Notre page de glossaire sur les surfaces d'attaque définit les termes associés à ce concept. Cette publication fournit des informations qui aident votre entreprise à identifier sa surface d'attaque. 

Tout comme votre pelouse après la pluie, votre surface d'attaque grandit rapidement si elle reste sans surveillance. Et l'augmentation de la taille de la surface d'attaque renforce les risques de cybersécurité. Il est impossible d'éliminer ce risque, parce que les surfaces d'attaque évoluent sans cesse, mais il faut le gérer avec soin. 

Comment identifier la surface d'attaque de mon entreprise ?

Pour gérer ce risque, il faut commencer par identifier la surface d'attaque de votre entreprise. Plus spécifiquement, vous devez identifier ce qui rôde sous la surface : les postes client, les vulnérabilités et autres vecteurs d'attaque qui exposent votre environnement. 

Pour citer les contrôles de sécurité critiques (CSC) CIS v8 : « Les entreprises ne peuvent pas protéger ce qu'elles ne savent pas posséder. » Mais comment sait-on ce que l'on possède ? Si vous (ou l'un des membres de votre équipe) vous posez cette question, vous êtes au bon endroit. 

À la fin de cette publication, vous aurez trouvé les réponses à ces questions et vous comprendrez mieux comment identifier la surface d'attaque de votre entreprise à l'aide des meilleures pratiques modernes : 

Comment identifier la surface d'attaque numérique de mon entreprise ?

L'identification de votre surface d'attaque numérique peut s'avérer difficile avec les outils et pratiques traditionnels, surtout que cette surface semble s'étendre de façon exponentielle chaque année. Heureusement, les fournisseurs de technologies et de services se mobilisent pour répondre à ce mouvement avec des offres de gestion de la surface d'attaque (ASM). 

Gestion de la surface d'attaque (ASM) 

Il est essentiel d'améliorer la visibilité des actifs IT déployés dans toute votre entreprise (ainsi que de leur exposition et des risques associés) pour vraiment renforcer la cybersécurité. Les principaux cadres réglementaires de sécurité le confirment. Par exemple, la principale fonction du cadre NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) version 1.1 est l'identification. Le NIST stipule « Les activités liées à l'identification constituent les bases d'une utilisation efficace de ce cadre ». De même, la liste Contrôles CIS v8 inclut les contrôles suivants : 

  • Contrôle 1 : Inventaire et contrôle des actifs d'entreprise 
  • Contrôle 2 : Inventaire et contrôle des actifs logiciels 
  • Contrôle 7 : Gestion en continu des vulnérabilités 

Ce type de visibilité est également essentiel pour définir votre surface d'attaque numérique. Malheureusement, les entreprises se battent depuis longtemps pour obtenir un haut niveau de visibilité.

Une étude de Randori et de l'ESG (Enterprise Strategy Group) montre que les entreprises comptent, en moyenne, 30 % plus d'actifs exposés que ce qu'indiquent les programmes traditionnels de gestion des actifs. Ce chiffre devrait augmenter si les entreprises n'agissent pas comme le prévoit Gartner : 75 % des collaborateurs vont acheter, modifier ou créer une technologie qui échappera à la visibilité du département IT d'ici 2027. 

Les entreprises doivent combler l'écart entre le nombre d'actifs exposés à la vue des pirates et le nombre d'actifs qu'elles connaissent. Elles doivent supprimer ces angles morts et les technologies non gérées de leur environnement. C'est exactement ce que fait l'ASM. D'après Gartner, l'ASM vise à répondre à la question suivante : « À quoi ressemble mon entreprise du point de vue d'un pirate, et comment trouver et prioriser les problèmes que les pirates vont viser en premier ? » 

Qu'est-ce que la gestion de la surface d'attaque (ASM) ? 

En adoptant le point de vue des pirates, l'ASM permet aux équipes Sécurité d'obtenir une bonne visibilité des actifs sur lesquels le département IT manque de gouvernance et de contrôle, comme le Shadow IT, les systèmes tiers et les applications métier.

