Modélisation des Menaces : Protégez-vous de QUOI et de QUI ?
La sécurité n'est pas un bouton on/off. Installer Tails OS pour lire ses emails est une paranoïa coûteuse. À l'inverse, un journaliste qui utilise Gmail met sa vie en danger. La clé : adapter votre protection à votre niveau de risque réel....
La sécurité n'est pas un bouton on/off. Installer Tails OS pour lire ses emails est une paranoïa coûteuse. À l'inverse, un journaliste qui utilise Gmail met sa vie en danger. La clé : adapter votre protection à votre niveau de risque réel.
Qu'est-ce que la modélisation des menaces ?
La modélisation des menaces (threat modeling) est une évaluation structurée de vos risques de sécurité. Elle vous permet de :
- Identifier ce que vous voulez vraiment protéger
- Comprendre contre qui vous vous protégez
- Choisir les outils proportionnés (ni trop, ni trop peu)
- Économiser temps et argent en évitant la surprotection inutile
Principe : chaque couche de sécurité a un coût (temps, argent, friction). Une sécurité disproportionnée est contre-productive : vous abandonnez les outils par frustration.
Les 5 questions clés
1. Quoi protéger ?
Listez vos "actifs numériques" prioritaires :
- Données sensibles : emails, messages, documents, photos, conversations intimes
- Comptes critiques : email principal, banque, services cloud
- Localisation : position GPS, trajets, lieux visités
- Identité : données personnelles, historique, associations politiques/religieuses
- Intégrité des données : être certain que vos fichiers ne sont pas modifiés
- Confidentialité des sources (si journaliste, avocat, activiste) : protéger l'identité de vos contacts
2. Contre qui ?
Identifiez vos adversaires possibles :
- GAFAM (Google, Apple, Facebook, Amazon, Microsoft) : collecte de données, profilage publicitaire
- Votre FAI (Orange, Free, SFR) : peut voir tous les sites que vous visitez
- Votre employeur : peut surveiller votre activité sur le réseau d'entreprise
- Hackers opportunistes : cherchent des mots de passe faibles, phishing, malwares génériques
- Acteurs gouvernementaux : surveillance de masse, mandats de renseignements
- Acteurs ciblés : espionnage d'état, spyware Pegasus, services de renseignement étrangers
- Acteurs proches : ex-partenaire violent, harceleur, collègue malveillant
- Cybercriminels organisés : ransomware, vol d'identité, fraude
3. Quelle probabilité ?
Évaluez réalistement le risque pour vous :
- Très probable : données vendues par GAFAM (arrive à 100% des utilisateurs), fuites de mots de passe (80% des citoyens touchés), phishing (80% des cyberattaques)
- Probable : surveillance FAI, hacking de compte (dépend de l'importance de votre compte)
- Possible mais rare : spyware Pegasus (rare, dirigé vers ~50 cibles à l'époque), rançon (dépend du secteur)
- Très improbable : attaque gouvernementale ciblée (sauf si vous êtes politicien, militant, journaliste d'investigation)
Test d'honnêteté : soyez objectif. "Suis-je vraiment une cible de la NSA ?" — probablement non.
4. Quelles conséquences ?
Quel est l'impact si vous échouez ?
- Embarrassant : mes recherches Google sur un sujet personnel sont exposées
- Financier : vol de coordonnées bancaires, fraude à 5000€
- Professionnel : perte d'emploi, dommages à la réputation
- Légal : arrestation, prison (si vous êtes lanceur d'alerte ou activiste)
- Physique : danger pour votre vie (si journaliste en zone dangereuse, activiste, victime de violence domestique)
5. Quel effort ?
Combien êtes-vous prêt à investir ?
- Temps : 30 min pour configurer ? 2h ? une journée complète ?
- Argent : 0€ ? 10€/mois ? 100€/mois ?
- Friction d'utilisation : voulez-vous du confort (cloud sync) ou l'isolation complète (offline-only) ?
Honnêteté : si une mesure de sécurité est si contraignante que vous l'abandonnez, elle n'est pas proportionnée pour vous.
