Les termes associés à ce concept sont présentés dans la page Surface d'attaque de notre glossaire. L'objet de cet article est de vous aider à identifier la surface d’attaque de votre entreprise.

Tout comme votre pelouse après la pluie, votre surface d’attaque se développe rapidement si on la laisse sans surveillance. D'autant que l’augmentation de la taille de la surface d’attaque va de pair avec celle des risques de cybersécurité. S’il est impossible d’éliminer ce risque du fait de l'évolution incessante des surfaces d’attaque, il faut néanmoins le gérer rigoureusement.

Comment identifier la surface d'attaque de mon entreprise ?

La gestion de ce risque passe d’abord par l’identification de la surface d’attaque de votre entreprise. Plus spécifiquement, vous devez identifier les menaces peu visibles : les postes client, les vulnérabilités et autres vecteurs d’attaque qui exposent votre environnement.

Pour citer les contrôles de sécurité critiques (CSC) CIS v8 : « Les entreprises ne peuvent pas protéger ce qu’elles ignorent posséder ». Mais comment sait-on ce que l’on détient ? Si vous ou l’un des membres de votre équipe vous posez cette question, ne cherchez plus.

À la fin de cet article, vous aurez trouvé les réponses à ces questions et vous comprendrez mieux comment identifier la surface d’attaque de votre entreprise à l’aide des meilleures pratiques modernes :

Comment identifier la surface d'attaque numérique de mon entreprise ?

Les outils et méthodes traditionnels risquent de ne pas suffire à identifier votre surface d'attaque numérique, d’autant plus que celle-ci semble s’étendre exponentiellement chaque année. Heureusement, les fournisseurs de technologies et de services se mobilisent pour être à la hauteur de la situation avec des offres de gestion.

Gestion de la surface d'attaque (ASM) 

Pour adopter une posture robuste de cybersécurité, il est indispensable d’améliorer la visibilité sur les actifs IT déployés dans toute votre entreprise (ainsi que sur leur exposition et les risques associés). Les principaux cadres réglementaires de sécurité le confirment. Par exemple, la première fonction du cadre NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) version 1.1 est l’identification. Le NIST énonce : « Les activités d’identification sont fondamentales pour l’utilisation efficace de ce cadre. » De même, la liste Contrôles CIS v8 inclut les contrôles suivants : 

  • Contrôle 1 : Inventaire et contrôle des actifs d'entreprise 
  • Contrôle 2 : Inventaire et contrôle des actifs logiciels 
  • Contrôle 7 : Gestion en continu des vulnérabilités 

Cette visibilité est également essentielle pour définir votre surface d’attaque numérique. Les entreprises peinent malheureusement depuis longtemps à obtenir un haut niveau de visibilité.

Selon une étude de Randori et de l’ESG (Enterprise Strategy Group), les entreprises comptent, en moyenne, 30 % de plus d'actifs exposés que ce que montrent les programmes traditionnels de gestion des actifs. Sans action des entreprises, ce chiffre devrait augmenter : en effet, Gartner anticipe que 75 % des collaborateurs vont acheter, modifier ou créer une technologie qui échappera à la vigilance du département IT d’ici à 2027.

Les entreprises doivent combler l’écart entre le nombre connu des actifs et celui de ceux exposés à la vue des pirates. Elles doivent éliminer ces angles morts et les technologies non gérées de leur environnement. C’est exactement ce que fait l’ASM. D’après Gartner, l'ASM vise à répondre à la question suivante :
« Comment un pirate perçoit-il mon entreprise, et comment trouver et prioriser les problèmes les plus visibles par cet attaquant ? »

Qu'est-ce que la gestion de la surface d'attaque (ASM) ? 

Parce qu’elle adopte le point de vue offensif, l’ASM permet aux équipes Sécurité d’obtenir une bonne visibilité des actifs sur lesquels le département IT manque de gouvernance et de contrôle, comme le Shadow IT, les systèmes tiers et les applications métier.

Pour ce faire, elle combine les forces de l’humain, des processus, des technologies et des services pour découvrir, inventorier et gérer en continu les actifs internes et externes. Ainsi, l’ASM s’assure de traiter toutes les expositions nouvellement identifiées avant même que des acteurs malveillants ne puissent les exploiter.

L’ASM comprend trois facettes : la gestion de la surface d’attaque des cyberactifs (CAASM), la gestion de la surface d’attaque externe (EASM) et les services de protection contre les risques numériques (DRPS). Chacun de ces domaines se concentre sur un cas d’usage spécifique : la CAASM pour les actifs et les vulnérabilités, l’EASM pour les actifs externes et le DRPS pour les actifs numériques.