Pour ce faire, il combine des personnes, des processus, des technologies et des services pour découvrir, inventorier et gérer en continu les actifs internes et externes d'une entreprise. Ce faisant, l'ASM s'assure que toutes les expositions nouvellement identifiées sont traitées avant de pouvoir être exploitées par des acteurs malveillants. 

L'ASM comprend trois facettes : la gestion de la surface d'attaque des cyberactifs (CAASM), la gestion de la surface d'attaque externe (EASM) et les services de protection contre les risques numériques (DRPS). Chacun de ces domaines se concentre sur un cas d'usage spécifique : La CAASM pour les actifs et les vulnérabilités, l'EASM pour les actifs externes et le DRPS pour les actifs numériques.

Combinées, leurs fonctions apportent une aide précieuse aux 47 % de professionnels de la sécurité interrogés lors de l'étude Ivanti « Government Cybersecurity Status Report » (État de la cybersécurité des gouvernements), qui disent manquer de visibilité sur tous les utilisateurs, périphériques, applications et services résidant sur leurs réseaux. 

Qu'est-ce que la gestion de la surface d'attaque des cyberactifs (CAASM) ? 

La CAASM fournit une vue globale complète et à jour des actifs internes et externes d'une entreprise, comme les postes client, les serveurs, les périphériques et les applications. Pour assurer cette visibilité, les produits CAASM collectent des données auprès de sources internes existantes, comme les outils de découverte des actifs, de gestion des actifs IT, de sécurité des postes client, de gestion des vulnérabilités et de gestion des correctifs, ainsi qu'à partir de systèmes de gestion des tickets, via des intégrations API.

Les données collectées sont automatiquement réunies, normalisées et dédupliquées, puis présentées au sein d'une interface utilisateur unique. Le département IT et les équipes de sécurité n'ont plus besoin de collecter et de rapprocher manuellement des données d'actif. Les produits CAASM permettent aussi à ces équipes de lancer des requêtes sur les données collectées, d'identifier les vulnérabilités de sécurité, de repérer les failles des contrôles de sécurité et de résoudre les problèmes. 

Gartner affirme que moins de 1 % des entreprises avaient implémenté des fonctions CAASM en 2022 mais l'on prévoit que 20 % en auront d'ici 2026. On pense que l'adoption est lente parce que la CAASM repose sur des technologies existantes mais ne peut en remplacer aucune. C'est aussi probablement en raison du nombre limité de fournisseurs sur le marché CAASM à l'heure actuelle.

Qu'est-ce que la gestion de la surface d'attaque externe (EASM) ? 

Comme l'implique son nom complet, la gestion de la surface d'attaque externe se concentre sur la surface d'attaque externe de l'entreprise ; elle emploie des processus, des technologies et des services gérés pour découvrir les actifs et systèmes tournés vers Internet, en plus des vulnérabilités associées.

Parmi les actifs et systèmes externes que découvre l'EASM, citons les applications Web, les protocoles Internet (IP), les noms de domaine, les certificats Secure Sockets Layer (SSL) et les services Cloud. De plus, l'EASM est capable de découvrir les vulnérabilités, notamment (liste non exhaustive) les références d'authentification ou serveurs exposés, les erreurs de configuration des services de Cloud public, les données divulguées par le Deep Web et le Dark Web, et les vulnérabilités du code logiciel des partenaires tiers.

Outre la découverte des actifs, les produits EASM offrent souvent d'autres fonctions, notamment : 

  • Analyse externe active des environnements Cloud, IT, IoT et OT. 
  • Analyse des actifs pour déterminer s'ils sont risqués, vulnérables ou se comportent de façon anormale.
  • Priorisation des actifs basée sur l'impact commercial, la probabilité d'exploitation par un pirate et d'autres facteurs.
  • Workflow de remédiation et intégration des outils tiers avec les systèmes de tickets, orchestration de la sécurité, solutions d'automatisation et de réponse (SOAR) et autres outils. 

