Les RSSI, les responsables de la sécurité et les équipes SOC ont souvent du mal à avoir une visibilité limitée sur toutes les connexions établies avec les actifs et réseaux appartenant à l’entreprise. Ils sont gênés par un manque d’intelligence open source et de technologies puissantes nécessaires pour une découverte et une protection proactives, continues et efficaces de leurs systèmes, données et actifs.
Alors que les acteurs avancés de la menace recherchent constamment des vulnérabilités facilement exploitables 24 heures sur 24, les RSSI recherchent des méthodes améliorées pour réduire les expositions aux menaces et protéger leurs actifs, leurs utilisateurs et leurs données contre les cyberattaques incessantes et les graves conséquences des violations.
En réponse à ce besoin, une solution émergente répondant aux priorités les plus critiques au stade initial de la chaîne d’attaque a fourni aux responsables de la sécurité un nouvel outil pour gérer leurs expositions aux menaces les plus urgentes à leur origine. Le cabinet d’analystes de premier plan Gartner Research décrit la solution : « D’ici 2026, les organisations qui priorisent leurs investissements en matière de sécurité sur la base d’un programme de gestion continue de l’exposition seront 3 fois moins susceptibles de souffrir d’une violation. » (Gartner, 2022).
Mais qu’est-ce que cela implique exactement ?
Les équipes informatiques et de sécurité sont constamment exposées aux menaces et doivent combler de manière proactive les failles de sécurité critiques de leurs actifs exposés. En mettant en place une Programme de gestion continue de l’exposition aux menaces (CTEM), les équipes de sécurité peuvent contrecarrer les objectifs de leurs adversaires en minimisant les risques critiques associés aux ressources exposées. Cette approche globale combine des stratégies de prévention et de remédiation pour a) empêcher entièrement une violation ou b) réduire considérablement l’impact si une violation se produit.
Adversaires plus rapides, protection inadéquate et incidents évitables
En 2023, malgré des investissements importants dans l’infrastructure de sécurité et le personnel qualifié, les approches existantes ont du mal à réduire efficacement les risques, à gérer les expositions aux menaces et à prévenir les failles de sécurité.
Les techniques actuelles de gestion préventive des cyberrisques, bien qu’efficaces, sont chronophages, gourmandes en ressources et sensibles aux erreurs humaines. Des tâches telles que la détection continue des vulnérabilités, l’identification et la gestion des correctifs exigent un temps et une expertise considérables pour être exécutées avec précision. Les retards ou la mauvaise gestion de ces activités cruciales peuvent entraîner une probabilité plus élevée de failles de sécurité financièrement préjudiciables.
Simultanément, les cybercriminels peuvent acquérir sans effort des points d’accès initiaux à des cibles de grande valeur via le dark web, grâce au ransomware-as-a-service et aux courtiers d’accès initial. De plus, ils peuvent facilement obtenir en ligne des informations d’identification d’utilisateur compromises, qui sont facilement disponibles pour être utilisées dans des tactiques, techniques et procédures ciblées (TTP).
En aggravant les risques, le manque de compétences en cybersécurité et les facteurs économiques ont laissé de nombreuses équipes SecOps et DevOps en sous-effectif, sous-financées et submergées par les alertes.
Ces facteurs combinés ont entraîné une visibilité limitée pour le SOC, offrant un avantage indu aux acteurs de la menace. Cette tendance doit être contrée et inversée.
La surface d’attaque croissante et les expositions croissantes aux menaces
En 2022, les attaquants externes étaient responsables de 75 % des failles de sécurité signalées (IBM, 2022). Ces attaques sont rapides, complexes et représentent un défi important pour les SOC contemporains. Pour contrer ces menaces, les organisations doivent adopter une stratégie de défense à plusieurs niveaux, car leurs réseaux, systèmes et utilisateurs sont constamment attaqués par des acteurs de menaces externes aux intentions malveillantes.
Les faiblesses, les failles de sécurité et les contrôles insuffisants contribuent à une surface d’attaque en constante évolution où les cybercriminels peuvent exploiter des menaces facilement accessibles. Traditionnellement, ces problèmes étaient traités par les fonctions de gestion des vulnérabilités. Cependant, alors que les cybercriminels recherchent en permanence des surfaces d’attaque vulnérables, à la recherche de contrôles faibles, d’actifs non corrigés et de systèmes sensibles, leurs TTP sont devenus remarquablement précis, incroyablement rapides et très efficaces.
