{"id":1574612,"date":"2025-03-11T14:33:04","date_gmt":"2025-03-11T16:33:04","guid":{"rendered":"https:\/\/teknomers.com\/fr\/vos-scores-de-risque-se-trouvent-la-validation-de-lexposition-contradictoire-expose-les-menaces-reelles\/"},"modified":"2025-03-11T14:33:10","modified_gmt":"2025-03-11T16:33:10","slug":"vos-scores-de-risque-se-trouvent-la-validation-de-lexposition-contradictoire-expose-les-menaces-reelles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/vos-scores-de-risque-se-trouvent-la-validation-de-lexposition-contradictoire-expose-les-menaces-reelles\/","title":{"rendered":"Vos scores de risque se trouvent: la validation de l&#8217;exposition contradictoire expose les menaces r\u00e9elles"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">The Hacker News<\/span><\/span><span class=\"p-tags\">Test de simulation \/ p\u00e9n\u00e9tration de violation<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/hubs.li\/Q03b3q4m0\" style=\"clear: left; display: block; float: left;  text-align: center;cursor:pointer\" target=\"_blank\"><\/a><\/div>\n<p>En cybers\u00e9curit\u00e9, la confiance est une \u00e9p\u00e9e \u00e0 double tranchant. Les organisations op\u00e8rent souvent sous un <strong>faux sentiment de s\u00e9curit\u00e9<\/strong>croyant que les vuln\u00e9rabilit\u00e9s patch\u00e9es, les outils \u00e0 jour, les tableaux de bord poli et les scores de risque \u00e9logieux garantissent la s\u00e9curit\u00e9. La r\u00e9alit\u00e9 est un peu une histoire diff\u00e9rente. Dans le monde r\u00e9el, la v\u00e9rification des bonnes cases ne soit pas \u00e9gale \u00e0 \u00eatre s\u00e9curis\u00e9. Comme Sun Tzu a pr\u00e9venu, <em>&#8220;La strat\u00e9gie sans tactique est la route la plus lente vers la victoire. Les tactiques sans strat\u00e9gie sont le bruit avant la d\u00e9faite.&#8221;<\/em> Deux mill\u00e9naires et demi plus tard, le concept est toujours valable: les d\u00e9fenses de cybers\u00e9curit\u00e9 de votre organisation doivent \u00eatre strat\u00e9giquement <strong>valid\u00e9 dans des conditions r\u00e9elles<\/strong> pour assurer la survie m\u00eame de votre entreprise. Aujourd&#8217;hui, plus que jamais, vous avez besoin <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/use-case\/adversarial-exposure-validation\" target=\"_blank\">Validation de l&#8217;exposition contradictoire (AEV)<\/a><\/strong>la strat\u00e9gie essentielle qui manque toujours dans la plupart des cadres de s\u00e9curit\u00e9.<\/p>\n<h2><strong>Le danger de fausse confiance<\/strong><\/h2>\n<p>La sagesse conventionnelle sugg\u00e8re que si vous avez corrig\u00e9 des bogues connus, d\u00e9ploy\u00e9 une pile d&#8217;outils de s\u00e9curit\u00e9 r\u00e9put\u00e9s et pass\u00e9 les audits de conformit\u00e9 n\u00e9cessaires, vous \u00eates &#8220;s\u00e9curis\u00e9&#8221;. Mais \u00eatre en conformit\u00e9 n&#8217;est pas la m\u00eame chose que d&#8217;\u00eatre en s\u00e9curit\u00e9. En fait, ces hypoth\u00e8ses cr\u00e9ent souvent des angles morts et un sentiment dangereux de fausse s\u00e9curit\u00e9. La v\u00e9rit\u00e9 inconfortable est que <strong>Les scores CVE, les probabilit\u00e9s EPSS et les listes de contr\u00f4le de conformit\u00e9 uniquement les probl\u00e8mes th\u00e9oriques du catalogue, ils ne confirment pas r\u00e9ellement la r\u00e9elle r\u00e9silience.<\/strong> Les attaquants ne se soucient pas si vous \u00eates fi\u00e8rement conforme; Ils se soucient o\u00f9 se trouvent les fissures de votre organisation, en particulier ces fissures qui passent souvent inaper\u00e7ues dans les op\u00e9rations quotidiennes.