Les principaux avantages de l'EASM sont sa capacité à assurer la visibilité des actifs numériques inconnus et une vue extérieur-intérieur de la surface d'attaque externe de l'entreprise. Ces avantages ont aidé 31 % des entreprises dotées d'une solution EASM à trouver les données sensibles exposées sans qu'elles le sachent, 30 % à découvrir des actifs Web inconnus ou hébergés par des tiers, et 29 % à découvrir des erreurs de configuration et des systèmes vulnérables inconnus. 

Les avantages de l'EASM ont également conduit 34 % des entreprises à déployer une offre EASM dédiée. Comme les produits CAASM, les produits EASM ne remplacent pas les technologies existantes (ce qui signifie qu'ils exigent de nouvelles dépenses) et il en existe très peu sur le marché. Cependant, à la différence de la CAASM, les produits EASM ne dépendent d'aucune technologie existante pour fonctionner, ce qui facilite leur adoption. 

Que sont les services de protection contre les risques numériques (DRPS) ? 

Le DRPS fusionne des technologies et des services pour protéger les actifs et données numériques contre les menaces externes. Pour ce faire, il étend la détection et la surveillance hors du périmètre de l'entreprise (jusqu'à l'Open Web, au Deep Web, au Dark Web, aux réseaux sociaux et aux marketplaces d'applis) pour rechercher les menaces visant les ressources numériques des entreprises, comme les adresses IP, les domaines et les actifs liés à la marque.

À mesure que les entreprises augmentent leurs activités en ligne, il est essentiel que les équipes de sécurité adoptent des fonctions DRPS et voient plus loin que les menaces au sein du réseau de l'entreprise. 

Selon Gartner, les produits DRPS ne se contentent pas d'identifier les menaces. Ils fournissent des informations utiles sur les pirates, ainsi que sur les outils, tactiques et processus qu'ils exploitent pour leurs activités malveillantes. De plus, le DRPS permet aux équipes Sécurité d'atténuer les menaces actives à l'aide d'une combinaison de personnes, de processus et de technologies. Il permet aussi d'exécuter les opérations nécessaires pour repousser les menaces futures et protéger les actifs numériques.

Dans son rapport « 2022 Hype Cycle for Security Operations » (Cycle de battage médiatique 2022 pour les opérations de sécurité), Gartner affirmait que le DRPS devrait, d'ici deux à cinq ans, atteindre la dernière phase clé du cycle de vie d'une technologie. Cette phase (appelée Plateau de productivité) s'articule comme suit :

L'adoption à grande échelle commence à décoller. Les critères d'évaluation de la viabilité des fournisseurs sont plus clairement définis. L'applicabilité et la pertinence de la technologie pour l'ensemble du marché paient vraiment. 

Les retards dans l'adoption du DRPS et des autres solutions ASM (CAASM et EASM, par exemple) peuvent sans doute être attribués à la confusion du marché concernant la différence entre ces solutions. Nous allons dissiper une partie de cette confusion à la prochaine section. 

Quelle est la différence entre CAASM, EASM et DRPS ? 

La CAASM, l'EASM et le DRPS sont tous des composants de l'ASM. De plus, toutes ces techniques se concentrent sur la gestion des actifs de sécurité et la priorisation des incidents. En raison de ces similarités, l'on confond souvent ces différentes solutions sur le marché.

Le tableau suivant met en lumière les différences entre CAASM, EASM et DRPS pour vous aider à les distinguer : 

Fonction/Fonctionnalité CAASM EASM DRPS
Domaine cible Actifs et vulnérabilités  Actifs externes Risques numériques

