Qu'est-ce que la gestion de la surface d’attaque ?

La gestion de la surface d’attaque (ASM) est une partie de la cybersécurité qui se concentre sur l’identification, la surveillance et la sécurisation de tous les points de l’écosystème numérique d’une entreprise où un accès non autorisé peut se produire, que ce soit dans un environnement sur site ou hébergé dans le cloud. Il s’agit d’évaluer et d’atténuer en permanence les vulnérabilités de l’ensemble des réseaux, des logiciels et des systèmes, en prévenant de manière proactive les violations de données et les cyberattaques.

Qu’est-ce qu’une surface d’attaque ?

On appelle communément surface d’attaque l’agrégation de tous les points ou zones de l’écosystème des actifs numériques d’une entreprise par lesquels les attaquants pourraient potentiellement accéder. Une surface d’attaque peut varier en taille et en complexité en fonction de l’empreinte numérique de l’entreprise, qui englobe non seulement les réseaux et les systèmes de l’entreprise, mais aussi tous les services tiers qu’elle utilise, les applications hébergées dans le cloud, les appareils utilisés par les télétravailleurs et les appareils de l’internet des objets (IoT).

Plus l’empreinte numérique d’une entreprise est vaste et complexe, plus sa surface d’attaque est importante et, par conséquent, plus les possibilités de cyberattaque sont nombreuses.

Quels sont les composants d’une surface d’attaque en cybersécurité ?

Dans un contexte de cybersécurité, les éléments d’une surface d’attaque comprennent divers composants et points d’entrée, notamment les suivants :

• API (interfaces de programmation d’applications) : interfaces utilisées pour la communication entre différentes applications logicielles
• Services en cloud : ressources et services hébergés dans le cloud, y compris les services de stockage et de traitement
• Stockage de données et bases de données : magasins où les données sensibles sont stockées et gérées
• Systèmes de messagerie électronique : comptes individuels et plateformes de messagerie
• Endpoints : appareils des utilisateurs comme les smartphones, les tablettes et les ordinateurs portables, en particulier ceux utilisés pour le télétravail
• Interfaces réseau externes : points de connexion du réseau interne avec les réseaux externes ou l’internet
• Dispositifs matériels : dispositifs physiques tels que les serveurs, les ordinateurs, les routeurs et les commutateurs
• Points d’interaction humaine : toute personne ayant accès à l’écosystème numérique d’une entreprise
• Dispositifs d’internet des objets (IoT) : dispositifs connectés à l’internet, tels que les capteurs, les caméras, les imprimantes et les scanners
• Infrastructure réseau : composants tels que pare-feu, équilibreurs de charge, passerelles de réseaux privés virtuels (VPN) et ports ouverts
• Logiciels : applications orientées vers l’extérieur (par exemple, services web), applications internes et systèmes d’exploitation
• Comptes d’utilisateurs et identifiants : noms d’utilisateurs, mots de passe et autres méthodes d’authentification
• Applications web : sites web et services en ligne accessibles au public

Pourquoi la gestion de la surface d’attaque est-elle une priorité ?

L’importance de la gestion de la surface d’attaque réside dans son rôle de mécanisme de défense proactif. Elle améliore la visibilité de l’ensemble de l’empreinte numérique d’une entreprise afin d’aider les équipes de sécurité à prendre des mesures préventives. Cela permet la détection de tout comportement inhabituel qui pourrait présager une cyberattaque et agir rapidement pour l’arrêter ou la contenir.

Les raisons pour lesquelles la gestion de la surface d’attaque devrait être la priorité des entreprises sont les suivantes :

Amélioration de la conformité et réduction des risques

La gestion de la surface d’attaque aide à maintenir la conformité avec les différentes normes réglementaires, réduisant ainsi le risque de pénalités ou d’amendes dues à des exploits qui compromettent la confidentialité et la sécurité des données.

