07 avril 2025The Hacker NewsGestion de la surface d’attaque

Après plus de 25 ans d’atténuation des risques, d’assurer la conformité et de construire des programmes de sécurité robustes pour les entreprises du Fortune 500, j’ai appris que Avoir l’air occupé n’est pas la même chose que d’être en sécurité.

C’est un piège facile pour les dirigeants de cybersécurité occupés. Nous comptons sur des mesures qui racontent une histoire des efforts énormes que nous dépensons – combien de vulnérabilités que nous avons corrigées, à quelle vitesse nous avons répondu – mais souvent la gestion des vulnérabilités est associée aux mesures opérationnelles, car les approches traditionnelles de la mesure et de la mise en œuvre de la gestion des vulnérabilités ne réduisent pas réellement les risques. Nous avons donc recours à diverses façons de signaler le nombre de correctifs appliqués dans le cadre du traditionnel Méthode de correction de 30/60/90.

J’appelle ça métriques de vanité: Les chiffres qui semblent impressionnants dans les rapports mais manquent d’impact réel. Ils offrent l’assurance, mais pas les idées. Pendant ce temps, les menaces continuent de devenir plus sophistiquées et les attaquants exploitent les angles morts que nous ne mesurons pas. J’ai vu de première main comment cette déconnexion entre la mesure et le sens peut laisser les organisations exposées.

Dans cet article, je vais expliquer pourquoi les mesures de vanité ne suffisent pas pour protéger les environnements complexes d’aujourd’hui et pourquoi il est temps de cesser de mesurer activité et commencer à mesurer efficacité.

Foren Down: Quelles sont les mesures de vanité?

Les métriques de vanité sont des nombres qui semblent bien dans un rapport mais offrent peu de valeur stratégique. Ils sont faciles à suivre, simples à présenter et sont souvent utilisés pour démontrer l’activité – mais ils ne reflètent généralement pas la réduction réelle des risques. Ils tombent généralement en trois types principaux:

  • Métriques de volume – Celles-ci comptent les choses: correctifs appliqués, vulnérabilités découvertes, scannes terminées. Ils créent un sentiment de productivité mais ne parlent pas à l’impact des entreprises ou ne sont pas pertinents.
  • Mesures basées sur le temps sans contexte de risque – Les métriques comme le temps moyen pour détecter (MTTD) ou le temps moyen pour remédier (MTTR) peuvent sembler impressionnants. Mais sans hiérarchisation basée sur la criticité, la vitesse n’est que le «comment», pas le «quoi».
  • Métriques de couverture – Les pourcentages comme “95% des actifs scannés” ou “90% des vulnérabilités corrigées” donnent une illusion de contrôle. Mais ils ignorent la question de savoir à laquelle 5% ont été manqués – et s’ils sont ceux qui comptent le plus.

Les mesures de vanité ne sont pas intrinsèquement erronées – mais elles sont dangereusement incomplètes. Ils suivent le mouvement, pas le sens. Et s’ils ne sont pas liés à la pertinence des menaces ou aux actifs critiques, ils peuvent saper tranquillement toute votre stratégie de sécurité.

Métriques de vanité: plus de mal que de bien

Lorsque les mesures de vanité dominent les rapports de sécurité, ils peuvent faire plus de mal que de bien. J’ai vu des organisations brûler dans le temps et le budget de la poursuite des chiffres qui ont l’air super dans les briefings exécutifs – tandis que les expositions critiques n’ont pas été touchées.

Qu’est-ce qui ne va pas lorsque vous comptez sur les mesures de vanité?

  • Effort erroné – Les équipes se concentrent sur ce qui est facile à réparer ou ce qui fait bouger une métrique, pas ce qui réduit vraiment les risques. Cela crée un écart dangereux entre ce qui fait Et quoi doit être fait.
  • Fausse confiance – Les graphiques à la tendance à la hausse peuvent induire en erreur le leadership pour croire que l’organisation est sûre. Sans contexte – exploitabilité, chemins d’attaque – cette croyance est fragile et peut être coûteuse.
  • Priorisation brisée – Les listes de vulnérabilité massives sans contexte provoquent une fatigue. Les problèmes à haut risque peuvent facilement se perdre dans le bruit, et l’assainissement peut être retardé là où il compte le plus.
  • Stagnation stratégique – Lors de la déclaration de récompense l’activité sur l’impact, l’innovation ralentit. Le programme devient réactif – toujours occupé, mais pas toujours plus sûr.

J’ai vu des brèches se produire dans des environnements pleins de KPI brillants. La raison? Ces KPI n’étaient pas liés à la réalité. Une métrique qui ne reflète pas le risque commercial réel n’est pas seulement dénuée de sens – c’est dangereux.

