Threat Model TAAF
Modèle de menaces transverse de l’infrastructure TAAF. Il liste et score les scénarios d’attaque de l’incident rejoué à la date du jour (J) par le générateur (data/taaf_log_generator, date-rolling). Il indique aussi quel TP traite quel scénario : voir la table de correspondance en milieu de page.
Phase 1 — Contexte (PASTA)
Section intitulée « Phase 1 — Contexte (PASTA) »| Périmètre | SI distribué des bases polaires TAAF (Kerguelen, Crozet, Terre Adélie, Amsterdam) + hub métropole |
| Secteur | Recherche scientifique souveraine en zone isolée (liaison satellite contrainte) |
| Réglementation | NIS2 · IGI 1337 · Guide d’hygiène ANSSI · RGPD (voir Cadre réglementaire) |
| Contraintes | Connectivité satellite intermittente, équipes réduites, données à longue durée de vie (HNDL) |
Actifs critiques (identifiés par le métier) :
- Données scientifiques classifiées — table
genetic_samples(KER-2024-002, CLASSIFIED) dansbase_af, coffre NextCloudCLASSIFIED-VAULT-X - Identité / Active Directory — hub d’authentification (SSO NextCloud), comptes de service
- Uplink & télémétrie SATCOM — lien satellite + sous-systèmes du satellite (OBC, ADCS, EPS, TPL, COM, RF, charge utile)
- Chaîne de supervision — stack observabilité (Grafana/Loki/Prometheus) + SOC Grafana-natif (Sigma→LogQL, Falco ; Wazuh en bonus) : c’est l’actif qui protège les autres
Phase 2 — Périmètre & surface d’attaque
Section intitulée « Phase 2 — Périmètre & surface d’attaque » ┌──────────────────────────────────────────────────────────────────┐ACTIFS │ Données classifiées Identité/AD Uplink+télémétrie SATCOM │ │ (genetic_samples, (SSO, comptes (OBC/ADCS/EPS/TPL/COM/RF) │ │ CLASSIFIED-VAULT-X) de service) │ └───────────────────────────────┬──────────────────────────────────┘ │ exposés via ┌───────────────────────────────▼──────────────────────────────────┐SURFACE │ Email (phishing) VPN/RDP LDAP/SSO Liaison SATCOM Commandes│ │ (MitM/downgrade) satellite│ └───────────────────────────────┬──────────────────────────────────┘ │ ciblés par ┌───────────────────────────────▼──────────────────────────────────┐MENACES │ Insider compromis APT étatique Abus de compte │ │ (e.bernard) (recon SATCOM: de service │ │ YAOGAN-35A, COSMOS-2570) (svc_backup) │ └──────────────────────────────────────────────────────────────────┘Phase 3 — Scénarios de menace
Section intitulée « Phase 3 — Scénarios de menace »Score = Impact × Probabilité · 🔴 ≥15 · 🟠 9-14 · 🟡 4-8 · 🟢 ≤3
| # | Actif | Scénario (acteur) | STRIDE | Kill chain | Imp | Pr | Score | Prio |
|---|---|---|---|---|---|---|---|---|
| 1 | Identité | Phishing e.bernard → vol de creds (insider/APT) | S | 08h00 Initial Access | 4 | 5 | 20 | 🔴 |
| 2 | OBC/poste | PowerShell obfusqué -enc + tâche planifiée (LotL) | T·E | 08h14 Execution/Persistence | 4 | 4 | 16 | 🔴 |
| 3 | AD | svc_backup ajouté à Domain Admins | E | 09h45 Priv. Escalation | 5 | 3 | 15 | 🔴 |
| 4 | Données classifiées | Vol genetic_samples (KER-2024-002) sans approved_by | I | 10h12 Collection | 5 | 3 | 15 | 🔴 |
| 5 | AD / partages | Mouvement latéral WMI → CLASSIFIED-VAULT-X | E·T | 10h05 Lateral Movement | 4 | 3 | 12 | 🟠 |
| 6 | Supervision | Effacement .bash_history / pas de logs centralisés | R | 10h22 Defense Evasion | 3 | 4 | 12 | 🟠 |
| 7 | Exfiltration | C2 beaconing + DNS tunneling cdn-meteo-sync.net | I | 10h17 Exfiltration | 4 | 3 | 12 | 🟠 |
| 8 | Identité/SSO | Une identité AD compromise déverrouille NextCloud classifié | S·I | (transverse) | 4 | 3 | 12 | 🟠 |
| 9 | Surface | Services exposés / CVE conteneurs / durcissement absent | T·I·E | (pré-conditions) | 3 | 4 | 12 | 🟠 |
| 10 | Uplink SATCOM | Downgrade KEM X25519MLKEM768→x25519 (MitM ARP) | T·I | 10h14 Defense Evasion | 5 | 2 | 10 | 🟠 |
| 11 | Sous-systèmes sat. | Injection de commandes (HeaterUp/MagUp/CommDown…) | T·D | (sabotage) | 5 | 2 | 10 | 🟠 |
| 12 | Installations | Reconnaissance étatique SIGINT/EW (YAOGAN-35A) | I | 14h23 External Recon | 3 | 3 | 9 | 🟠 |
| 13 | Comms/OBC | DoS lien comms ou saturation CPU satellite | D | (disponibilité) | 4 | 2 | 8 | 🟡 |
Le cœur : quel TP traite quelle menace ?