Évolution des environnements numériques

En constante évolution, les écosystèmes numériques deviennent de plus en plus complexes, avec des actifs répartis sur site, dans le cloud et dans des environnements hybrides. Il en va de même pour les menaces. En évaluant les vulnérabilités du point de vue d’un acteur malveillant, la gestion de la surface d’attaque offre une visibilité complète sur ces actifs et favorise la découverte des risques cachés.

Identification des vulnérabilités

La gestion de la surface d’attaque facilite l’identification des vulnérabilités connues et inconnues dans tous les actifs numériques. Cela va des services cloud aux terminaux en passant par les appareils IoT, afin de fournir une vue globale et exhaustive des zones de risque potentielles.

Sécurité proactive

Grâce à la surveillance constante de la surface d’attaque, les entreprises peuvent adopter une démarche proactive de la sécurité. Cela permet d’identifier et d’atténuer les vulnérabilités avant que les attaquants ne puissent les exploiter à mauvais escient.

Gestion des actifs numériques non répertoriés

Malgré les mises en garde, les utilisateurs continuent de connecter au réseau d’entreprise des ressources numériques non autorisées, qu’il s’agisse d’appareils IoT ou de services cloud. Ces ressources inconnues ou malveillantes, appelées « shadow IT » ou « informatique fantôme », présentent des risques importants pour la sécurité. La gestion de la surface d’attaque permet de les détecter en permanence afin de les sécuriser et de les gérer.

Réponse rapide aux menaces émergentes

Grâce à la visibilité continue qu’elle procure, la gestion de la surface d’attaque permet aux équipes de sécurité de prendre des mesures rapides pour enrayer les menaces émergentes en détectant les lacunes avant les attaques et souvent en temps réel.

Aide à la prise de décision stratégique

La gestion de la surface d’attaque fournit aux dirigeants, en particulier aux responsables de la sécurité des informations (CISO), des informations directement exploitables leur permettant de prendre des décisions stratégiques en matière de sécurité. En apportant une visibilité complète de toutes les ressources numériques et de la manière dont elles interagissent, la gestion de la surface d’attaque permet d’aligner les décisions sur les directives générales et les stratégies de gestion des risques de l’entreprise.

Adopter le point de vue de l’attaquant

Contrairement à d’autres tactiques de cybersécurité, la gestion de la surface d’attaque aborde la sécurité du point de vue de l’attaquant. Cette lecture aide les équipes de sécurité à mieux anticiper et à se préparer aux différents scénarios d’attaque.

Comment fonctionne la gestion de la surface d’attaque ?

La gestion de la surface d’attaque (Attack Surface Management ou ASM en anglais) se concentre sur l’identification, l’évaluation, la remédiation et la surveillance continue afin d’informer les mécanismes de défense et de protéger l’entreprise de manière proactive contre les cyberattaques. Le processus comprend plusieurs phases clés.

Première phase de l’ASM : livraison et identification des actifs

La gestion de la surface d’attaque commence par l’identification de tous les actifs présents dans l’écosystème numérique d’une entreprise. L’objectif est d’obtenir une visibilité complète de l’empreinte numérique de l’entreprise, de détecter tous les actifs numériques, répertoriés ou non, et d’élaborer un inventaire complet des actifs.

Deuxième phase de l’ASM : classification des actifs et évaluation des risques

Une fois les actifs découverts, l’étape suivante consiste à les analyser et à les classer en fonction de différents critères, tels que leur rôle respectif dans le SI de l’entreprise. On s’intéressera plus particulièrement à leurs utilisations, leurs propriétés, leur adresse IP et leurs connexions réseau. Cette phase implique également d’identifier les configurations de ces actifs et la manière dont ils interagissent les uns avec les autres.