<\/p>\n<p>\u00c0 bien des \u00e9gards, s&#8217;appuyer uniquement sur des commandes standard ou un test une fois par an, c&#8217;est comme se tenir sur une jet\u00e9e robuste sans savoir si elle peut r\u00e9sister \u00e0 cet ouragan lorsqu&#8217;il touche \u00e0 l&#8217;atterrissage. . Et vous savez que la temp\u00eate arrive, vous ne savez tout simplement pas quand, ni si vos d\u00e9fenses sont assez fortes. <strong>La validation de l&#8217;exposition contradictoire met ces hypoth\u00e8ses au microscope.<\/strong> Pas de contenu pour \u00e9num\u00e9rer vos points faibles potentiels, AEV <strong>pousse sans rel\u00e2che contre ces points faibles<\/strong> Jusqu&#8217;\u00e0 ce que vous voyiez lesquels sont importants et lesquels ne le font pas. \u00c0 Pipus, nous savons que <strong>La vraie s\u00e9curit\u00e9 exige la validation de la foi<\/strong>.<\/p>\n<h2><strong>Le probl\u00e8me avec les \u00e9valuations traditionnelles de l&#8217;exposition<\/strong><\/h2>\n<p>Pourquoi les mesures traditionnelles ne sont-elles pas \u00e0 la hauteur de l&#8217;\u00e9valuation de la cyber-exposition r\u00e9elle? Voici trois raisons principales.<\/p>\n<ol>\n<li><strong>Les scores de vuln\u00e9rabilit\u00e9 ne racontent que la moiti\u00e9 de l&#8217;histoire. <\/strong>Une vuln\u00e9rabilit\u00e9 CVSS 9.8 critique peut sembler terrifiante sur le papier, mais si elle <em>ne peut pas \u00eatre exploit\u00e9<\/em> Dans votre environnement, le r\u00e9parer devrait-il vraiment \u00eatre votre priorit\u00e9 absolue? L&#8217;analyse r\u00e9cente de Gartner met en \u00e9vidence une r\u00e9alit\u00e9 surprenante: <em>&#8220;En 2023, seulement 9,7% de toutes les vuln\u00e9rabilit\u00e9s divulgu\u00e9es \u00e9taient connues pour \u00eatre exploit\u00e9es &#8211; environ 8 \u00e0 9% chaque ann\u00e9e au cours de la derni\u00e8re d\u00e9cennie.&#8221;<\/em> En revanche, un d\u00e9faut de gravit\u00e9 &#8220;mod\u00e9r\u00e9&#8221; pourrait \u00eatre facilement encha\u00een\u00e9 avec un autre exploit, ce qui le rend aussi dangereux que ce 9.8 dans la pratique. La v\u00e9rit\u00e9 contre-intuitive est que toutes les vuln\u00e9rabilit\u00e9s \u00e0 scores \u00e9lev\u00e9s ne se traduisent pas par des risques r\u00e9els, et que certaines scores \u00e0 faible score peuvent \u00eatre exceptionnellement dommageables.<\/li>\n<li><strong>D\u00e9pass\u00e9 sans clart\u00e9. <\/strong>Les \u00e9quipes de s\u00e9curit\u00e9 continuent de se noyer dans une mer de CVE, des scores de risque et des chemins d&#8217;attaque hypoth\u00e9tiques. Lorsque tout est signal\u00e9 comme critique, comment vos employ\u00e9s peuvent-ils s\u00e9parer le signal du bruit? Encore une fois, il est important de se rappeler que toutes les expositions ne portent pas le m\u00eame poids, et le traitement de chaque alerte finit \u00e9galement par \u00eatre aussi mauvais que de les ignorer compl\u00e8tement. Trop souvent le <em>r\u00e9el<\/em> Les menaces se perdent dans le d\u00e9luge de donn\u00e9es non pertinentes. Cependant, sachant quelles faiblesses adversaires <em>peut r\u00e9ellement exploiter <\/em>change tout; Il vous permet de vous concentrer sur &#8211; et de triage intelligemment &#8211; les vraies risques se cacher dans l&#8217;obscurit\u00e9.<\/li>\n<li><strong>L&#8217;\u00e9cart entre la th\u00e9orie et la pratique.