Combinées, leurs fonctions apportent une aide précieuse aux 47 % des professionnels de la sécurité interrogés qui déplorent manquer de visibilité sur tous les utilisateurs, périphériques, applications et services résidant dans leurs réseaux, selon l’étude d'Ivanti « État de la cybersécurité des gouvernements ». 

Qu'est-ce que la gestion de la surface d'attaque des cyberactifs (CAASM) ? 

La CAASM fournit une vue globale complète et à jour des actifs internes et externes de l’entreprise, comme les postes client, les serveurs, les périphériques et les applications. Pour offrir cette visibilité, les produits CAASM collectent des données auprès de sources internes existantes, comme les outils de découverte des actifs, de gestion des actifs IT, de sécurité des postes client, de gestion des vulnérabilités et de gestion des correctifs, ainsi qu’à partir des systèmes de gestion des tickets, via des intégrations API.

Les données recueillies sont automatiquement agrégées, normalisées et dédupliquées, puis centralisées au sein d'une interface utilisateur. Le département IT et les équipes de sécurité n’ont plus besoin de rassembler ni de rapprocher manuellement les données sur les actifs. Avec ces produits CAASM, les équipes peuvent aussi lancer des requêtes sur les données collectées, identifier les vulnérabilités de sécurité, repérer les failles des contrôles de sécurité et résoudre des problèmes.

Gartner affirme que moins de 1 % des entreprises avaient implémenté des fonctions CAASM en 2022, mais prévoit que 20 % en auront d’ici à 2026. L’adoption lente s’expliquerait par deux facteurs : si la CAASM repose sur des technologies existantes, elle n’en remplace aucune ; et le nombre limité de fournisseurs sur le marché CAASM à l'heure actuelle.

Qu'est-ce que la gestion de la surface d'attaque externe (EASM) ? 

Comme l’indique son nom complet, l’EASM se focalise sur la gestion de la surface d'attaque externe de l’entreprise. Elle emploie des processus, des technologies et des services gérés pour découvrir les actifs et systèmes tournés vers Internet, ainsi que les vulnérabilités associées.

Parmi les actifs et systèmes externes que l’EASM met au jour, citons les applications Web, les protocoles Internet (IP), les noms de domaine, les certificats Secure Sockets Layer (SSL) et les services Cloud. De plus, l’EASM fait remonter les vulnérabilités, notamment les informations d’authentification ou les serveurs exposés, les erreurs de configuration des services de Cloud public, les données divulguées sur le Deep Web et le Dark Web, et les vulnérabilités du code logiciel tiers.

Outre la découverte des actifs, les produits EASM offrent souvent d’autres fonctions, notamment :

  • L'analyse externe active des environnements Cloud, IT, IoT et OT. 
  • L'analyse des actifs pour déterminer les risques, les vulnérabilités ou les comportements anormaux.
  • La priorisation des actifs selon l’impact commercial, la probabilité d’exploitation par un pirate et d’autres facteurs.
  • Le workflow de remédiation et les intégrations d'outils tiers avec les systèmes de tickets, les solutions d’orchestration, d’automatisation et de réponse (SOAR) et d’autres outils. 

Les principaux avantages de l’EASM résident dans sa capacité à offrir une visibilité sur les actifs numériques inconnus et à fournir une perspective externe sur la surface d’attaque externe de l’entreprise. Ces atouts ont aidé 31 % des entreprises dotées d’une solution EASM à repérer des données sensibles exposées à leur insu, 30 % à découvrir des actifs Web inconnus ou hébergés par des tiers, et 29 % à débusquer des erreurs de configuration et des systèmes vulnérables inconnus.

Les avantages de l'EASM ont également conduit 34 % des entreprises à déployer une offre EASM spécifique. Comme dans le cas de la CAASM, les solutions EASM ne remplacent pas les technologies existantes, ce qui entraîne de nouvelles dépenses, et elles sont rares sur le marché. Cependant, à la différence de la CAASM, les produits EASM ne dépendent d’aucune technologie existante pour fonctionner, ce qui facilite leur adoption.

Que sont les services de protection contre les risques numériques (DRPS) ? 

Une solution DRPS combine des technologies et des services pour protéger les actifs et données numériques contre les menaces externes. Pour ce faire, elle étend la détection et la surveillance au-delà du périmètre de l’entreprise (jusqu’au Web ouvert, au Deep Web, au Dark Web, aux réseaux sociaux et aux marketplaces d’applis) pour rechercher les menaces visant les ressources numériques des entreprises comme les adresses IP, les domaines et les actifs liés à la marque.