Profils types et leurs menaces
Profil 1 : Le citoyen ordinaire
Menaces principales :
- Collecte de données par GAFAM (très probable, impact : profilage publicitaire, perte de confidentialité)
- Fuites de mots de passe (probable, impact : accès non autorisé aux comptes)
- Phishing (probable, impact : vol d'identité, perte financière)
Modèle de menaces : bas à moyen
Recommandations minimales :
- ✅ Gestionnaire de mots de passe avec mots de passe uniques
- ✅ 2FA par application TOTP sur comptes importants
- ✅ Navigateur privé : Brave ou Mullvad Browser
- ✅ Email chiffré : ProtonMail (gratuit fonctionne)
- ✅ VPN sur WiFi public (ProtonVPN gratuit OK)
- ⏸️ Pas besoin : Tor, Tails, Qubes OS, chiffrement intégral du disque
Profil 2 : Le professionnel / freelance
Menaces principales :
- Vol de données clients (RGPD compliance)
- Espionnage industriel (concurrents)
- Perte d'accès aux données (ransomware)
- Compromission de compte (phishing ciblé)
Modèle de menaces : moyen
Recommandations :
- ✅ Tout ce du citoyen ordinaire, plus :
- ✅ VPN payant (ProtonVPN, Mullvad) en permanence
- ✅ Suite chiffrée : ProtonMail + Proton Drive
- ✅ Chiffrement du disque : BitLocker (Windows), FileVault (Mac), LUKS (Linux)
- ✅ Sauvegarde chiffrée : NAS chiffré ou Cloud chiffré
- ✅ DNS privé (Quad9, Mullvad DNS)
- ⏸️ Pas encore nécessaire : Tor, anonymat complet, Qubes OS
Profil 3 : Le journaliste / activiste
Menaces principales :
- Surveillance gouvernementale ciblée (très probable si vous enquêtez sur du pouvoir)
- Identification physique de sources (danger)
- Interception des communications (autorités, criminels)
- Spyware (Pegasus, NSO)
- Doxing, harcèlement en ligne
Modèle de menaces : très élevé
Recommandations :
- ✅ Tout du freelance, plus :
- ✅ Signal pour toutes les communications (métadonnées minimales)
- ✅ Tor Browser pour la recherche sensible
- ✅ Tails OS pour les opérations sensibles (sur clé USB, éphémère)
- ✅ VeraCrypt pour les conteneurs chiffrés
- ✅ YubiKey pour le 2FA (protection contre la duplication SIM)
- ✅ Séparation des identités (comptes distincts pour travail/vie privée/activisme)
- ✅ Formation en sécurité opérationnelle (OPSEC)
Profil 4 : L'entreprise / organisation
Menaces principales :
- Ransomware (coût moyen : 4,5 millions € en 2024)
- Fuite de données clients
- Compromission d'infrastructure (serveurs)
- Insider threats (employé malveillant)
- Conformité (RGPD, NIS2, secteurs régulés)
Recommandations :
- ✅ VPN d'entreprise (IPSec, WireGuard)
- ✅ MFA obligatoire pour tous
- ✅ EDR (Endpoint Detection and Response) sur tous les appareils
- ✅ Audit de sécurité annuel
- ✅ Chiffrement des données en transit et au repos
- ✅ Plan de réponse aux incidents
- ✅ Consultation d'un expert en sécurité (ce guide ne suffit pas pour une entreprise)
Exercice pratique : construire votre modèle
Prenez 30 minutes et répondez honnêtement :
| Question | Votre réponse |
|---|---|
| 1. Quoi ? (Mes 3 actifs les plus importants) | Exemple : emails, données bancaires, contacts professionnels |
| 2. Contre qui ? (Mes 3 menaces principales) | Exemple : GAFAM, FAI, hackers opportunistes |
| 3. Probabilité ? (Peu probable / Possible / Probable / Très probable) | Exemple : Très probable (GAFAM), Possible (hackers), Peu probable (gouvernement) |
| 4. Conséquences ? (Embarrassant / Financier / Professionnel / Légal / Physique) | Exemple : Embarrassment (profil pub), Financier (vol compte), Professionnel (perte de client) |
| 5. Effort ? (Temps/Argent/Friction acceptables ?) | Exemple : 1h de setup OK, 10€/mois max, besoin de simplicité d'utilisation |
Outils recommandés par profil
Citoyen ordinaire (investissement : 30 min, 0€) :
- Bitwarden (gratuit)
- ProtonMail (gratuit)
- Brave (gratuit)
- Signal (gratuit)
- 2FA TOTP via Aegis (gratuit)
Freelance / PME (investissement : 3-5h, 50-100€/an) :
- ProtonVPN payant (60€/an)
- ProtonMail payant (80€/an)
- Proton Drive (inclus)
- Chiffrement disque (gratuit : LUKS/BitLocker/FileVault)
- Bitwarden payant optionnel (10€/an, TOTP)
Journaliste / Activiste (investissement : 2-3 jours, 200-500€/an) :
- Signal (gratuit, cœur du système)
- Tails OS (gratuit)
- Tor Browser (gratuit)
- VeraCrypt (gratuit)
- YubiKey 5 (80-100€)
- ProtonMail payant (80€/an)
- ProtonVPN payant (60€/an)
- Formation OPSEC (temps ou argent selon source)
Essentiel à retenir : une fois que vous avez construit votre modèle de menaces, choisissez les outils en fonction de votre besoin réel. Ne confondez pas sécurité et paranoïa. La sécurité c'est d'adapter votre protection à votre risque. La paranoïa c'est d'adopter des outils inutiles qui finissent par freiner votre utilisation.