Actifs concernés
  • Postes client
  • Serveurs
  • Périphériques
  • Applications
  • Applications Web
  • Adresses IP
  • Noms de domaine
  • Certificats SSL
  • Services Cloud
  • Adresses IP
  • Domaines
  • Actifs relatifs à la marque
Composition
  • Technologie
  • Technologie
  • Services
  • Processus
  • Technologie
  • Services
Fonctionnalités
  • Collecte, regroupement, normalisation, déduplication et présentation des données
  • Requêtes sur les données collectées
  • Identification des vulnérabilités de sécurité
  • Repérage des failles dans les contrôles de sécurité
  • Résolution des problèmes
  • Découverte des actifs
  • Utilisation d'une analyse externe active des environnements Cloud, IT, IoT et OT
  • Analyse des actifs
  • Priorisation des actifs
  • Exploitation du workflow de remédiation
  • Intégration avec les systèmes de gestion des tickets tiers, les solutions SOAR et d'autres outils
  • Détection et surveillance des menaces hors du périmètre de l'entreprise
  • Obtention d'informations utiles concernant les pirates
  • Atténuation des menaces actives 
  • Exécution des opérations nécessaires pour repousser les menaces futures et protéger les actifs numériques
Sources de données

Collecte passive des données via des intégrations d'API avec les outils internes existants :

  • Découverte des actifs
  • ITAM
  • Sécurité du poste client
  • Gestion des vulnérabilités
  • Gestion des correctifs
  • Systèmes de tickets

En général, les outils CAASM collectent aussi des données auprès des outils DRPS et EASM.
  • Analyse actives à l'échelle d'Internet exécutées par l'EASM
  • DNS passif
  • WHOIS

Surveillance de :

  • Open Web
  • Deep Web
  • Dark Web
  • Réseaux sociaux
  • Marketplaces d'applis

Exemples de fournisseurs
  • Axonius
  • Balbix
  • JupiterOne
  • Lansweeper
  • Lucidum
  • Noetic Cyber
  • OctoXLabs
  • Panaseer
  • Qualys
  • Resmo
  • runZero
  • Scrut Automation
  • Sevco
  • ThreatAware
  • C2SEC
  • Censys
  • Cyberpion
  • CyCognito
  • FireCompass
  • Palo Alto Networks (Cortex Xpanse)
  • Pentera
  • Randori
  • Reposify
  • RiskIQ (une entreprise Microsoft)
  • BlueVoyant
  • CloudSEK
  • Digital Shadows
  • Group-IB
  • GroupSense
  • HelpSystems (PhishLabs)
  • IntSights (une entreprise Rapid7)
  • SafeGuard Cyber
  • ZeroFox

À l'avenir, les différences entre ces solutions ne seront peut-être plus importantes. Gartner prévoit que, d'ici 2026, 70 % de toutes les fonctions CAASM, EASM et DRPS seront intégrées aux plateformes de sécurité plus larges qui existent déjà, et non plus proposées par des fournisseurs distincts comme aujourd'hui.

Existe-t-il d'autres choix que les offres ASM pour identifier les surfaces d'attaque numériques ?

La nécessité pour les entreprises d'identifier et de gérer leur surface d'attaque numérique date d'avant l'arrivée des solutions ASM. À la place de ces solutions, les entreprises ont utilisé (et continue de le faire) d'autres approches pour y parvenir :

Approche utilisée à la place d'une solution ASM Description Pour Contre
Outils de découverte des actifs Repérer et inventorier les actifs matériels et logiciels qui se connectent à votre réseau.  Déjà déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.

Comportent souvent des angles morts, comme le Shadow IT, les systèmes tiers et les applications métier.
Simulation de fuites de données et d'attaques (BAS) Test automatique des vecteurs de menaces pour vraiment comprendre les vulnérabilités de sécurité et valider les contrôles de sécurité. Génération de rapports sur les faiblesses de sécurité et priorisation de la remédiation basée sur les risques. Se concentre seulement sur les attaques connues. N'assure pas la remédiation.
Gestion de la sécurité du Cloud (CSPM)

Compréhension des changements des configurations Cloud.

 Possibilité de comprendre les changements des configurations Cloud.