<\/strong> Les analyses traditionnelles et les tests de p\u00e9n\u00e9tration une fois par quart fournissent litt\u00e9ralement un instantan\u00e9 dans le temps. Mais les instantan\u00e9s vieillissent rapidement et mal en cybers\u00e9curit\u00e9. Un rapport du dernier trimestre ne refl\u00e8te pas ce qui se passe <em>tout de suite<\/em>. Cet \u00e9cart entre l&#8217;\u00e9valuation et la r\u00e9alit\u00e9 signifie que les organisations d\u00e9couvrent souvent que leur organisation n&#8217;est pas r\u00e9ellement s\u00fbre seulement apr\u00e8s une violation.<\/li>\n<\/ol>\n<h2><strong>Validation de l&#8217;exposition contradictoire: le test de stress de cybers\u00e9curit\u00e9 ultime<\/strong><\/h2>\n<p>La validation de l&#8217;exposition contradictoire (AEV) est l&#8217;\u00e9volution logique des \u00e9quipes de s\u00e9curit\u00e9 pr\u00eate \u00e0 aller au-del\u00e0 des hypoth\u00e8ses et des v\u0153ux pieux. AEV fonctionne comme un <strong>&#8220;Test de stress de cybers\u00e9curit\u00e9&#8221;<\/strong> pour votre organisation et ses d\u00e9fenses. <strong>Cycle de battage m\u00e9diatique de Gartner pour les op\u00e9rations de s\u00e9curit\u00e9<\/strong> Consolidated BAS et Pentesting automatis\u00e9 \/ \u00e9quipe rouge dans la cat\u00e9gorie unique de validation d&#8217;exposition adversaire, soulignant que ces outils pr\u00e9c\u00e9demment cloisonn\u00e9s sont plus puissants ensemble. Regardons de plus pr\u00e8s: <\/p>\n<ul>\n<li><strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/use-case\/breach-and-attack-simulation\" target=\"_blank\">Simulation de violation et d&#8217;attaque (BAS)<\/a>:<\/strong> Vous pouvez consid\u00e9rer BAS comme un partenaire d&#8217;entra\u00eenement automatis\u00e9 et continu qui \u00e9mule en toute s\u00e9curit\u00e9 les cyber-menaces et les comportements des attaquants dans votre environnement. BAS teste en permanence la fa\u00e7on dont vos contr\u00f4les d\u00e9tectent et emp\u00eachent les actions malveillantes, fournissant des preuves continues des attaques qui se font prendre et lesquelles se d\u00e9roulent.<\/li>\n<li><strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/use-case\/pen-testing-automation\" target=\"_blank\">Tests de p\u00e9n\u00e9tration automatis\u00e9s<\/a>:<\/strong> Une sonde m\u00e9thodique qui ne se contente pas de rechercher des vuln\u00e9rabilit\u00e9s mais qui tente activement l&#8217;exploitation, \u00e9tape par \u00e9tape, comme le ferait un attaquant r\u00e9el. Ces pentests automatis\u00e9s (parfois appel\u00e9s pentisting continu ou autonome) lancent des attaques cibl\u00e9es pour trouver de r\u00e9elles faiblesses, des exploits de cha\u00eene et sonder les r\u00e9actions de vos syst\u00e8mes.<\/li>\n<\/ul>\n<p>Surtout, AEV ne se demande pas seulement la technologie &#8211; c&#8217;est \u00e9galement un changement de mentalit\u00e9. <strong>Les principaux CISO plaident d\u00e9sormais pour une approche de &#8220;supposition de violation&#8221;:<\/strong> en supposant l&#8217;ennemi <em>volont\u00e9<\/em> P\u00e9n\u00e9rez vos d\u00e9fenses initiales, vous pouvez alors vous concentrer sur la validation de votre pr\u00e9paration \u00e0 cette \u00e9ventualit\u00e9. Dans la pratique, cela signifie constamment imiter les tactiques adversaires \u00e0 travers votre cha\u00eene de mise \u00e0 mort compl\u00e8te &#8211; de l&#8217;acc\u00e8s initial au mouvement lat\u00e9ral, \u00e0 l&#8217;exfiltration des donn\u00e9es &#8211; et garantir que vos employ\u00e9s et vos outils d\u00e9tectent et s&#8217;arr\u00eatent id\u00e9alement \u00e0 chaque \u00e9tape. C&#8217;est l&#8217;objectif: une d\u00e9fense vraiment proactive.