{"id":1614722,"date":"2025-04-07T09:55:01","date_gmt":"2025-04-07T11:55:01","guid":{"rendered":"https:\/\/teknomers.com\/fr\/theatre-de-securite-les-metriques-de-vanite-vous-occupent-et-exposee\/"},"modified":"2025-04-07T09:55:05","modified_gmt":"2025-04-07T11:55:05","slug":"theatre-de-securite-les-metriques-de-vanite-vous-occupent-et-exposee","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/theatre-de-securite-les-metriques-de-vanite-vous-occupent-et-exposee\/","title":{"rendered":"Th\u00e9\u00e2tre de s\u00e9curit\u00e9: les m\u00e9triques de vanit\u00e9 vous occupent &#8211; et expos\u00e9e"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">The Hacker News<\/span><\/span><span class=\"p-tags\">Gestion de la surface d&#8217;attaque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Theatre-de-securite-les-metriques-de-vanite-vous-occupent.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Apr\u00e8s plus de 25 ans d&#8217;att\u00e9nuation des risques, d&#8217;assurer la conformit\u00e9 et de construire des programmes de s\u00e9curit\u00e9 robustes pour les entreprises du Fortune 500, j&#8217;ai appris que <em>Avoir l&#8217;air occup\u00e9 n&#8217;est pas la m\u00eame chose que d&#8217;\u00eatre en s\u00e9curit\u00e9. <\/em><\/p>\n<p>C&#8217;est un pi\u00e8ge facile pour les dirigeants de cybers\u00e9curit\u00e9 occup\u00e9s. Nous comptons sur des mesures qui racontent une histoire des efforts \u00e9normes que nous d\u00e9pensons &#8211; combien de vuln\u00e9rabilit\u00e9s que nous avons corrig\u00e9es, \u00e0 quelle vitesse nous avons r\u00e9pondu &#8211; mais souvent la gestion des vuln\u00e9rabilit\u00e9s est associ\u00e9e aux mesures op\u00e9rationnelles, car les approches traditionnelles de la mesure et de la mise en \u0153uvre de la gestion des vuln\u00e9rabilit\u00e9s ne r\u00e9duisent pas r\u00e9ellement les risques. Nous avons donc recours \u00e0 diverses fa\u00e7ons de signaler le nombre de correctifs appliqu\u00e9s dans le cadre du traditionnel <a rel=\"noopener nofollow\" href=\"https:\/\/xmcyber.com\/blog\/its-time-to-rethink-the-30-60-90-day-approach-to-vulnerability-management\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" target=\"_blank\">M\u00e9thode de correction de 30\/60\/90<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/xmcyber.com\/blog\/its-time-to-rethink-the-30-60-90-day-approach-to-vulnerability-management\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" style=\"clear: left; cursor: pointer; display: block; float: left;  text-align: center;\" target=\"_blank\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1744026899_620_Theatre-de-securite-les-metriques-de-vanite-vous-occupent.jpg\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/a><\/div>\n<p>J&#8217;appelle \u00e7a <em>m\u00e9triques de vanit\u00e9<\/em>: Les chiffres qui semblent impressionnants dans les rapports mais manquent d&#8217;impact r\u00e9el. Ils offrent l&#8217;assurance, mais pas les id\u00e9es. Pendant ce temps, les menaces continuent de devenir plus sophistiqu\u00e9es et les attaquants exploitent les angles morts que nous ne mesurons pas. J&#8217;ai vu de premi\u00e8re main comment cette d\u00e9connexion entre la mesure et le sens peut laisser les organisations expos\u00e9es. <\/p>\n<p>Dans cet article, je vais expliquer pourquoi les mesures de vanit\u00e9 ne suffisent pas pour prot\u00e9ger les environnements complexes d&#8217;aujourd&#8217;hui et pourquoi il est temps de cesser de mesurer <em>activit\u00e9<\/em> et commencer \u00e0 mesurer <em>efficacit\u00e9<\/em>.<\/p>\n<h2 style=\"text-align: left;\"><strong>Foren Down: Quelles sont les mesures de vanit\u00e9? <\/strong><\/h2>\n<p>Les m\u00e9triques de vanit\u00e9 sont des nombres qui semblent bien dans un rapport mais offrent peu de valeur strat\u00e9gique. Ils sont faciles \u00e0 suivre, simples \u00e0 pr\u00e9senter et sont souvent utilis\u00e9s pour d\u00e9montrer l&#8217;activit\u00e9 &#8211; mais ils ne refl\u00e8tent g\u00e9n\u00e9ralement pas la r\u00e9duction r\u00e9elle des risques. Ils tombent g\u00e9n\u00e9ralement en trois types principaux:<\/p>\n<ul>\n<li><strong>M\u00e9triques de volume<\/strong> &#8211; Celles-ci comptent les choses: correctifs appliqu\u00e9s, vuln\u00e9rabilit\u00e9s d\u00e9couvertes, scannes termin\u00e9es. Ils cr\u00e9ent un sentiment de productivit\u00e9 mais ne parlent pas \u00e0 l&#8217;impact des entreprises ou ne sont pas pertinents.