Ne signale pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
Base de données de gestion des configurations (CMDB) Suivi des changements apportés aux systèmes. Déjà déployée dans la plupart des entreprises. Savoir quand des changements de configuration sont effectués. Ne signale pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
Approche locale Combiner des feuilles de calcul, des scripts et des processus manuels pour gérer la surface d'attaque. Bon marché, voire même gratuit du point de vue des coûts (si l'on oublie les heures de travail des analystes).

Très long et sujet aux erreurs. Non évolutif ni en temps réel.
Gestion des actifs IT (ITAM) Suivi et surveillance des actifs tout au long de leur cycle de vie. Déjà déployée dans la plupart des entreprises. Mieux que les feuilles de calcul. Traite uniquement les actifs connus et gérés, en oubliant les facettes inconnues ou non gérées de la surface d'attaque.
Tests de pénétration (comme les outils de tests de pénétration automatisés ou les tests de pénétration en SaaS)  Identifier les vulnérabilités de votre réseau et de vos applications en simulant une cyberattaque. Fournit des exemples de niveau de sécurité avec les priorités budgétaires associées. Traite uniquement la première phase de la chaîne de cyberdestruction : la reconnaissance. De plus, les résultats sont généralement ponctuels, et leur qualité est limitée à celle des testeurs de pénétration qui réalisent la simulation.
Red Teaming

Fournit une image complète du niveau de cybersécurité de l'entreprise en mettant en scène une simulation de cyberattaque visant les réseaux, les applications, les protections physiques et les collaborateurs.

 Va plus loin que les tests de pénétration, en se concentrant sur les autres phases de la chaîne de cyberdestruction. Va aussi au-delà de la surface d'attaque numérique, en examinant les surfaces d'attaque physique et humaine. Les résultats sont généralement ponctuels, et leur qualité est limitée à celle des testeurs de pénétration qui réalisent la simulation.
Intelligence des menaces Accès à des informations sur les menaces et autres problèmes de cybersécurité. Fournit aux experts de sécurité des informations sur les menaces et les vulnérabilités.  Orienté vers les entreprises, avec des opérations de sécurité très matures qui regroupent du personnel qualifié et d'importantes ressources.
Outils de gestion des vulnérabilités (comme les scanners) Identifier et gérer les vulnérabilités de votre infrastructure et de vos applications. Déjà déployé dans la plupart des entreprises.  Aucune visibilité des actifs inconnus. Énormes quantités de données.

Bien que ces technologies, services et autres approches n'offrent pas toujours toutes les fonctions et les avantages des solutions CAASM, EASM et DRPS spécialement conçues, la plupart ont quand même leur place dans les pratiques IT et de sécurité d'une entreprise. En fait, les outils CAASM ne fonctionnent pas sans les données des outils de découverte des actifs, d'ITAM, de gestion des vulnérabilités et/ou de gestion des correctifs.

De même, d'après Gartner, l'EASM complète certains des services et technologies répertoriés ci-dessus. Il s'agit notamment de l'intelligence des menaces et de différents types de test de sécurité, comme les simulations de fuite de données et d'attaque, les tests de pénétration en SaaS, ainsi que les tests de pénétration automatisés et les outils de Red Teaming.

Comment identifier la surface d'attaque physique de mon entreprise ?

Le premier composant majeur de la surface d'attaque physique d'une entreprise est ce que l'on pourrait appeler la surface d'attaque des postes client. Elle est principalement constituée des postes client qui se connectent au réseau de l'entreprise : ordinateurs de bureau, ordinateurs portables, périphériques mobiles et périphériques IoT.

Heureusement, cette composante de la surface d'attaque numérique peut être identifiée via n'importe quel outil CAASM servant à identifier les mêmes éléments dans la surface d'attaque numérique, ce qui évite tout achat de nouvelles technologies. Les outils de découverte des actifs et d'ITAM sont également des solutions, même s'ils sont moins performants.

Le second composant majeur de la surface d'attaque physique d'une entreprise correspond à ses bureaux, ses centres de données et autres installations. Là encore, heureusement, les techniques déjà utilisées pour l'identification de la surface d'attaque numérique chevauchent celles servant à identifier la surface d'attaque physique. Dans ce cas, il s'agit du composant tests de pénétration physiques du Red Teaming. 