Plus les entreprises augmentent leurs activités en ligne, plus les équipes de sécurité doivent absolument adopter des fonctions DRPS et s'intéresser aux menaces situées en dehors du périmètre du réseau de l’entreprise.

Selon Gartner, les produits DRPS ne se contentent pas d’identifier les menaces. Ils fournissent du renseignement exploitable sur les pirates, ainsi que sur les outils, tactiques et processus qu’ils utilisent dans leurs activités malveillantes. De plus, le DRPS permet aux équipes Sécurité d’atténuer les menaces actives en combinant les forces de l’humain, des processus et des technologies. Il permet aussi de mener les opérations nécessaires pour repousser les menaces futures et protéger les actifs numériques.

Dans son rapport « 2022 Hype Cycle for Security Operations », Gartner affirmait que le DRPS devrait, d’ici deux à cinq ans, atteindre la dernière phase clé du cycle de vie d’une technologie. Cette phase, appelée « plateau de productivité » s'articule comme suit :

« L’adoption généralisée de la technologie commence à décoller. Les critères d’évaluation de la viabilité des prestataires sont plus clairement définis. La large applicabilité et la pertinence de la technologie sur le marché portent clairement leurs fruits. »

Les retards dans l’adoption du DRPS et des autres solutions ASM (CAASM et EASM, par exemple) peuvent sans doute être attribués au fait que le marché a une perception confuse des différences entre ces solutions. Nous allons clarifier ces notions dans la prochaine section.

Quelle est la différence entre CAASM, EASM et DRPS ? 

La CAASM, l’EASM et le DRPS sont tous des composants de l’ASM. De plus, toutes ces techniques touchent à la gestion des actifs de sécurité et à la priorisation des incidents. Ces similarités expliquent que l’on confond souvent les différentes solutions.

Le tableau suivant met en lumière les différences entre CAASM, EASM et DRPS pour vous aider à les distinguer :

Fonction CAASM EASM DRPS
Domaine cible Actifs et vulnérabilités  Actifs externes Risques numériques

Actifs concernés
  • Postes client
  • Serveurs
  • Périphériques
  • Applications
  • Applications Web
  • Adresses IP
  • Noms de domaine
  • Certificats SSL
  • Services Cloud
  • Adresses IP
  • Domaines
  • Actifs relatifs à la marque
Composition
  • Technologie
  • Technologie
  • Services
  • Processus
  • Technologie
  • Services
Fonctionnalités
  • Collecte, agrégation, normalisation, déduplication et présentation des données
  • Requêtes sur les données collectées
  • Identification des vulnérabilités de sécurité
  • Repérage des failles dans les contrôles de sécurité
  • Résolution des problèmes
  • Découverte des actifs
  • Utilisation d'une analyse externe active des environnements Cloud, IT, IoT et OT
  • Analyse des actifs
  • Priorisation des actifs
  • Exploitation du workflow de remédiation
  • Intégration avec les systèmes de gestion des tickets tiers, les solutions SOAR et d'autres outils
  • Détection et surveillance des menaces hors du périmètre de l'entreprise
  • Obtention de renseignements exploitables sur les pirates
  • Atténuation des menaces actives 
  • Exécution des opérations nécessaires pour repousser les menaces futures et protéger les actifs numériques
Sources de données

Collecte passive des données via des intégrations d'API avec les outils internes existants :

  • Découverte des actifs
  • ITAM
  • Sécurité du poste client
  • Gestion des vulnérabilités
  • Gestion des correctifs
  • Systèmes de tickets

En général, les outils CAASM collectent aussi des données auprès des outils DRPS et EASM.
  • Analyses actives à l'échelle d'Internet exécutées par l'EASM
  • DNS passif
  • WHOIS

Surveillance de :

  • Web ouvert
  • Deep Web
  • Dark Web
  • Réseaux sociaux
  • Marketplaces d'applis

Exemples de fournisseurs
  • Axonius
  • Balbix
  • JupiterOne
  • Lansweeper
  • Lucidum
  • Noetic Cyber
  • OctoXLabs
  • Panaseer
  • Qualys
  • Resmo
  • runZero
  • Scrut Automation
  • Sevco
  • ThreatAware
  • C2SEC
  • Censys
  • Cyberpion
  • CyCognito
  • FireCompass
  • Palo Alto Networks (Cortex Xpanse)
  • Pentera
  • Randori
  • Reposify
  • RiskIQ (une entreprise Microsoft)
  • BlueVoyant
  • CloudSEK
  • Digital Shadows
  • Group-IB
  • GroupSense
  • HelpSystems (PhishLabs)
  • IntSights (une entreprise Rapid7)
  • SafeGuard Cyber
  • ZeroFox

À l’avenir, les différences entre ces solutions vont peut-être s’estomper. Gartner prévoit que, d’ici à 2026, 70 % de toutes les fonctions CAASM, EASM et DRPS seront intégrées aux plateformes de sécurité élargies qui existent déjà, et non plus proposées par des fournisseurs distincts comme aujourd’hui.