Des informations contextuelles supplémentaires sont obtenues par une évaluation des risques réalisée en recherchant les vulnérabilités connues, telles que les logiciels obsolètes, les mauvaises configurations, les ports ouverts et les protocoles de cryptage faibles. Outre les vulnérabilités, les actifs sont évalués en fonction de leur criticité pour l’activité, de la sensibilité des données, de l’accessibilité depuis l’internet et de l’impact potentiel d’une violation. Une note de risque est ensuite attribuée à chaque vulnérabilité en fonction de ces différents facteurs.

Troisième phase de l’ASM : hiérarchisation

Sur la base de l’évaluation des risques, les vulnérabilités sont classées par ordre de priorité pour être corrigées. Les éléments à prendre en compte pour établir un ordre de priorité sont les suivants :

• Gravité de l’impact
• Exploitabilité
• Criticité des actifs
• Complexité du risque
• Historique de l’exploitation
• Probabilité d’exploitation

Les vulnérabilités les plus facilement exploitables sur les actifs critiques doivent faire l’objet d’une attention prioritaire. Une fois celles-ci identifiées, les autres risques sont évalués selon leur contexte. Ainsi, les équipes de sécurité sont à même de prendre des décisions éclairées, fondées sur les données, pour pour hiérarchiser les actions de remédiation et optimiser l’allocation des ressources.

L’approche stratégique de la gestion de la surface d’attaque en matière de hiérarchisation des risques est essentielle pour renforcer la posture globale de cybersécurité d’une entreprise.

Quatrième phase de l’ASM : gestion de la remédiation

Après avoir identifié, évalué et hiérarchisé les vulnérabilités, la gestion de la surface d’attaque guide leur remédiation. Il peut s’agir d’appliquer des correctifs logiciels, de reconfigurer des systèmes, de segmenter un réseau ou de mettre au rebus des actifs devenus trop vulnérables ou présentant un risque trop élevé.

Cinquième phase de l’ASM : surveillance et adaptation continues

Le processus de gestion de la surface d’attaque est continu. En effet, les actifs et les menaces sont en constante évolution et doivent faire l’objet d’une surveillance permanente.

Cette phase garantit que les nouvelles vulnérabilités sont rapidement identifiées et traitées, et que l’entreprise s’adapte aux menaces émergentes. Elle comprend la recherche de nouvelles vulnérabilités au fur et à mesure de leur apparition, ainsi que le suivi des modifications apportées aux vulnérabilités existantes afin de s’assurer que les défenses restent efficaces. De plus, des tests réguliers doivent être effectués pour confirmer que les systèmes de sécurité fonctionnent conformément aux attentes et aux normes en vigueur.

Fonctions de la gestion de la surface d’attaque

La gestion de la surface d’attaque englobe plusieurs fonctions cruciales visant à mettre en place des défenses proactives contre les vulnérabilités potentielles et à y répondre rapidement. Ces fonctions résultent d’une combinaison d’outils automatisés, de personnel qualifié et de processus bien définis.

De plus, une collaboration étroite entre les différents services d’une entreprise est nécessaire pour comprendre pleinement l’ampleur et la portée des risques et déployer des tactiques d’atténuation pertinentes et efficaces.

Gestion des actifs

Dans le cadre de la gestion de la surface d’attaque, la gestion des actifs implique l’identification, la classification, la configuration et la surveillance des actifs tels que les serveurs, les terminaux, les applications et les périphériques réseau. Une gestion efficace des actifs permet de s’assurer que chaque composant de l’infrastructure informatique est pris en compte, régulièrement mis à jour et configuré de manière sécurisée.

Gestion de la conformité

Les solutions de gestion de la surface d’attaque permettent non seulement de s’assurer que les entreprises répondent aux exigences de sécurité pour se conformer aux diverses réglementations, mais aussi de générer des rapports d’audit. Il s’agit de rapports détaillés sur les lacunes en matière de conformité, qui permettent de hiérarchiser les efforts de remédiation. Des audits démontrant que les entreprises ont pris des mesures adéquates pour protéger leurs données sensibles et répondre à d’autres exigences en matière de sécurité peuvent aussi être générés.

