Note : 3 ; Décevant !

En voyant ce livre, je me suis dit qu’il me permettrait d’être à niveau sur la modélisation des menaces pour un volume (et un temps) inférieur d’un facteur 3 à 4 par rapport au grand classique d’Adam Shostack. J’ai dû vite désenchanter, et nous allons y (re)venir.

De prime abord, les signaux sont positifs : le propos est destiné aux équipes de développement plutôt qu’aux équipes cyber, et il semble permettre d’aborder la modélisation des menaces en moins de 200 pages, 175 si l’on exclut les annexes. Le tout est structuré en 6 chapitres, ce qui n’est pas idéal dans le cas présent et nous aurons l’occasion d’y revenir. Le premier d’entre eux est un peu surprenant, car il traite de la modélisation des systèmes sur un peu plus de 30 pages. Vous avez bien lu : il n’est pas question de cybersécurité ni de menaces ici. C’est une introduction plutôt lente pour un ouvrage aussi court. De plus cette introduction à la modélisation est au mieux honnête, mais on attend les choses sérieuses.

Justement, les choses sérieuses arrivent au chapitre 2 qui est la véritable introduction du livre. Elle est plutôt courte, avec ses 9 pages et résume l’approche de la modélisation des menaces à 3 éléments : les moyens, les opportunités et les motivations. Sur cette base, les auteurs nous distillent une courte liste des éléments à observer de plus près. Nous en saurons plus concrètement au chapitre suivant, nous laisse-t-on penser.

On rentre réellement dans le dur des méthodologies de menaces au chapitre 3. C’est sans doute pour cela que le chapitre ne pèse pas moins de 50 pages ! Ce devrait être le plus important du livre, mais il souffre de plusieurs problèmes, hélas. C’est réellement ici qu’il est question des approches sur la modélisation des menaces. Mais les auteurs semblent partir du principe que le concept est maîtrisé par le lecteur et vont plutôt nous exposer des sortes de fiches techniques de chacune des approches. Certes au moins on les passe toutes en revue, ou peu s’en faut. Mis j’aurais préféré aller en profondeur dans l’une d’entre elle qui soit représentative. Il me faudra donc revenir vers Adam Shostack. Surprise, on évoque aussi dans ce chapitre les jeux qui soutiennent certaines de ces approches (dont évidemment « elevation of privilege » d’Adam Shostack). De nouveau, ces jeux ne sont que brièvement passés en revue. Ils auraient mérité leur propre chapitre.

Le chapitre 4 aborde le sujet qui tient le plus à cœur aux auteurs : les outils d’automatisation de modélisation des menaces. Avec 43 pages, ce chapitre est également conséquent, mais c’est parce qu’à nouveau on y privilégie l’approche encyclopédique ! Donc, une fois encore, chaque outil n’est traité que superficiellement, ce qui est d’autant plus dommageable que chacun a son approche et sa finalité propre ! De nouveau, ce n’est pas une réussite.

Le continuous threat modeling, titre du chapitre 5, laisse un peu dubitatif de prime abord. En fait, il s’agit de qualité de code et de conception d’un point de vue cyber ! Ce chapitre a toutefois le mérite de mettre en lumière l’Autodesk Secure Development Toolkit, une checklist très riche et open-source. A garder précieusement ! L’ouvrage se referme sur un chapitre 6 qui évoque le rôle « Threat Model Champion ». Le propos y est intéressant mais loin d’être disruptif.

En 175 pages hors annexes, je m’étais dit que je trouverais ici un condensé efficace et illustré de ce qu’est la modélisation des menaces et comment cela se met en œuvre. La cible est ratée, et de beaucoup. Le livre s’adresse à ceux qui maîtrise déjà le sujet (le titre est trompeur à mon avis), et je doute même qu’il satisfasse ceux-là.

Référence complète : Threat Modeling – Izar Tarandach & Matthew J. Coles – O’Reilly 2020 – ISBN : 9781492056553