<\/p>\n<p>Gartner pr\u00e9dit que d&#8217;ici 2028, <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/resource\/blog\/top-5-benefits-of-implementing-adversarial-exposure-validation\" target=\"_blank\">validation continue de l&#8217;exposition<\/a> sera accept\u00e9 comme une alternative aux exigences traditionnelles les plus pentes dans les cadres r\u00e9glementaires. <\/strong>Les dirigeants de la s\u00e9curit\u00e9 avant-gardistes avancent d\u00e9j\u00e0 de cette fa\u00e7on, pourquoi fortifier cette jet\u00e9e une seule fois par an et esp\u00e9rer le meilleur, alors que vous pouvez continuellement tester et le renforcer pour vous adapter \u00e0 une vague croissante de menaces en constante \u00e9volution?<\/p>\n<h2><strong>Du bruit \u00e0 la pr\u00e9cision: concentrez-vous sur ce qui compte<\/strong><\/h2>\n<p>L&#8217;un des plus grands d\u00e9fis dans les industries pour les \u00e9quipes de s\u00e9curit\u00e9 est l&#8217;incapacit\u00e9 de r\u00e9duire le bruit. C&#8217;est pourquoi <strong>La validation de l&#8217;exposition contradictoire est si importante: elle recentre vos \u00e9quipes sur ce qui compte r\u00e9ellement pour votre organisation par:<\/strong><\/p>\n<ul>\n<li><strong>\u00c9liminer les conjectures en vous montrant <em>lequel<\/em> Les vuln\u00e9rabilit\u00e9s peuvent \u00eatre exploit\u00e9es et <em>comment<\/em>.<\/strong> Au lieu de transpirer plus de dizaines de vulns effrayants CVSS 9+ que les attaquants <em>pourrait<\/em> exploiter, vous saurez lesquels ils <em>peut<\/em> Exploitez dans votre environnement et dans quelle s\u00e9quence. Cela vous permet de prioriser les d\u00e9fenses en fonction de <strong>Risque r\u00e9el, pas de gravit\u00e9 hypoth\u00e9tique<\/strong>.<\/li>\n<li><strong>Rationalisation de l&#8217;assainissement.<\/strong> Plut\u00f4t qu&#8217;un arri\u00e9r\u00e9 sans fin de r\u00e9sultats &#8220;critiques&#8221; qui ne semble jamais r\u00e9tr\u00e9cir, AEV donne une vision claire et structur\u00e9e des expositions qui sont vraiment exploitables dans votre environnement, souvent <strong>dans des combinaisons dangereuses qui ne seraient pas \u00e9videntes \u00e0 partir des r\u00e9sultats de scan isol\u00e9s<\/strong>. Cela signifie que les \u00e9quipes peuvent enfin sortir de la r\u00e9action et de r\u00e9parer de mani\u00e8re proactive <em>vraiment<\/em> a besoin de fixer, de r\u00e9duire consid\u00e9rablement les risques et <strong>\u00c9conomiser du temps et des efforts<\/strong>.<\/li>\n<li><strong>Inculquer la confiance (le bon genre).<\/strong> Lorsque les tests AEV ne parviennent pas \u00e0 violer un contr\u00f4le particulier &#8211; lorsqu&#8217;une attaque ne peut pas d\u00e9passer votre protection de point final ou que le mouvement lat\u00e9ral est arr\u00eat\u00e9 \u00e0 froid &#8211; vous gagnez en confiance que cette d\u00e9fense tient la ligne. Vous pouvez ensuite concentrer votre attention ailleurs. En bref, vous et vos \u00e9quipes obtiendrez le cr\u00e9dit pour avoir bien fait les choses, pas bl\u00e2m\u00e9es pour avoir r\u00e9par\u00e9 les mauvaises choses.<\/li>\n<\/ul>\n<p>Ce passage \u00e0 la d\u00e9fense centr\u00e9e sur la validation a un gain tangible: <strong>Gartner pr\u00e9voit que d&#8217;ici 2026, des organisations qui privil\u00e9gient les investissements bas\u00e9s sur <a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/continuous-threat-exposure-management\" target=\"_blank\">Gestion continue de l&#8217;exposition aux menaces<\/a> (y compris AEV) subira les deux tiers de moins. <\/strong>C&#8217;est une r\u00e9duction massive du risque, r\u00e9alis\u00e9e en se concentrant sur le <em>droite<\/em> probl\u00e8mes.