Existe-t-il d'autres choix que les offres ASM pour identifier les surfaces d'attaque numériques ?

La nécessité pour les entreprises d’identifier et de gérer leur surface d’attaque numérique ne date pas de l’arrivée des solutions ASM. À la place de ces solutions, les entreprises suivent depuis longtemps d’autres approches pour y parvenir :

Approche utilisée à la place d'une solution ASM Description Atouts Inconvénients
Outils de découverte des actifs Repérage et inventaire des actifs matériels et logiciels qui se connectent à votre réseau. Déjà déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.

Comportent souvent des angles morts, comme le Shadow IT, les systèmes tiers et les applications métier.
Simulation de fuites de données et d'attaques (BAS) Test automatique des vecteurs de menaces pour vraiment comprendre les vulnérabilités de sécurité et valider les contrôles de sécurité. Création de rapports sur les écarts de sécurité et priorisation de la remédiation en fonction des risques. Se concentre seulement sur les attaques connues. N'assure pas la remédiation.
Gestion de la sécurité du Cloud (CSPM)

Appréhension des conséquences des changements des configurations Cloud.

 Capacité de comprendre les changements des configurations Cloud.

Ne signale pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
Base de données de gestion des configurations (CMDB) Suivi des changements apportés aux systèmes. Déjà déployée dans la plupart des entreprises. Permet de savoir quand des changements de configuration sont effectués. Ne signale pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
Approche maison Combinaison de feuilles de calcul, de scripts et de processus manuels pour gérer la surface d’attaque. Bon marché, voire gratuit du point de vue des dépenses (si l’on exclut les heures de travail des analystes).

Chronophage et source d’erreurs. Non évolutif ni en temps réel.
Gestion des actifs IT (ITAM) Suivi et surveillance des actifs tout au long de leur cycle de vie. Déjà déployée dans la plupart des entreprises. Mieux que les feuilles de calcul. Traite uniquement les actifs connus et gérés, et exclut les facettes inconnues ou non gérées de la surface d’attaque..
Tests d’intrusion (comme les outils de tests d’intrusion automatisés ou en SaaS) Identifier les vulnérabilités de votre réseau et de vos applications en simulant une cyberattaque. Fournit des exemples de postures de sécurité avec les priorités budgétaires associées. Traite uniquement la première phase du modèle Cyber Kill Chain : la reconnaissance. De plus, les résultats sont généralement ponctuels, et leur qualité est égale à celle des consultants en intrusion qui réalisent la simulation.
Red Teaming

Fournit une image complète du niveau de cybersécurité de l'entreprise en mettant en scène une simulation de cyberattaque visant les réseaux, les applications, les protections physiques et les collaborateurs.

 Au-delà des tests d'intrusion, s’intéresse aux autres phases de la Cyber Kill Chain ; et au-delà de la surface d’attaque numérique, touche aux surfaces d’attaque physique et humaine. Les résultats sont généralement ponctuels, et leur qualité égale à celle des personnes qui réalisent la simulation.
Threat Intelligence (renseignement sur les menaces) Accès à des informations sur les menaces et autres problèmes de cybersécurité. Fournit aux experts de sécurité du renseignement sur les menaces et les vulnérabilités.  S'adresse à des entreprises aux opérations de sécurité très matures qui allient personnel qualifié et importantes ressources.
Outils de gestion des vulnérabilités (comme les scanners) Identifier et gérer les vulnérabilités de votre infrastructure et de vos applications. Déjà déployé dans la plupart des entreprises.  Aucune visibilité sur les actifs inconnus. Énormes volumes de données.

Bien que ces technologies, services et autres approches n’offrent pas toujours toutes les fonctions et les avantages des solutions CAASM, EASM et DRPS dédiées, la plupart ont leur place dans les pratiques IT et de sécurité d’une entreprise. De fait, les outils CAASM ne fonctionnent pas sans les données issues des outils de découverte des actifs, d’ITAM, de gestion des vulnérabilités et/ou de gestion des correctifs.

De même, d'après Gartner, l'EASM complète certains des services et technologies répertoriés ci-dessus. Il s’agit notamment du renseignement sur les menaces et de différents types de tests de sécurité, comme les simulations de violation et d’attaque, les tests d’intrusion en SaaS ou automatisés, et des outils de Red Teaming.