<\/li>\n<li><strong>Mesures bas\u00e9es sur le temps sans contexte de risque<\/strong> &#8211; Les m\u00e9triques comme le temps moyen pour d\u00e9tecter (MTTD) ou le temps moyen pour rem\u00e9dier (MTTR) peuvent sembler impressionnants. Mais sans hi\u00e9rarchisation bas\u00e9e sur la criticit\u00e9, la vitesse n&#8217;est que le \u00abcomment\u00bb, pas le \u00abquoi\u00bb.<\/li>\n<li><strong>M\u00e9triques de couverture<\/strong> &#8211; Les pourcentages comme &#8220;95% des actifs scann\u00e9s&#8221; ou &#8220;90% des vuln\u00e9rabilit\u00e9s corrig\u00e9es&#8221; donnent une illusion de contr\u00f4le. Mais ils ignorent la question de savoir \u00e0 laquelle 5% ont \u00e9t\u00e9 manqu\u00e9s &#8211; et s&#8217;ils sont ceux qui comptent le plus.<\/li>\n<\/ul>\n<p>Les mesures de vanit\u00e9 ne sont pas intrins\u00e8quement erron\u00e9es &#8211; mais elles sont dangereusement incompl\u00e8tes. Ils suivent le mouvement, pas le sens. Et s&#8217;ils ne sont pas li\u00e9s \u00e0 la pertinence des menaces ou aux actifs critiques, ils peuvent saper tranquillement toute votre strat\u00e9gie de s\u00e9curit\u00e9.<\/p>\n<h2 style=\"text-align: left;\"><strong>M\u00e9triques de vanit\u00e9: plus de mal que de bien<\/strong><\/h2>\n<p>Lorsque les mesures de vanit\u00e9 dominent les rapports de s\u00e9curit\u00e9, ils peuvent faire plus de mal que de bien. J&#8217;ai vu des organisations br\u00fbler dans le temps et le budget de la poursuite des chiffres qui ont l&#8217;air super dans les briefings ex\u00e9cutifs &#8211; tandis que les expositions critiques n&#8217;ont pas \u00e9t\u00e9 touch\u00e9es. <\/p>\n<p>Qu&#8217;est-ce qui ne va pas lorsque vous comptez sur les mesures de vanit\u00e9?<\/p>\n<ul>\n<li><strong>Effort erron\u00e9<\/strong> &#8211; Les \u00e9quipes se concentrent sur ce qui est facile \u00e0 r\u00e9parer ou ce qui fait bouger une m\u00e9trique, pas ce qui r\u00e9duit vraiment les risques. Cela cr\u00e9e un \u00e9cart dangereux entre ce qui <em>fait<\/em> Et quoi <em>doit \u00eatre fait<\/em>. <\/li>\n<li><strong>Fausse confiance<\/strong> &#8211; Les graphiques \u00e0 la tendance \u00e0 la hausse peuvent induire en erreur le leadership pour croire que l&#8217;organisation est s\u00fbre. Sans contexte &#8211; exploitabilit\u00e9, chemins d&#8217;attaque &#8211; cette croyance est fragile et peut \u00eatre co\u00fbteuse. <\/li>\n<li><strong>Priorisation bris\u00e9e<\/strong> &#8211; Les listes de vuln\u00e9rabilit\u00e9 massives sans contexte provoquent une fatigue. Les probl\u00e8mes \u00e0 haut risque peuvent facilement se perdre dans le bruit, et l&#8217;assainissement peut \u00eatre retard\u00e9 l\u00e0 o\u00f9 il compte le plus. <\/li>\n<li><strong>Stagnation strat\u00e9gique<\/strong> &#8211; Lors de la d\u00e9claration de r\u00e9compense l&#8217;activit\u00e9 sur l&#8217;impact, l&#8217;innovation ralentit. Le programme devient r\u00e9actif &#8211; toujours occup\u00e9, mais pas toujours plus s\u00fbr.<\/li>\n<\/ul>\n<p>J&#8217;ai vu des br\u00e8ches se produire dans des environnements pleins de KPI brillants. La raison? Ces KPI n&#8217;\u00e9taient pas li\u00e9s \u00e0 la r\u00e9alit\u00e9. Une m\u00e9trique qui ne refl\u00e8te pas le risque commercial r\u00e9el n&#8217;est pas seulement d\u00e9nu\u00e9e de sens &#8211; c&#8217;est dangereux.<\/p>\n<h2 style=\"text-align: left;\"><strong>Passer \u00e0 des mesures significatives<\/strong><\/h2>\n<p>Si les m\u00e9triques de vanit\u00e9 nous disent ce qui a \u00e9t\u00e9 fait, des mesures significatives nous disent <em>ce qui compte<\/em>. Ils d\u00e9placent l&#8217;attention de <em>activit\u00e9<\/em> \u00e0 <em>impact<\/em> &#8211; Donner aux \u00e9quipes de s\u00e9curit\u00e9 et aux chefs d&#8217;entreprise une compr\u00e9hension partag\u00e9e du risque r\u00e9el.