approche | Ideal pour | Complexite |
|---|---|---|---|
| STRIDE | Classification des menaces (6 catégories) | Équipes de developpement, analyse de composants | Faible-Moyenne |
| PASTA | Centree sur le risque, processus en 7 etapes | Évaluation des risques en entreprise | Elevee |
| Arbres d'attaque | Structure arborescente cartographiant les chemins d'attaque | Scenarios de menaces specifiques | Moyenne |
| LINDDUN | Categories de menaces centrees sur la vie privee | Applications sensibles a la vie privee | Moyenne |
| VAST | Modelisation des menaces visuelle, agile et evolutive | Grandes organisations, DevOps | Moyenne |
| Analyse de la kill chain | Modelisation du comportement de l'adversaire | Preparation a la réponse aux incidents | Moyenne |
Categories de menaces STRIDE
| Catégorie | Menace | Propriete de sécurité | Contre-mesure |
|---|---|---|---|
| Spoofing | Usurpation d'identite d'un utilisateur ou systeme | Authentification | Authentification forte, MFA, certificats |
| Tampering | Modification de données, code ou configurations | Integrite | Validation des entrees, sommes de contrôle, signatures numeriques |
| Repudiation | Deni des actions effectuees | Non-repudiation | Journalisation d'audit, signatures numeriques, horodatages |
| Information disclosure | Exposition de données a des parties non autorisees | Confidentialité | Chiffrement, contrôles d'accès, masquage des données |
| Denial of service | Empechement de l'accès legitime aux ressources | Disponibilite | Limitation de debit, redondance, auto-scaling |
| Elevation of privilege | Obtention de niveaux d'accès non autorises | Autorisation | Moindre privilege, RBAC, validation des entrees |
Processus de modelisation des menaces
| Etape | Activites | Resultat |
|---|---|---|
| 1. Perimetre | Definir les limites du systeme, les actifs et les niveaux de confiance | Diagramme de contexte du systeme |
| 2. Decomposition | Creer des diagrammes de flux de données montrant les composants, flux de données et frontieres de confiance | DFD avec frontieres de confiance |
| 3. Identification des menaces | Appliquer STRIDE ou la methodologie choisie a chaque element | Liste des menaces avec descriptions |
| 4. Évaluation des risques | Noter chaque menace par probabilite et impact | Matrice de menaces hierarchisee |
| 5. Determination des contre-mesures | Identifier les contrôles de sécurité pour chaque menace | Correspondance des contre-mesures |
| 6. Validation | Verifier que les contre-mesures sont efficaces et mises en oeuvre | Rapport de validation |
| 7. Documentation | Enregistrer le modèle, les décisions et les risques residuels | Document de modelisation des menaces |
Elements d'un diagramme de flux de données
| Element | Symbole | Exemples | Focus des menaces |
|---|---|---|---|
| Entite externe | Rectangle | Utilisateurs, API externes, systemes tiers | Usurpation, validation des entrees |
| Processus | Cercle | Logique applicative, microservices | Toutes les catégories STRIDE |
| Stockage de données | Lignes paralleles | Bases de données, systemes de fichiers, caches | Falsification, divulgation d'informations |
| Flux de données | Fleche | Appels API, connexions réseau, transferts de fichiers | Falsification, divulgation d'informations |
| Frontiere de confiance | Ligne pointillee | Perimetre réseau, service mesh, authentification | Toutes les catégories (zone a plus haut risque) |
Matrice d'évaluation des risques
| Impact faible | Impact moyen | Impact eleve | Impact critique | |
|---|---|---|---|---|
| Probabilite elevee | Moyen | Eleve | Critique | Critique |
| Probabilite moyenne | Faible | Moyen | Eleve | Critique |
| Probabilite faible | Informatif | Faible | Moyen | Eleve |
Schemas de menaces courants
| Schema | Description | Ou le trouver | Contre-mesure |
|---|---|---|---|
| Authentification defaillante | Authentification faible ou contournee | Flux de connexion, endpoints API | MFA, gestion des sessions, validation des tokens |
| Injection | Entrees non fiables executees comme du code | Requetes base de données, commandes OS, LDAP | Validation des entrees, requetes parametrees |
