Note : 3 ; Décevant !

En voyant ce livre, je me suis dit qu’il me permettrait d’être à niveau sur la modélisation des menaces pour un volume (et un temps) inférieur d’un facteur 3 à 4 par rapport au grand classique d’Adam Shostack. J’ai dû vite désenchanter, et nous allons y (re)venir.

De prime abord, les signaux sont positifs : le propos est destiné aux équipes de développement plutôt qu’aux équipes cyber, et il semble permettre d’aborder la modélisation des menaces en moins de 200 pages, 175 si l’on exclut les annexes. Le tout est structuré en 6 chapitres, ce qui n’est pas idéal dans le cas présent et nous aurons l’occasion d’y revenir. Le premier d’entre eux est un peu surprenant, car il traite de la modélisation des systèmes sur un peu plus de 30 pages. Vous avez bien lu : il n’est pas question de cybersécurité ni de menaces ici. C’est une introduction plutôt lente pour un ouvrage aussi court. De plus cette introduction à la modélisation est au mieux honnête, mais on attend les choses sérieuses.

Justement, les choses sérieuses arrivent au chapitre 2 qui est la véritable introduction du livre. Elle est plutôt courte, avec ses 9 pages et résume l’approche de la modélisation des menaces à 3 éléments : les moyens, les opportunités et les motivations. Sur cette base, les auteurs nous distillent une courte liste des éléments à observer de plus près. Nous en saurons plus concrètement au chapitre suivant, nous laisse-t-on penser.

Continuer à lire « Note de lecture : Threat Modeling, par Izar Tarandach & Matthew J. Coles » →