Aller au contenu
TAAF-OPS --:-- UTC

Threat Model TAAF

Modèle de menaces transverse de l’infrastructure TAAF. Il liste et score les scénarios d’attaque de l’incident rejoué à la date du jour (J) par le générateur (data/taaf_log_generator, date-rolling). Il indique aussi quel TP traite quel scénario : voir la table de correspondance en milieu de page.


PérimètreSI distribué des bases polaires TAAF (Kerguelen, Crozet, Terre Adélie, Amsterdam) + hub métropole
SecteurRecherche scientifique souveraine en zone isolée (liaison satellite contrainte)
RéglementationNIS2 · IGI 1337 · Guide d’hygiène ANSSI · RGPD (voir Cadre réglementaire)
ContraintesConnectivité satellite intermittente, équipes réduites, données à longue durée de vie (HNDL)

Actifs critiques (identifiés par le métier) :

  1. Données scientifiques classifiées — table genetic_samples (KER-2024-002, CLASSIFIED) dans base_af, coffre NextCloud CLASSIFIED-VAULT-X
  2. Identité / Active Directory — hub d’authentification (SSO NextCloud), comptes de service
  3. Uplink & télémétrie SATCOM — lien satellite + sous-systèmes du satellite (OBC, ADCS, EPS, TPL, COM, RF, charge utile)
  4. Chaîne de supervision — stack observabilité (Grafana/Loki/Prometheus) + SOC Grafana-natif (Sigma→LogQL, Falco ; Wazuh en bonus) : c’est l’actif qui protège les autres

┌──────────────────────────────────────────────────────────────────┐
ACTIFS │ Données classifiées Identité/AD Uplink+télémétrie SATCOM │
│ (genetic_samples, (SSO, comptes (OBC/ADCS/EPS/TPL/COM/RF) │
│ CLASSIFIED-VAULT-X) de service) │
└───────────────────────────────┬──────────────────────────────────┘
│ exposés via
┌───────────────────────────────▼──────────────────────────────────┐
SURFACE │ Email (phishing) VPN/RDP LDAP/SSO Liaison SATCOM Commandes│
│ (MitM/downgrade) satellite│
└───────────────────────────────┬──────────────────────────────────┘
│ ciblés par
┌───────────────────────────────▼──────────────────────────────────┐
MENACES │ Insider compromis APT étatique Abus de compte │
│ (e.bernard) (recon SATCOM: de service │
│ YAOGAN-35A, COSMOS-2570) (svc_backup) │
└──────────────────────────────────────────────────────────────────┘

Score = Impact × Probabilité · 🔴 ≥15 · 🟠 9-14 · 🟡 4-8 · 🟢 ≤3

#ActifScénario (acteur)STRIDEKill chainImpPrScorePrio
1IdentitéPhishing e.bernard → vol de creds (insider/APT)S08h00 Initial Access4520🔴
2OBC/postePowerShell obfusqué -enc + tâche planifiée (LotL)T·E08h14 Execution/Persistence4416🔴
3ADsvc_backup ajouté à Domain AdminsE09h45 Priv. Escalation5315🔴
4Données classifiéesVol genetic_samples (KER-2024-002) sans approved_byI10h12 Collection5315🔴
5AD / partagesMouvement latéral WMI → CLASSIFIED-VAULT-XE·T10h05 Lateral Movement4312🟠
6SupervisionEffacement .bash_history / pas de logs centralisésR10h22 Defense Evasion3412🟠
7ExfiltrationC2 beaconing + DNS tunneling cdn-meteo-sync.netI10h17 Exfiltration4312🟠
8Identité/SSOUne identité AD compromise déverrouille NextCloud classifiéS·I(transverse)4312🟠
9SurfaceServices exposés / CVE conteneurs / durcissement absentT·I·E(pré-conditions)3412🟠
10Uplink SATCOMDowngrade KEM X25519MLKEM768→x25519 (MitM ARP)T·I10h14 Defense Evasion5210🟠
11Sous-systèmes sat.Injection de commandes (HeaterUp/MagUp/CommDown…)T·D(sabotage)5210🟠
12InstallationsReconnaissance étatique SIGINT/EW (YAOGAN-35A)I14h23 External Recon339🟠
13Comms/OBCDoS lien comms ou saturation CPU satelliteD(disponibilité)428🟡

C’est ici que le « pourquoi » de chaque TP devient évident. Chaque ligne du threat model est exercée par un TP concret.