| Exposition de données | Données sensibles transmises ou stockees de manière non securisee | API, bases de données, journaux | Chiffrement, masquage, contrôles d'accès |
| Escalade de privileges | L'utilisateur obtient un accès superieur a celui autorise | Fonctions d'administration, attributions de roles | Moindre privilege, verifications d'autorisation |
| Compromission de la chaîne d'approvisionnement | Composants tiers malveillants | Dependances, integrations, API | SCA, SBOM, évaluation des fournisseurs |
| Menace interne | Un utilisateur autorise agit de manière malveillante | Tous les systemes internes | Surveillance, separation des fonctions, revues d'accès |
Exigences de conformité
Correspondance avec les référentiels
| Exigence | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Évaluation des risques | A.5.7 | CC3.2 | Art. 21(2)(a) | Art. 8(1) |
| Renseignement sur les menaces | A.5.7 | CC3.2 | Art. 21(2)(a) | Art. 8(6) |
| Conception securisee | A.8.25 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Exigences de sécurité | A.8.26 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Tests de sécurité | A.8.29 | CC8.1 | Art. 21(2)(e) | Art. 8(3) |
| Évaluation des risques lies aux changements | A.8.32 | CC8.1 | Art. 21(2)(e) | Art. 8(2) |
Preuves d'audit
| Type de preuve | Description | Referentiel |
|---|---|---|
| Documents de modelisation des menaces | Modeles de menaces completes pour les systemes critiques | Tous les référentiels |
| Diagrammes de flux de données | DFD à jour montrant les frontieres de confiance | ISO 27001, SOC 2 |
| Resultats d'évaluation des risques | Listes hierarchisees de menaces avec notations | Tous les référentiels |
| Correspondance des contre-mesures | Menaces associees aux contrôles mis en oeuvre | Tous les référentiels |
| Enregistrements de revue des modèles de menaces | Preuves de revue et de mise à jour periodiques | ISO 27001, NIS2 |
| Suivi de la remediation | Tickets montrant le flux menace-vers-correction | Tous les référentiels |
| Enregistrements de formation | Formation des developpeurs a la modelisation des menaces | ISO 27001, SOC 2 |
Erreurs courantes
| Erreur | Risque | Correction |
|---|---|---|
| Ne modeliser qu'a la conception initiale | Derive entre le modèle et la realite | Mettre à jour les modèles de menaces lors de changements significatifs |
| Trop abstrait, pas de resultat actionnable | Les modèles n'apportent aucune valeur sécurité | Inclure des contre-mesures specifiques et testables |
| Seule l'équipe sécurité participe | Connaissances metier manquantes | Inclure developpeurs, architectes et responsables produit |
| Ignorer les frontieres de confiance | Manquer les surfaces d'attaque a plus haut risque | Cartographier chaque franchissement de frontiere de confiance dans les DFD |
| Pas de hierarchisation des menaces | Traiter toutes les menaces de manière egale | Utiliser l'évaluation des risques pour se concentrer d'abord sur les menaces critiques |
| Ne pas suivre la remediation | Les menaces identifiees ne sont jamais traitees | Suivre les contre-mesures comme des exigences de sécurité |
Comment Orbiq accompagne la conformité en modelisation des menaces
Orbiq vous aide a demontrer vos pratiques de modelisation des menaces et d'évaluation des risques :
- Collecte de preuves — Centralisez les modèles de menaces, évaluations des risques et enregistrements de remediation
- Surveillance continue — Suivez la couverture de la modelisation des menaces et la progression de la remediation
- Trust Center — Partagez vos pratiques de conception securisee via votre Trust Center
- Correspondance avec les référentiels — Associez les activités de modelisation des menaces a ISO 27001, SOC 2, NIS2 et DORA
- Preparation aux audits — Packages de preuves pre-elabores pour la revue par les auditeurs
Pour aller plus loin
- Cadres de gestion des risques — Évaluation et traitement des risques en entreprise
- DevSecOps — Integrer la modelisation des menaces dans le CI/CD
- Gestion des vulnerabilites — De l'identification des menaces a la remediation
- Réponse aux incidents — Quand les menaces se materialisent
- Sécurité de la chaîne d'approvisionnement — Évaluation des menaces tiers
- Sécurité des API — Modelisation des menaces pour les API