Logiciels de gestion de la configuration

Ces solutions sont principalement utilisées pour maintenir et gérer les configurations des composants du réseau et du système d’information d’une entreprise. Les logiciels de gestion de la configuration garantissent que tous les appareils et logiciels présents sur le réseau sont conformes aux politiques et normes de sécurité en vigueur dans l’entreprise.

Ce logiciel automatise également le suivi et le contrôle des changements de configuration, ce qui permet d’éviter les erreurs de configuration susceptibles d’entraîner des failles de sécurité. Il permet également d’identifier rapidement les modifications non autorisées.

Réponse aux incidents

Les informations fournies par les outils de gestion de la surface d’attaque aident les équipes de sécurité à élaborer des plans de réponse aux incidents efficaces et à identifier le point d’entrée lorsqu’un incident de sécurité se produit. En surveillant en permanence la surface d’attaque, l’ASM peut également aider à détecter les attaques potentielles en cours et à automatiser certaines pratiques de réponse aux incidents.

Outils de cartographie du réseau

Les outils de cartographie du réseau aident à visualiser l’infrastructure du réseau d’une entreprise. Ils identifient et cartographient automatiquement les dispositifs du réseau tels que les serveurs, les routeurs, les commutateurs et les pare-feu, révélant ainsi la manière dont ces éléments sont interconnectés. Cette visualisation permet d’identifier les vulnérabilités potentielles et les connexions non sécurisées au sein du réseau.

Reporting et visualisation

Les outils de gestion de la surface d’attaque fournissent des rapports détaillés et des visualisations de la surface d’attaque de l’entreprise, en mettant en évidence les domaines préoccupants et en suivant les progrès réalisés au fil du temps. Ces rapports complets détaillent également l’état de la sécurité de l’entreprise, y compris les vulnérabilités, les menaces et les opérations de remédiation. Cela facilite la prise de décisions stratégiques et la communication avec les parties prenantes et la dirigeants.

Application de la politique de sécurité

Dans le cadre de la gestion de la surface d’attaque, la politique de sécurité implique la mise en œuvre et l’application de politiques sur l’ensemble du réseau, des systèmes et des applications afin de maintenir une posture de sécurité cohérente. L’objectif est d’atténuer les risques associés aux vulnérabilités, aux accès non autorisés et aux violations potentielles. En appliquant rigoureusement ces politiques, les entreprises maintiennent et renforcent leur posture globale de sécurité.

Personnel qualifié

La gestion de la surface d’attaque s’appuie sur un personnel qualifié pour implémenter, gérer et maintenir les systèmes. Ce personnel comprend divers experts en cybersécurité, notamment des analystes de la sécurité, des testeurs d’intrusion, des administrateurs de réseau et des équipes d’intervention en cas d’incident. Leur expertise est essentielle pour interpréter les données provenant d’outils automatisés, identifier les faux positifs et sélectionner et implémenter les mesures de sécurité appropriées.

Gestion des risques liés aux prestataires et collaborateurs externes

La gestion de la surface d’attaque fournit des informations sur les risques liés au nombre croissant de services externalisés dont les entreprises dépendent au quotidien. Elle fournit également des détails sur la posture de sécurité de l’entreprise et sur la manière dont ses normes de sécurité sont respectées.

Veille technologique sur les menaces

Certaines solutions de gestion de la surface d’attaque intègrent des flux de threat intelligence. Ceux-ci fournissent des détails sur les menaces connues (par exemple, les vulnérabilités et expositions communes (CVE), une liste de failles de sécurité informatique divulguées publiquement) et des informations en temps réel sur les menaces émergentes.