Comment identifier la surface d'attaque humaine de mon entreprise ?

L'identification de votre surface d'attaque humaine commence par l'examen de votre organigramme. Toute personne associée à votre entreprise qui a la capacité d'accéder à ses informations sensibles (ou d'empêcher d'autres personnes d'accéder à ces informations) peut contribuer à votre surface d'attaque humaine.

Cela inclut non seulement vos collaborateurs à plein temps, mais aussi les collaborateurs à temps partiel, les membres du conseil d'administration, les sous-traitants, les partenaires, les fournisseurs, les vendeurs, les intérimaires, et d'autres.

Et surtout, cela inclut à la fois les personnes occupant actuellement ces postes et celles qui détenaient ces rôles par le passé. Le rapport « Press Reset: A 2023 Cybersecurity Status Report » (Appuyons sur Reset : Rapport sur l'état de la cybersécurité en 2023) montre que près de la moitié des professionnels de sécurité disent soupçonner (voire être sûrs) que d'anciens collaborateurs et sous-traitants sont toujours actifs, ce qui leur permet d'accéder aux systèmes et données de l'entreprise.

La difficulté, c'est que ce ne sont pas les humains en eux-mêmes mais leurs actions (ou leur inaction) qui constituent la surface d'attaque humaine. Ces actions et cette inaction sont difficiles à repérer, parce qu'elles se produisent souvent sur le moment et hors de la vue des autres personnes, surtout (et de plus en plus) avec l'augmentation du télétravail.

Le Red Teaming, pratique visant à identifier les éléments des surfaces d'attaque numérique et physique, peut aussi servir à identifier un composant majeur de la surface d'attaque humaine : la sensibilité des collaborateurs à l'ingénierie sociale. Pour ce faire, les équipes de Red Teaming tentent de manipuler les collaborateurs pour leur faire divulguer des informations sensibles, comme des références d'authentification d'accès, via l'hameçonnage, le smishing, le vishing, entre autres tactiques.

Une affectation inappropriée de privilèges utilisateur contribue aussi beaucoup à la surface d'attaque humaine. Une autre méthode permettant d'identifier des éléments de cette surface consiste à passer en revue les systèmes et données auxquels les personnes susceptibles de contribuer à votre surface d'attaque humaine peuvent accéder, ainsi que les niveaux d'accès dont ils disposent.

Pour identifier la plupart des composantes de la surface d'attaque humaine, il faut que les collaborateurs soient vigilants face aux problèmes et demandent des comptes aux autres. Par exemple, un collaborateur s'aperçoit qu'un autre a écrit son mot de passe sur un post-it et l'a collé sur son écran, ou bien qu'un chauffagiste a bloqué la porte arrière d'un bâtiment en position ouverte.

Ce collaborateur doit poliment avertir ces autres personnes qu'elles ne respectent pas les meilleures pratiques de sécurité (ni les stratégies de l'entreprise, probablement) et leur demander de corriger leurs actions. Si nécessaire, il doit aussi faire appel à l'équipe Sécurité de l'entreprise.

Vous avez identifié la surface d'attaque de votre entreprise... et maintenant ?

Avec les informations de la présente publication, vous devriez être bien engagé sur la voie de l'identification des surfaces d'attaque numérique, physique et humaine de votre entreprise. Une fois cette visibilité obtenue, il est temps de passer à l'étape suivante : minimiser votre surface d'attaque.

Lisez le document « Les 8 meilleures pratiques pour réduire la surface d'attaque de votre entreprise » pour découvrir les technologies et les tactiques que votre entreprise peut employer pour diminuer sa surface d'attaque.

Comment identifier la surface d'attaque de votre entreprise L'identification de la surface d'attaque de votre entreprise peut s'avérer difficile. Cette publication contient des informations qui vous aideront à identifier et à évaluer la surface d'attaque de votre entreprise.