<\/p>\n<p>Une m\u00e9trique significative commence par une formule claire: <em>risque = vraisemblance \u00d7 impact<\/em>. Il ne demande pas seulement &#8220;Quelles vuln\u00e9rabilit\u00e9s existent?&#8221; &#8211; Il demande &#8220;Lequel de ceux-ci peut \u00eatre exploit\u00e9 pour atteindre nos actifs les plus critiques, et quelles seraient les cons\u00e9quences?&#8221; Pour faire le passage \u00e0 des mesures significatives, envisagez d&#8217;ancrer vos rapports sur cinq mesures cl\u00e9s:<\/p>\n<ol>\n<li><strong>Score de risque (li\u00e9 \u00e0 l&#8217;impact commercial)<\/strong> &#8211; Un score de risque significatif p\u00e8se l&#8217;exploitabilit\u00e9, la criticit\u00e9 des actifs et l&#8217;impact potentiel. Il devrait \u00e9voluer dynamiquement \u00e0 mesure que les expositions changent ou que les changements d&#8217;intelligence des menaces. Ce score aide le leadership \u00e0 comprendre la s\u00e9curit\u00e9 en termes commerciaux &#8211; pas combien de vuln\u00e9rabilit\u00e9s existent, mais \u00e0 quel point nous sommes proches d&#8217;une violation significative.<\/li>\n<li><strong>Exposition critique des actifs (suivi au fil du temps) <\/strong>&#8211; Tous les actifs ne sont pas \u00e9gaux. Vous devez savoir lequel de vos syst\u00e8mes critiques est actuellement expos\u00e9 &#8211; et comment cette exposition est tendance. R\u00e9duisez-vous le risque \u00e0 votre infrastructure la plus importante, ou simplement des cycles de rotation sur des correctifs \u00e0 faible impact? Le suivi au fil du temps montre si votre programme de s\u00e9curit\u00e9 comble les bonnes lacunes.<\/li>\n<li><strong>Cartographie du chemin d&#8217;attaque<\/strong> &#8211; Les vuln\u00e9rabilit\u00e9s n&#8217;existent pas isol\u00e9ment. Les attaquants encha\u00eenent les expositions &#8211; les erreurs de configuration, les identit\u00e9s tropri\u00e8res, les CVE non corrig\u00e9es &#8211; pour atteindre des cibles de grande valeur. <a rel=\"noopener nofollow\" href=\"https:\/\/xmcyber.com\/glossary\/what-are-attack-graphs\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" target=\"_blank\">Cartographier ces chemins<\/a> vous montre comment un attaquant pourrait r\u00e9ellement se d\u00e9placer dans votre environnement. Il aide \u00e0 hi\u00e9rarchiser non seulement les probl\u00e8mes individuels, mais aussi comment ils fonctionnent ensemble pour former une menace.<\/li>\n<li><strong>R\u00e9partition des cours d&#8217;exposition<\/strong> &#8211; Vous devez comprendre quels types d&#8217;expositions sont les plus r\u00e9pandues &#8211; et les plus dangereuses. Qu&#8217;il s&#8217;agisse d&#8217;une utilisation abusive des informations d&#8217;identification, de patchs manquants, de ports ouverts ou de erreurs de configuration de cloud, cette ventilation informe \u00e0 la fois la r\u00e9ponse tactique et la planification strat\u00e9gique. Si 60% de votre risque d\u00e9coule des expositions bas\u00e9es sur l&#8217;identit\u00e9, par exemple, cela devrait fa\u00e7onner vos d\u00e9cisions d&#8217;investissement.<\/li>\n<li><strong>Temps moyen pour rem\u00e9dier (MTTR) pour les expositions critiques<\/strong> &#8211; Le MTTR moyen est une m\u00e9trique imparfaite. Il est tra\u00een\u00e9 vers le bas par des correctifs faciles et ignore les probl\u00e8mes difficiles. Ce qui compte, c&#8217;est \u00e0 quelle vitesse vous fermez les expositions qui vous mettent r\u00e9ellement en danger. MTTR pour les expositions critiques &#8211; celles li\u00e9es \u00e0 des chemins d&#8217;attaque exploitables ou \u00e0 des actifs de juif de la couronne &#8211; est ce qui d\u00e9finit vraiment l&#8217;efficacit\u00e9 op\u00e9rationnelle.<\/li>\n<\/ol>\n<p>Pris ensemble et des param\u00e8tres continuellement mis \u00e0 jour et significatifs vous donnent plus qu&#8217;un instantan\u00e9 &#8211; ils offrent une vision contextuelle vivante de votre exposition \u00e0 la menace. Ils augmentent les rapports de s\u00e9curit\u00e9 du suivi des t\u00e2ches \u00e0 des informations strat\u00e9giques. Et surtout, ils donnent \u00e0 la fois des \u00e9quipes de s\u00e9curit\u00e9 et des chefs d&#8217;entreprise un langage commun pour prendre des d\u00e9cisions ax\u00e9es sur les risques.