Analyse du comportement des utilisateurs et des entités (UEBA)

L’analyse du comportement des utilisateurs et des entités pour la gestion de la surface d’attaque joue un rôle crucial dans l’identification des comportements suspects qui pourraient présager des menaces potentielles pour la sécurité. Ces systèmes analysent et surveillent les activités des utilisateurs et des entités sur le réseau, en utilisant de puissants outils d’analyse pour détecter les actions inhabituelles ou déviant des comportements habituels.

Cette approche proactive permet d’identifier rapidement les menaces internes, les comptes compromis et d’autres activités malveillantes. En intégrant l’UEBA dans la gestion de la surface d’attaque, les entreprises peuvent identifier les menaces sophistiquées, insaisissables et émergentes.

Analyses de vulnérabilité

Les analyses de vulnérabilité sont des outils essentiels dans la gestion de la surface d’attaque. Elles sont utilisées pour détecter et évaluer automatiquement les vulnérabilités au sein du réseau d’une entreprise, en analysant les systèmes, les applications et les dispositifs du réseau afin d’identifier les faiblesses en matière de sécurité (logiciels obsolètes, mauvaises configurations et ports ouverts notamment). En fournissant des rapports détaillés sur les vulnérabilités, elles aident les entreprises à hiérarchiser les risques de sécurité et à y remédier efficacement.

Des processus bien définis

Les processus clés de la gestion de la surface d’attaque comprennent l’évaluation régulière des risques, la planification de la réponse aux incidents, les stratégies de gestion des correctifs et les contrôles de conformité. L’ensemble de ces processus garantit une approche structurée et cohérente de la gestion et de l’atténuation des risques de sécurité.

FAQ sur la gestion de la surface d’attaque

À quelle fréquence les opérations d’ASM doivent-elles être effectuées ?

Afin d’identifier les vulnérabilités en temps réel et d’y remédier rapidement, les évaluations ASM doivent être menées en continu, ce qui élimine ou restreint les possibilités d’exploitation par des cybercriminels.

Comment une entreprise doit-elle hiérarchiser les vulnérabilités de la surface d’attaque ?

Une entreprise doit classer les vulnérabilités de la surface d’attaque par ordre de priorité en fonction du risque et de l’impact potentiels qu’elles présentent. Cela implique de prendre en compte des facteurs tels que la criticité des données menacées, la probabilité d’exploitation d’une vulnérabilité, l’impact potentiel d’une attaque et les ressources nécessaires pour remédier à la vulnérabilité. Un outil tel que le CVSS (Common Vulnerability Scoring System) peut s’avérer un allié précieux pour quantifier et classer ces risques.

De plus, l’ordre de priorité de certaines vulnérabilités peut être dicté par les exigences réglementaires.

Comment une entreprise peut-elle atténuer les risques liés à la surface d’attaque ?

Voici quelques exemples de pratiques permettant d’atténuer les risques liés à la surface d’attaque :

• Authentification et contrôles d’accès
• Formation des collaborateurs aux meilleures pratiques en matière de cybersécurité
• Planification de la réponse aux incidents
• Configurations sécurisées
• Gestion des correctifs et des mises à jour logicielles
• Sécurité des applications web

La sécurité proactive du point de vue des attaquants

Répondre aux menaces de manière proactive et aborder la cybersécurité du point de vue des attaquants sont deux caractéristiques essentielles des solutions de gestion de la surface d’attaque. Cette dernière consiste à sonder en permanence tous les points d’entrée d’un environnement afin d’identifier les risques d’intrusion avant une attaque.

Bien qu’elle ne puisse pas éradiquer complètement la menace des cyberattaques, la gestion de la surface d’attaque permet aux équipes de sécurité d’être averties en amont et de recevoir des alertes en temps quasi réel afin de déjouer les attaques imminentes, de les bloquer ou d’atténuer les dommages potentiels. En adoptant la gestion de la surface d’attaque, les entreprises peuvent réduire considérablement leur vulnérabilité aux cyberattaques, renforçant ainsi leur posture globale en matière de cybersécurité.