Passer à des mesures significatives

Si les métriques de vanité nous disent ce qui a été fait, des mesures significatives nous disent ce qui compte. Ils déplacent l’attention de activité à impact – Donner aux équipes de sécurité et aux chefs d’entreprise une compréhension partagée du risque réel.

Une métrique significative commence par une formule claire: risque = vraisemblance × impact. Il ne demande pas seulement “Quelles vulnérabilités existent?” – Il demande “Lequel de ceux-ci peut être exploité pour atteindre nos actifs les plus critiques, et quelles seraient les conséquences?” Pour faire le passage à des mesures significatives, envisagez d’ancrer vos rapports sur cinq mesures clés:

  1. Score de risque (lié à l’impact commercial) – Un score de risque significatif pèse l’exploitabilité, la criticité des actifs et l’impact potentiel. Il devrait évoluer dynamiquement à mesure que les expositions changent ou que les changements d’intelligence des menaces. Ce score aide le leadership à comprendre la sécurité en termes commerciaux – pas combien de vulnérabilités existent, mais à quel point nous sommes proches d’une violation significative.
  2. Exposition critique des actifs (suivi au fil du temps) – Tous les actifs ne sont pas égaux. Vous devez savoir lequel de vos systèmes critiques est actuellement exposé – et comment cette exposition est tendance. Réduisez-vous le risque à votre infrastructure la plus importante, ou simplement des cycles de rotation sur des correctifs à faible impact? Le suivi au fil du temps montre si votre programme de sécurité comble les bonnes lacunes.
  3. Cartographie du chemin d’attaque – Les vulnérabilités n’existent pas isolément. Les attaquants enchaînent les expositions – les erreurs de configuration, les identités troprières, les CVE non corrigées – pour atteindre des cibles de grande valeur. Cartographier ces chemins vous montre comment un attaquant pourrait réellement se déplacer dans votre environnement. Il aide à hiérarchiser non seulement les problèmes individuels, mais aussi comment ils fonctionnent ensemble pour former une menace.
  4. Répartition des cours d’exposition – Vous devez comprendre quels types d’expositions sont les plus répandues – et les plus dangereuses. Qu’il s’agisse d’une utilisation abusive des informations d’identification, de patchs manquants, de ports ouverts ou de erreurs de configuration de cloud, cette ventilation informe à la fois la réponse tactique et la planification stratégique. Si 60% de votre risque découle des expositions basées sur l’identité, par exemple, cela devrait façonner vos décisions d’investissement.
  5. Temps moyen pour remédier (MTTR) pour les expositions critiques – Le MTTR moyen est une métrique imparfaite. Il est traîné vers le bas par des correctifs faciles et ignore les problèmes difficiles. Ce qui compte, c’est à quelle vitesse vous fermez les expositions qui vous mettent réellement en danger. MTTR pour les expositions critiques – celles liées à des chemins d’attaque exploitables ou à des actifs de juif de la couronne – est ce qui définit vraiment l’efficacité opérationnelle.

Pris ensemble et des paramètres continuellement mis à jour et significatifs vous donnent plus qu’un instantané – ils offrent une vision contextuelle vivante de votre exposition à la menace. Ils augmentent les rapports de sécurité du suivi des tâches à des informations stratégiques. Et surtout, ils donnent à la fois des équipes de sécurité et des chefs d’entreprise un langage commun pour prendre des décisions axées sur les risques.

La ligne de fond

Les mesures de vanité offrent un confort. Ils remplissent des tableaux de bord, impressionnent dans les salles de conférence et suggèrent des progrès. Mais dans le monde réel – où les acteurs de la menace ne se soucient pas du nombre de correctifs que vous avez appliqués le mois dernier – ils offrent peu de protection.

La sécurité réelle exige un passage du suivi de ce qui est facile à mesurer pour se concentrer sur ce qui compte réellement. Cela signifie adopter des mesures fondées sur les risques commerciaux. Et c’est là que les cadres comme Gestion continue de l’exposition aux menaces (CTEM) entrez en jeu. CTEM donne aux organisations la structure pour passer des listes de vulnérabilité statiques à une action dynamique et prioritaire. Et les résultats sont convaincants – Gartner projette que d’ici 2026, les organisations mettant en œuvre le CTEM pourraient réduire les violations des deux tiers.

The Hacker News

Les mesures que vous choisissez façonnent les conversations que vous avez et celles qui vous manquent. Les mesures de vanité maintiennent tout le monde à l’aise. Des mesures significatives forcent des questions plus difficiles, mais elles vous rapprochent de la vérité. Parce que vous ne pouvez pas réduire les risques si vous ne le mesurez pas correctement.

Note: Cet article est rédigé de manière experte par Jason Fruge, CISO en résidence chez XM Cyber.

Vous avez trouvé cet article intéressant? Cet article est un article contribué de l’un de nos précieux partenaires. Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57