La surface d’attaque n’est plus ce qu’elle était et sa protection devient un cauchemar. Une surface d’attaque en constante expansion et évolution signifie que les risques pour l’entreprise ont explosé et que les mesures de sécurité actuelles ont du mal à la protéger. Si vous avez cliqué sur cet article, il y a de fortes chances que vous recherchiez des solutions pour gérer ce risque.
En 2022, Gartner a mis au point un nouveau cadre de travail pour répondre à ces défis : la gestion continue de l’exposition aux menaces (CTEM). Depuis lors, la mise en œuvre de ce cadre est devenue une priorité pour de nombreuses organisations en raison de l’amélioration considérable qu’il devrait apporter pour maintenir un niveau élevé de préparation et de résilience en matière de sécurité.
« D’ici 2026, les entreprises qui priorisent leurs investissements en matière de sécurité en s’appuyant sur un programme de gestion continue des risques auront trois fois moins de risques de subir une violation. » Gartner, « Comment gérer les menaces de cybersécurité, pas les épisodes », 21 août 2023
CTEM fournit une vue continue et complète de la surface d’attaque et des expositions qu’elle contient, testant si les contrôles de sécurité bloquent efficacement l’exploitation potentielle des expositions, puis rationalisant la mobilisation vers la correction des vulnérabilités sélectionnées.
L’adoption de CTEM peut rapidement devenir écrasante car elle implique l’orchestration de nombreux éléments disparates et mobiles. Rassembler les actifs numériques, les charges de travail, les réseaux, les identités et les données dans toute l’entreprise. Par conséquent, pour simplifier cela, nous avons décomposé le cadre en ses piliers, en fournissant des étapes gérables qui vous guident dans ce processus de gestion de l’exposition.
Pilier n°1 : Élargissez votre visibilité sur la surface d’attaque
L’un des principaux défis de la gestion des actifs est sa portée limitée. Elle ne fournit qu’une vue sectorielle de la surface d’attaque, se concentrant généralement uniquement sur les vulnérabilités sur site, sans possibilité d’exploiter les données de vulnérabilité qu’elle génère.
CTEM offre une meilleure visibilité sur tous les types d’expositions sur la surface d’attaque – interne, externe et cloud – pour aider les organisations à mieux comprendre leur véritable profil de risque de sécurité.
Le processus commence par l’évaluation de l’environnement des actifs numériques par étapes. Nous recommandons une évaluation initiale qui comprend :
- La surface d’attaque externe, qui a tendance à avoir une portée plus restreinte et est soutenue par un écosystème croissant d’outils.
- Les outils SaaS, qui facilitent la communication sur les risques, car les solutions SaaS ont tendance à héberger de plus en plus de données commerciales critiques.
Dans un deuxième temps, envisagez d’élargir le champ d’application pour inclure la protection contre les risques numériques, ce qui ajoute une plus grande visibilité sur la surface d’attaque.
Une fois le périmètre déterminé, les organisations doivent déterminer leurs profils de risque en découvrant les expositions sur les actifs hautement prioritaires. Il faut également intégrer la mauvaise configuration des actifs, en particulier en ce qui concerne les contrôles de sécurité, et d’autres faiblesses, telles que les actifs contrefaits ou les mauvaises réponses aux tests de phishing.
Pilier n°2 : Améliorez votre gestion des vulnérabilités
La gestion des vulnérabilités (VM) est depuis longtemps la pierre angulaire des stratégies de cybersécurité de nombreuses organisations, axées sur l’identification et la correction des CVE connus. Cependant, avec la complexité croissante de l’environnement informatique et les capacités renforcées des acteurs de la menace, la VM seule ne suffit plus à maintenir la posture de cybersécurité de l’entreprise.
Cela est particulièrement évident si l’on prend en compte le nombre croissant de CVE publiés chaque année. L’année dernière seulement, il y a eu 29 085 CVE et seulement 2-7% de ces vulnérabilités n’ont jamais été exploitées dans la nature. Cela rend l’objectif de devenir parfait en matière de correctifs irréaliste, d’autant plus que cela ne prend pas en compte les vulnérabilités non corrigibles telles que les erreurs de configuration, les problèmes Active Directory, les logiciels tiers non pris en charge, les informations d’identification volées et divulguées, etc., qui seront à l’origine de plus de 50 % des expositions des entreprises d’ici 2026.
