Richard Bejtlich, directeur de l’équipe d’Incident Response chez General Electric, présente sur son blog un modèle de classification des incidents de sécurité spécifiquement liés à la fuite de données.

Si le modèle n’apparaîtra pas tout à fait orthodoxe aux spécialistes du domaine, il a le mérite de la simplicité afin de pouvoir expliquer au management la sévérité d’un incident en matière de fuite de données.

La classification de Bejtlich démarre à l’identification de vulnérabilités (sans exploitation), passe par les étapes classiques d’une attaque orchestrée (reconnaissance, pénétration, consolidation) et se conclue par plusieurs niveaux d’exploitation des machines ciblées.

Le tout est associé à un niveau de sévérité de 1 à 10 (un incident avéré démarrant à 6) et assorti d’un code couleur ad-hoc.

Les dix niveaux proposés par Richard Bejtlich sont les suivants :

Vuln 3 / Impact 1 / Intruder must apply substantial effort to compromise asset and exfiltrate sensitive data

Vuln 2 / Impact 2 / Intruder must apply mo derate effort to compromise asset and exfiltrate sensitive data

Vuln 1 / Impact 3 / Intruder must apply little effort to compromise asset and exfiltrate sensitive data

Cat 6 / Impact 4 / Intruder is conducting reconnaissance against asset with access to sensitive data

Cat 3 / Impact 5 / Intruder is attempting to exploit asset with access to sensitive data

Cat 2 / Impact 6 / Intruder has compromised asset with access to sensitive data but requires privilege escalation

Cat 1 / Impact 7 / Intruder has compromised asset with ready access to sensitive data

Breach 3 / Impact 8 / Intruder has established command and control channel from asset with ready access to sensitive data

Breach 2 / Impact 9 / Intruder has exfiltrated nonsensitive data or data that will facilitate access to sensitive data

Breach 1 / Impact 10 / Intruder has exfiltrated sensitive data or is suspected of exfiltrating sensitive data based on volume, etc.