Menace (#)Contrôle / mitigationTP qui l’enseigneActe
1 PhishingMFA, SPF/DKIM/DMARC, détection mailtp-detection-sigma · tp-sso2
2 LotLScript Block Logging, EDR, analyse Event Logstp-module1-lotl-windows3
3 PrivEsc ADTiering, retrait DA, LAPS, posture ADtp-audit-ad-pingcastle · tp-integration-windows3·2
4 Vol donnéesFalco (read sensitive file), moindre privilège, audit accèstp-detection-sigma · tp-grafana-data2·1
5 Lateral movementDétection WMI/4624, segmentationtp-module1-lotl-windows · tp-purple-team3
6 RepudiationCentralisation logs immuables (Loki/Wazuh)tp-loki-integration · tp-detection-sigma1·2
7 Exfil C2/DNSDétection beaconing/DNS, alertingtp-alerting-discord · tp-alerting2·1
8 Blast radius SSOMFA IdP, cloisonnement par groupes, break-glasstp-sso-ad-nextcloud2
9 Surface/CVEDurcissement ANSSI/CIS, SBOM/Grype, scantp-conformite · tp-scan-vulnerabilites3
10 Downgrade PQCPQC-only, anti-ARP (DAI), forensic ssl.logtp-module2-downgrade-pqc3
11 Commandes sat.Détection d’anomalies télémétrie par sous-systèmetp-satellite-telemetry1→2
12 Recon étatiqueEMSEC, corrélation RF/commstp-satellite-telemetry1→2
13 DoSSupervision santé, seuils, alertingtp-grafana-metric · tp-alerting1
TousConsolidation : rapport d’audit + recommandationstp-rapport-audit-ia3
  • Acte 1 — Voir : on rend visible l’infra et la santé satellite. On voit alors les menaces de disponibilité et d’anomalie (#11, #12, #13), et on pose la baseline qui rend le reste détectable.
  • Acte 2 — Détecter : on ajoute SIEM et identité. On détecte l’attaque active (#1, #4, #6, #7, #8).
  • Acte 3 — Prouver : on mène l’audit et le forensic. On prouve que les contrôles tiennent, on reconstruit la chaîne (#2, #3, #5, #9, #10), puis on consolide dans le rapport.

  1. Phishing → identité (#1, 20) — porte d’entrée de toute la chaîne. Impact : compromission complète du SI.
  2. LotL Windows (#2, 16) — attaque furtive. Sans Script Block Logging, elle reste invisible.
  3. Escalade AD svc_backup → DA (#3, 15) — l’attaquant passe d’un seul poste à tout le domaine.
  4. Vol de données classifiées (#4, 15) — impact sur la souveraineté et exposition légale (NIS2, IGI 1337).
ActionMenaceTPPriorité
MFA (VPN + IdP SSO)#1, #8tp-sso🔴
Script Block Logging + détection LotL#2tp-module1🔴
Tiering AD, retrait comptes de service de DA, LAPS#3tp-audit-ad-pingcastle🔴
Moindre privilège + Falco sur données sensibles#4tp-siem🔴
Centralisation logs immuables#6tp-loki / tp-siem🟠
Durcissement ANSSI/CIS + SBOM/Grype#9tp-conformite / tp-scan🟠
PQC-only + intégrité ARP#10tp-module2🟠
Détection d’anomalies télémétrie satellite#11, #12tp-satellite-telemetry🟠
  • HNDL : le trafic SATCOM capté avant la bascule PQC reste exposé à un déchiffrement futur. Ce risque n’est pas rattrapable rétroactivement.
  • Lab à 1 DC : avec un seul contrôleur de domaine, le tiering AD reste partiellement conceptuel.
  • Équipes réduites : sans SOC 24/7, on mise sur l’alerting automatique et la centralisation des logs.