Comment identifier la surface d'attaque physique de mon entreprise ?

Le premier composant majeur de la surface d'attaque physique d'une entreprise est ce que l'on pourrait appeler la surface d'attaque des postes client. Elle est principalement constituée des postes client qui se connectent au réseau de l'entreprise : ordinateurs de bureau, ordinateurs portables, périphériques mobiles et périphériques IoT.

Heureusement, cette composante de la surface d'attaque physique peut être identifiée via n'importe quel outil CAASM servant à identifier les mêmes éléments dans la surface d'attaque numérique, ce qui évite tout achat de nouvelles technologies. Les outils de découverte des actifs et d'ITAM sont également des solutions, même s'ils sont moins performants.

Le second composant majeur de la surface d'attaque physique d'une entreprise est constitué de ses bureaux, ses data centers et autres installations. Là encore, heureusement, les techniques déjà utilisées pour l'identification de la surface d'attaque numérique couvrent aussi celles de la surface d'attaque physique. Dans ce cas, il s'agit du composant tests d'intrusion physique du Red Teaming. 

Comment identifier la surface d'attaque humaine de mon entreprise ?

Appréhender votre surface d’attaque humaine commence par l’examen de votre organigramme. Toute personne associée à votre entreprise qui a la capacité d’accéder à ses informations sensibles (ou d’empêcher d’autres d’y accéder) peut faire partie de votre surface d’attaque humaine.

Sont inclus non seulement vos collaborateurs à plein temps, mais aussi ceux à temps partiel, les membres du conseil d’administration, les sous-traitants, les partenaires, les fournisseurs, les vendeurs, les intérimaires, etc.

Et en plus des personnes actuellement en poste, il faut inclure celles qui les ont occupés par le passé. Le rapport « Repartez sur de nouvelles bases : Rapport sur l'état de la cybersécurité en 2023 » révèle que près de la moitié des professionnels de sécurité soupçonnent (ou affirment) que les informations d'authentification d’anciens collaborateurs et sous-traitants sont toujours actives, ce qui signifie qu'ils ont toujours accès aux systèmes et données de l’entreprise.

La complexité réside dans le fait que ce ne sont pas les humains eux-mêmes mais leurs actions – ou leur inaction – qui constituent la surface d’attaque humaine. Ces comportements sont difficiles à repérer parce qu’ils se produisent rapidement et à l'abri des regards, en particulier avec l'essor du télétravail.

Le Red Teaming, pratique visant à repérer les éléments des surfaces d’attaque numérique et physique, peut aussi servir à identifier un composant majeur de la surface d’attaque humaine : la sensibilité des collaborateurs à l'ingénierie sociale. Pour ce faire, l'équipe rouge (Red Team) tente de manipuler les collaborateurs pour leur arracher des informations sensibles, comme des informations d’authentification, par hameçonnage – mail (phishing), SMS (smishing) ou téléphone (vishing) –  ou d'autres tactiques.

L’attribution de privilèges utilisateur trop larges contribue aussi pour beaucoup à la surface d’attaque humaine. Pour y remedier, il est essentiel d'examiner en détail les systèmes et données accessibles aux personnes constituant cette surface d’attaque humaine, ainsi que les niveaux d’accès qui leur sont attribués.

L'identification de la plupart des autres composantes de la surface d’attaque humaine repose sur la responsabilisation et la vigilance des collaborateurs. Par exemple, un collaborateur peut faire remarquer à un collègue qu'il a écrit son mot de passe sur un post-it collé à l'écran, ou alerter qu'une porte arrière d’un bâtiment a été laissée en position ouverte par un chauffagiste.

Ce collaborateur doit poliment avertir ces personnes qu’elles ne respectent pas les meilleures pratiques de sécurité (ni le règlement interne, probablement) et leur demander de rectifier leurs actions. Si nécessaire, il doit aussi en référer à l’équipe Sécurité de l’entreprise.

Vous avez identifié la surface d'attaque de votre entreprise... et maintenant ?

Grâce aux informations données dans cet article, vous avez les clés pour identifier les surfaces d’attaque numérique, physique et humaine de votre entreprise. Une fois cette visibilité obtenue, il sera temps de passer à l’étape suivante : réduire au maximum votre surface d’attaque.

Dans l'article « Les 8 meilleures pratiques pour réduire la surface d'attaque de votre entreprise », vous découvrirez les technologies et tactiques utiles pour diminuer la surface d’attaque de votre entreprise.