L'augmentation de la surface d'attaque renforce les risques de cybersécurité. Donc en toute logique, la réduction de la surface d'attaque devrait limiter les risques de cybersécurité.

Bien que certaines solutions de gestion de la surface d'attaque proposent des fonctions de remédiation qui soutiennent ces efforts, ce type de remédiation est purement réactif. Comme pour tout ce qui touche à la sécurité et à la gestion des risques, il vaut mieux être proactif.

La bonne nouvelle, c'est que les solutions ASM (Gestion de la surface d'attaque) ne sont pas les seules armes dont disposent les équipes de sécurité pour réduire la surface d'attaque. Une entreprise peut prendre de nombreuses mesures pour réduire l'exposition de son environnement IT et prévenir les cyberattaques.

Comment réduire la surface d'attaque de mon entreprise ?

Malheureusement pour vous, mais à la plus grande satisfaction des acteurs malveillants, vous ne pourrez pas éliminer totalement votre surface d'attaque. Toutefois, vous pourrez la réduire considérablement en applicant des contrôles de sécurité basés sur les meilleures pratiques :

  1. Réduire la complexité
  2. Adopter une stratégie Zero Trust pour le contrôle des accès logiques et physiques

  3. Passer à la gestion des vulnérabilités basée sur les risques (RBVM)

  4. Implémenter la segmentation et microsegmentation réseau

  5. Renforcer la configuration des logiciels et des actifs

  6. Imposer la conformité aux stratégies

  7. Former tous les collaborateurs aux stratégies et meilleures pratiques de cybersécurité

  8. Améliorer l'expérience numérique des collaborateurs (DEX)

Comme l'indique notre entrée de glossaire « surface d'attaque », les différents vecteurs d'attaque peuvent techniquement relever de plusieurs types de surface d'attaque (numérique, physique et/ou humaine). De même, un grand nombre des meilleures pratiques citées ici vous aident à réduire plusieurs types de surface d'attaque.

C'est pourquoi nous avons inclus une liste de contrôle avec chaque pratique, pour indiquer le ou les types de surface d'attaque principalement gérés par la pratique en question.

1. Réduire la complexité

.

Surface d'attaque numérique Surface d'attaque physique Surface d'attaque humaine
X X

.

Réduisez votre surface d'attaque de cybersécurité en simplifiant les opérations. Cela paraît évident, non ? Et c'est le cas. Pourtant, de nombreuses entreprises n'ont toujours pas réussi à exécuter cette étape apparemment simple. Pas parce que ce n'est pas une évidence, mais parce que c'est parfois très difficile à faire.

Une étude Randori et ESG montre que sept entreprises sur 10 ont été compromises par un actif inconnu, non géré ou mal géré qui était connecté à Internet, au cours de l'année écoulée. Les solutions CAASM (Gestion de la surface d'attaque des cyberactifs) permettent à ce type d'entreprise d'identifier tous leurs actifs (y compris les actifs non autorisés et non gérés) afin de pouvoir les sécuriser, les gérer ou même les supprimer du réseau de l'entreprise.

Tous les actifs non utilisés ou inutiles, des périphériques de poste client à l'infrastructure réseau, doivent aussi être supprimés du réseau et correctement exclus.

Le code de vos applications logicielles est également un domaine où la complexité affecte la taille de votre surface d'attaque. Travaillez avec votre équipe Développement pour identifier les opportunités éventuelles de réduction de la quantité de code exposée aux pirates, ce qui vous permettra de réduire aussi votre surface d'attaque.

2. Adopter une stratégie Zero Trust pour le contrôle des accès logiques et physiques

.

Surface d'attaque numérique Surface d'attaque physique Surface d'attaque humaine
X X

.

Le NIST (National Institute of Standards and Technology) définit le Zero Trust comme suit :

≪ Ensemble de concepts et d'idées conçu pour réduire au minimum l'incertitude au moyen de l'application de décisions d'accès précises, par moindre privilège et à la demande, dans les systèmes et services d'information face à un réseau considéré comme compromis. ≫

Autrement dit, pour toutes les demandes d'accès, « Ne jamais faire confiance, toujours vérifier ».

Découvrez comment Ivanti vous aide à adopter les contrôles CSF du NIST, dans le document « The NIST Cybersecurity Framework (CSF): Mapping Ivanti’s Solutions to CSF Controls » 

Adopter une approche Zero Trust du contrôle des accès logiques réduit la surface d'attaque de votre entreprise (et la probabilité de fuites de données) car votre situation et votre conformité sont vérifiées en continu et un accès par moindres privilèges est garanti.