Section intitulée « Le cœur : quel TP traite quelle menace ? »C’est ici que le « pourquoi » de chaque TP devient évident. Chaque ligne du threat model est exercée par un TP concret.
| Menace (#) | Contrôle / mitigation | TP qui l’enseigne | Acte |
|---|---|---|---|
| 1 Phishing | MFA, SPF/DKIM/DMARC, détection mail | tp-detection-sigma · tp-sso | 2 |
| 2 LotL | Script Block Logging, EDR, analyse Event Logs | tp-module1-lotl-windows | 3 |
| 3 PrivEsc AD | Tiering, retrait DA, LAPS, posture AD | tp-audit-ad-pingcastle · tp-integration-windows | 3·2 |
| 4 Vol données | Falco (read sensitive file), moindre privilège, audit accès | tp-detection-sigma · tp-grafana-data | 2·1 |
| 5 Lateral movement | Détection WMI/4624, segmentation | tp-module1-lotl-windows · tp-purple-team | 3 |
| 6 Repudiation | Centralisation logs immuables (Loki/Wazuh) | tp-loki-integration · tp-detection-sigma | 1·2 |
| 7 Exfil C2/DNS | Détection beaconing/DNS, alerting | tp-alerting-discord · tp-alerting | 2·1 |
| 8 Blast radius SSO | MFA IdP, cloisonnement par groupes, break-glass | tp-sso-ad-nextcloud | 2 |
| 9 Surface/CVE | Durcissement ANSSI/CIS, SBOM/Grype, scan | tp-conformite · tp-scan-vulnerabilites | 3 |
| 10 Downgrade PQC | PQC-only, anti-ARP (DAI), forensic ssl.log | tp-module2-downgrade-pqc | 3 |
| 11 Commandes sat. | Détection d’anomalies télémétrie par sous-système | tp-satellite-telemetry | 1→2 |
| 12 Recon étatique | EMSEC, corrélation RF/comms | tp-satellite-telemetry | 1→2 |
| 13 DoS | Supervision santé, seuils, alerting | tp-grafana-metric · tp-alerting | 1 |
| Tous | Consolidation : rapport d’audit + recommandations | tp-rapport-audit-ia | 3 |
Lecture par acte (Voir → Détecter → Prouver)
Section intitulée « Lecture par acte (Voir → Détecter → Prouver) »- Acte 1 — Voir : on rend visible l’infra et la santé satellite. On voit alors les menaces de disponibilité et d’anomalie (#11, #12, #13), et on pose la baseline qui rend le reste détectable.
- Acte 2 — Détecter : on ajoute SIEM et identité. On détecte l’attaque active (#1, #4, #6, #7, #8).
- Acte 3 — Prouver : on mène l’audit et le forensic. On prouve que les contrôles tiennent, on reconstruit la chaîne (#2, #3, #5, #9, #10), puis on consolide dans le rapport.
Phase 4 — Synthèse PASTA (risque business)
Section intitulée « Phase 4 — Synthèse PASTA (risque business) »Risques critiques (score ≥ 15)
Section intitulée « Risques critiques (score ≥ 15) »- Phishing → identité (#1, 20) — porte d’entrée de toute la chaîne. Impact : compromission complète du SI.
- LotL Windows (#2, 16) — attaque furtive. Sans Script Block Logging, elle reste invisible.
- Escalade AD
svc_backup→ DA (#3, 15) — l’attaquant passe d’un seul poste à tout le domaine. - Vol de données classifiées (#4, 15) — impact sur la souveraineté et exposition légale (NIS2, IGI 1337).
Plan de remédiation (= ce que les TP enseignent)
Section intitulée « Plan de remédiation (= ce que les TP enseignent) »| Action | Menace | TP | Priorité |
|---|---|---|---|
| MFA (VPN + IdP SSO) | #1, #8 | tp-sso | 🔴 |
| Script Block Logging + détection LotL | #2 | tp-module1 | 🔴 |
| Tiering AD, retrait comptes de service de DA, LAPS | #3 | tp-audit-ad-pingcastle | 🔴 |
| Moindre privilège + Falco sur données sensibles | #4 | tp-siem | 🔴 |
| Centralisation logs immuables | #6 | tp-loki / tp-siem | 🟠 |
| Durcissement ANSSI/CIS + SBOM/Grype | #9 | tp-conformite / tp-scan | 🟠 |
| PQC-only + intégrité ARP | #10 | tp-module2 | 🟠 |
| Détection d’anomalies télémétrie satellite | #11, #12 | tp-satellite-telemetry | 🟠 |
Risque résiduel (assumé en contexte TAAF)
Section intitulée « Risque résiduel (assumé en contexte TAAF) »- HNDL : le trafic SATCOM capté avant la bascule PQC reste exposé à un déchiffrement futur. Ce risque n’est pas rattrapable rétroactivement.
- Lab à 1 DC : avec un seul contrôleur de domaine, le tiering AD reste partiellement conceptuel.
- Équipes réduites : sans SOC 24/7, on mise sur l’alerting automatique et la centralisation des logs.