Les équipes de sécurité ont besoin de capacités améliorées offrant précision, rapidité et flexibilité pour garder une longueur d’avance sur leurs adversaires.
Reconnaissant cela, il est crucial de donner la priorité à l’identification et à la résolution des expositions aux menaces de sécurité critiques, car la plupart peuvent être évitées. En détectant et en traitant rapidement ces expositions, les RSSI peuvent réduire efficacement leur surface d’attaque globale et stopper son expansion incessante. Par conséquent, les organisations doivent mettre en œuvre un programme de gestion continue de l’exposition aux menaces (CTEM) qui fonctionne 24h/24 et 7j/7.
Construire un programme CTEM proactif
Les grandes entreprises et les petites et moyennes entreprises (PME) devraient envisager d’adopter un programme CTEM pour rationaliser les processus de gestion des vulnérabilités conventionnels et minimiser leur surface d’attaque. En s’attaquant de manière proactive aux vulnérabilités et en employant des stratégies efficaces de gestion des risques, les organisations peuvent renforcer leur position en matière de sécurité et atténuer les conséquences potentielles des failles de sécurité. CTEM offre une approche holistique qui va au-delà de la simple gestion des vulnérabilités, fournissant des renseignements, du contexte et des données pour donner un sens et une validation aux découvertes.
Gartner Research définit un programme CTEM comme une méthode cohérente et dynamique permettant de prioriser la correction et l’atténuation des cyberrisques les plus urgents tout en améliorant en permanence la posture de sécurité d’une organisation : « CTEM englobe un ensemble de processus et de capacités qui permettent aux entreprises d’évaluer en permanence et de manière cohérente la l’accessibilité, l’exposition et l’exploitabilité des actifs numériques et physiques d’une entreprise » (Gartner, 2022).
Le CTEM se concentre sur DevSecOps
Un programme CTEM est structuré en cinq étapes distinctes mais interconnectées, qui doivent être exécutées de manière cyclique : définir la portée, découvrir les vulnérabilités, classer les priorités, vérifier les résultats et lancer l’action.
Ces étapes facilitent une compréhension globale du paysage des cybermenaces de l’organisation et permettent aux équipes de sécurité de prendre des mesures éclairées et décisives. La phase de mobilisation du programme CTEM se concentre sur la hiérarchisation des vulnérabilités et des risques en fonction de la criticité des actifs, en garantissant une correction rapide et en incorporant des flux de travail transparents pour les équipes DevSecOps.
Lorsqu’il est mis en œuvre efficacement, un programme CTEM peut prévenir les incidents et les violations de sécurité, accélérer la réduction des risques et améliorer la maturité globale de la sécurité. Les principales caractéristiques et capacités d’un programme CTEM robuste incluent :
- Découverte automatisée des actifs et gestion des vulnérabilités
- En cours évaluation de la vulnérabilité des expositions aux menaces dans la surface d’attaque
- Validation de sécurité pour éliminer les faux positifs et garantir l’exactitude
- Gagner en visibilité sur le point de vue de l’attaquant et les voies d’attaque potentielles
- Hiérarchiser les efforts de remédiation et les intégrer aux flux de travail DevSecOps
Commencez votre programme CTEM dès aujourd’hui
Les responsables de la sécurité ont besoin de solutions continues de gestion de l’exposition aux menaces qui améliorent, soutiennent et étendent les capacités de leur équipe interne à neutraliser les menaces à leur origine, empêchant ainsi les failles de sécurité coûteuses et dommageables.
Grâce au développement avancé de CTEM, les RSSI et les responsables de la sécurité peuvent adopter une approche proactive à plusieurs niveaux pour lutter contre les cyberattaques, en garantissant une stratégie hiérarchisée et efficace. Cet ensemble complet de fonctionnalités équipe les équipes avec de puissants outils de programmation qui peuvent réduire considérablement les cyber-risques en temps réel tout en améliorant continuellement les résultats de sécurité sur le long terme.
Si vous souhaitez en savoir plus sur la création d’une approche de classe mondiale pour combler les failles de sécurité avec un programme de gestion continue de l’exposition aux menaces, contactez BreachLockle leader mondial de Services de test d’intrusionpour un appel découverte aujourd’hui.