<\/p>\n<h2><strong>S\u00e9curit\u00e9 Picus: une force principale en validation d&#8217;exposition contradictoire (AEV)<\/strong><\/h2>\n<p>Chez PICUS, nous sommes \u00e0 l&#8217;avant-garde de la validation de la s\u00e9curit\u00e9 depuis 2013, pionnier des violations et des simulations d&#8217;attaque et l&#8217;int\u00e9grant d\u00e9sormais \u00e0 des tests de p\u00e9n\u00e9tration automatis\u00e9s pour aider les organisations \u00e0 vraiment comprendre l&#8217;efficacit\u00e9 de leurs d\u00e9fenses. Avec <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/security-validation-platform\" target=\"_blank\">Plate-forme de validation de s\u00e9curit\u00e9 Picus<\/a><\/strong>les \u00e9quipes de s\u00e9curit\u00e9 obtiennent la clart\u00e9 dont ils ont besoin pour agir de mani\u00e8re d\u00e9cisive. Plus d&#8217;angle mort, plus d&#8217;hypoth\u00e8ses, juste des tests r\u00e9els qui garantissent que vos contr\u00f4les sont pr\u00eats pour <em>et <\/em>Les menaces de demain.<\/p>\n<p>Pr\u00eat \u00e0 passer de l&#8217;illusion de cybers\u00e9curit\u00e9 \u00e0 la r\u00e9alit\u00e9? En savoir plus sur la fa\u00e7on dont AEV peut transformer votre programme de s\u00e9curit\u00e9 en t\u00e9l\u00e9chargeant notre gratuit <strong><em><a rel=\"noopener nofollow\" href=\"https:\/\/hubs.li\/Q03b3q4m0\" target=\"_blank\">&#8220;Introduction \u00e0 la validation de l&#8217;exposition&#8221;<\/a><\/em><\/strong>.<\/p>\n<p><b>Note: <\/b>Cet article a \u00e9t\u00e9 r\u00e9dig\u00e9 de mani\u00e8re experte et apport\u00e9e par <a rel=\"nofollow noopener\" href=\"https:\/\/scholar.google.com\/citations?user=tkRe6H8AAAAJ\" target=\"_blank\">Dr Suleyman Ozarslan<\/a>co-fondateur de PICUS et VP de PICUS Labs, o\u00f9 nous pensons que la v\u00e9ritable s\u00e9curit\u00e9 est gagn\u00e9e, non suppos\u00e9e.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? <span class=\"\">Cet article est un article contribu\u00e9 de l&#8217;un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/your-risk-scores-are-lying-adversarial.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 mars 2025\ue804The Hacker NewsTest de simulation \/ p\u00e9n\u00e9tration de violation En cybers\u00e9curit\u00e9, la confiance est une \u00e9p\u00e9e \u00e0 double tranchant. Les organisations op\u00e8rent souvent sous un faux sentiment de s\u00e9curit\u00e9croyant que les vuln\u00e9rabilit\u00e9s patch\u00e9es, les outils \u00e0 jour, les tableaux de bord poli et les scores de risque \u00e9logieux garantissent la s\u00e9curit\u00e9. La r\u00e9alit\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1574613,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,118254,79002,274264,4161,274263,6124,16209,65,1768,274267,4742,4160,21522,326,17994,238617,246491,4172,79016,12850,74754,4166,690,4164],"class_list":["post-1574612","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-contradictoire","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-expose","tag-les","tag-lexposition","tag-malware-ransomware","tag-menaces","tag-mises-a-jour-de-la-cybersecurite","tag-reelles","tag-risque","tag-scores","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-trouvent","tag-validation","tag-violation-de-donnees","tag-vos","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1574612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1574612"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1574612\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1574613"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1574612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1574612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1574612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}