Le CTEM se concentre sur la priorisation des expositions en fonction de leur exploitabilité et de leur impact sur les actifs critiques, plutôt que sur les scores CVSS, la chronologie ou la notation des fournisseurs. Cela garantit que les actifs numériques les plus sensibles à la continuité et aux objectifs de l’organisation sont traités en premier.
La priorisation est donc basée sur les failles de sécurité qui sont facilement exploitables et qui donnent simultanément accès à des actifs numériques sensibles. La combinaison de ces deux facteurs conduit à prioriser ces expositions, qui représentent généralement une fraction de toutes les expositions découvertes.
Pilier n°3 La validation transforme le CTEM de la théorie à la stratégie éprouvée
Le dernier pilier de la stratégie CTEM, la validation, est le mécanisme permettant d’empêcher l’exploitation des failles de sécurité. Pour garantir l’efficacité continue des contrôles de sécurité, la validation doit être de nature offensive, en imitant les méthodes des attaquants.
Il existe quatre stratégies pour tester votre environnement comme un attaquant, chacune reflétant les techniques employées par les adversaires :
- Pensez en graphiques – Alors que les défenseurs pensent souvent en termes de listes, qu’il s’agisse d’actifs ou de vulnérabilités, les attaquants pensent en termes de graphiques, cartographiant les relations et les chemins entre les différents composants du réseau.
- Automatiser les tests – Les tests de pénétration manuels sont un processus coûteux qui implique que des pentesters tiers testent vos contrôles de sécurité. Les organisations sont limitées dans la portée de leurs tests. En revanche, les attaquants exploitent l’automatisation pour exécuter des attaques rapidement, efficacement et à grande échelle.
- Valider les chemins d’attaque réels – Les attaquants ne se concentrent pas sur des vulnérabilités isolées ; ils prennent en compte l’ensemble du chemin d’attaque. Une validation efficace consiste à tester l’intégralité du chemin, depuis l’accès initial jusqu’à l’impact exploité.
- Tester en continu – Les tests d’intrusion manuels sont généralement effectués périodiquement, une ou deux fois par an. Cependant, les tests en « sprints » ou cycles courts et itératifs permettent aux défenseurs de s’adapter à la vitesse des changements informatiques, protégeant ainsi l’ensemble de la surface d’attaque en traitant les expositions au fur et à mesure qu’elles apparaissent.
CTEM : Investissez maintenant et récoltez continuellement les résultats
Avec tous les différents éléments que sont les personnes, les processus et les outils dans une stratégie CTEM, il est facile de se sentir dépassé. Cependant, gardez quelques points à l’esprit :
- Vous ne partez pas de zéro. Vous disposez déjà de vos systèmes de gestion des actifs et de gestion des vulnérabilités. L’objectif ici est simplement d’étendre leur portée. Assurez-vous que vos outils couvrent de manière exhaustive toute la surface d’attaque de votre environnement informatique et qu’ils sont continuellement mis à jour au rythme des changements.
- Considérez cela comme un processus de perfectionnement continu. La mise en œuvre du cadre CTEM devient un cycle agile de découverte, d’atténuation et de validation. Le travail n’est jamais vraiment terminé. À mesure que votre entreprise grandit et mûrit, votre infrastructure informatique évolue également.
- Placez la validation au cœur de votre stratégie CTEM. Cela vous donne la certitude que vos opérations de sécurité résisteront à l’épreuve. À tout moment, vous devez savoir où vous en êtes. Peut-être que tout est en ordre, ce qui est une bonne chose. Il se peut aussi qu’une lacune soit identifiée, mais vous pouvez désormais la combler avec une approche prescriptive, en étant pleinement conscient de l’impact en aval.
Apprendre encore plus sur la façon de mettre en œuvre une stratégie CTEM axée sur la validation avec Pentera.