<\/p>\n<h2 style=\"text-align: left;\"><strong>La ligne de fond<\/strong><\/h2>\n<p>Les mesures de vanit\u00e9 offrent un confort. Ils remplissent des tableaux de bord, impressionnent dans les salles de conf\u00e9rence et sugg\u00e8rent des progr\u00e8s. Mais dans le monde r\u00e9el &#8211; o\u00f9 les acteurs de la menace ne se soucient pas du nombre de correctifs que vous avez appliqu\u00e9s le mois dernier &#8211; ils offrent peu de protection. <\/p>\n<p>La s\u00e9curit\u00e9 r\u00e9elle exige un passage du suivi de ce qui est facile \u00e0 mesurer pour se concentrer sur ce qui compte r\u00e9ellement. Cela signifie adopter des mesures fond\u00e9es sur les risques commerciaux. Et c&#8217;est l\u00e0 que les cadres comme <a rel=\"noopener nofollow\" href=\"https:\/\/xmcyber.com\/ctem\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" target=\"_blank\">Gestion continue de l&#8217;exposition aux menaces<\/a> (CTEM) entrez en jeu. CTEM donne aux organisations la structure pour passer des listes de vuln\u00e9rabilit\u00e9 statiques \u00e0 une action dynamique et prioritaire. Et les r\u00e9sultats sont convaincants &#8211; Gartner projette que d&#8217;ici 2026, les organisations mettant en \u0153uvre le CTEM pourraient r\u00e9duire les violations des deux tiers.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/xmcyber.com\/ctem\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" style=\"cursor: pointer; display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Theatre-de-securite-les-metriques-de-vanite-vous-occupent.png\" border=\"0\" data-original-height=\"768\" data-original-width=\"768\" height=\"400\" width=\"400\" alt=\"The Hacker News\"\/><\/a><\/div>\n<p>Les mesures que vous choisissez fa\u00e7onnent les conversations que vous avez et celles qui vous manquent. Les mesures de vanit\u00e9 maintiennent tout le monde \u00e0 l&#8217;aise. Des mesures significatives forcent des questions plus difficiles, mais elles vous rapprochent de la v\u00e9rit\u00e9. Parce que vous ne pouvez pas r\u00e9duire les risques si vous ne le mesurez pas correctement.<\/p>\n<p><strong>Note:<\/strong> Cet article est r\u00e9dig\u00e9 de mani\u00e8re experte par Jason Fruge, CISO en r\u00e9sidence chez XM Cyber.<\/p>\n<p><noscript><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Theatre-de-securite-les-metriques-de-vanite-vous-occupent.gif\" alt=\"\" height=\"1\" style=\"display:none;\" width=\"1\"\/><br \/>\n<\/noscript><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? <span class=\"\">Cet article est un article contribu\u00e9 de l&#8217;un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/security-theater-vanity-metrics-keep.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 avril 2025\ue804The Hacker NewsGestion de la surface d&#8217;attaque Apr\u00e8s plus de 25 ans d&#8217;att\u00e9nuation des risques, d&#8217;assurer la conformit\u00e9 et de construire des programmes de s\u00e9curit\u00e9 robustes pour les entreprises du Fortune 500, j&#8217;ai appris que Avoir l&#8217;air occup\u00e9 n&#8217;est pas la m\u00eame chose que d&#8217;\u00eatre en s\u00e9curit\u00e9. C&#8217;est un pi\u00e8ge facile pour les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1614723,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,79002,274264,4161,274263,6124,28091,65,274267,89201,4160,15365,1835,238617,246491,4172,79016,1256,119291,4166,188,4164],"class_list":["post-1614722","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-exposee","tag-les","tag-malware-ransomware","tag-metriques","tag-mises-a-jour-de-la-cybersecurite","tag-occupent","tag-securite","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-theatre","tag-vanite","tag-violation-de-donnees","tag-vous","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1614722","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1614722"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1614722\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1614723"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1614722"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1614722"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1614722"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}