Et même si le Zero Trust n'est pas un produit mais une stratégie, il existe des produits qui vous aident à implémenter une stratégie Zero Trust. Parmi ces produits, les plus performants sont ceux inclus dans la structure SASE (Périphérie de services d'accès sécurisé) :

Et, même si elle n'est généralement pas perçue de cette manière, une stratégie Zero Trust peut s'étendre au-delà du contrôle d'accès logique, jusqu'au contrôle d'accès physique. Quand il s'agit d'accepter quelqu'un dans les zones sécurisées de vos installations, appliquez le principe « Ne jamais faire confiance, toujours vérifier ». Vous pouvez utiliser pour ce faire des mécanismes comme les cartes d'accès et les contrôles biométriques.

3. Passer à la gestion des vulnérabilités basée sur les risques (RBVM)

.

Surface d'attaque numérique Surface d'attaque physique Surface d'attaque humaine
X

.

Commençons par une mauvaise nouvelle : la base de données nationale des vulnérabilités des États-Unis (US NVD) contient plus de 160 000 vulnérabilités notées auxquelles s'ajoutent des dizaines d'autres chaque jour. Maintenant, la bonne nouvelle : la grande majorité de ces vulnérabilités n'ont jamais été exploitées, ce qui signifie qu'elles ne peuvent pas servir à lancer une cyberattaque. Elles ne font donc pas partie de votre surface d'attaque.

En fait, un rapport de recherche sur les ransomwares signé Securin, Cyber Security Works (CSW), Ivanti et Cyware a montré que seulement 180 de ces plus de 160 000 vulnérabilités faisaient l'objet d'exploitations en vogue.

Comparaison du nombre total de vulnérabilités NVD et de celles qui mettent vraiment une entreprise en danger

Environ 0,1 % seulement de toutes les vulnérabilités connues aux États-Unis font l'objet d'exploitations actives qui présentent un risque immédiat pour une entreprise.

L'approche traditionnelle de la gestion des vulnérabilités qui s'appuie sur les scores de risque Common Vulnerability Scoring System (CVSS), obsolètes et statiques, ne peut pas classifier avec précision les vulnérabilités exploitées. Et bien que le catalogue KEV (Vulnérabilités dont l'exploitation est connue) de la CISA (Cybersecurity & Infrastructure Security Agency) soit un pas dans la bonne direction, il est incomplet et ne tient pas compte de la criticité des actifs dans l'environnement d'une entreprise.

Il faut une vraie approche basée sur les risques. Le RBVM (Gestion des risques basée sur les vulnérabilités), comme son nom l'indique, est une stratégie de cybersécurité qui priorise la remédiation des vulnérabilités en fonction des risques qu'elles représentent pour l'entreprise.

Lisez notre document « Le guide ultime pour la gestion des correctifs basée sur les
risques
» et découvrez comment faire évoluer votre stratégie de remédiation vers une approche basée sur les risques.

Les outils RBVM collectent les données des scanners de vulnérabilités, des tests de pénétration, des outils de Threat Intelligence et d'autres sources de sécurité, et les utilisent pour mesurer les risques et prioriser les opérations de remédiation.

Grâce à l'intelligence qu'apporte leur outil RBVM, les entreprises peuvent alors s'attaquer à la réduction de leur surface d'attaque, en corrigeant les vulnérabilités les plus dangereuses pour elles. Le plus souvent, cela implique d'appliquer les correctifs des vulnérabilités exploitées côté infrastructure et de corriger le code vulnérable dans la pile d'applications.

4. Implémenter la segmentation et microsegmentation réseau

.

Surface d'attaque numérique Surface d'attaque physique Surface d'attaque humaine
X

.

Une fois encore, voyons ce que dit le glossaire NIST. La segmentation réseau y est définie comme suit :

Diviser un réseau en sous-réseaux, par exemple en créant des zones distinctes sur le réseau qui sont protégées par des pare-feux configurés pour rejeter le trafic inutile. La segmentation réseau minimise les dommages causés par les malwares et autres menaces en les isolant dans une partie limitée du réseau.

Cette définition vous explique comment il est possible de réduire votre surface d'attaque en interdisant aux pirates certaines zones de votre réseau. Alors que la segmentation réseau traditionnelle empêche les pirates de se déplacer du nord au sud au niveau du réseau, la microsegmentation les empêche de se déplacer d'est en ouest au niveau de la charge de travail.

Plus précisément, la microsegmentation va au-delà de la segmentation réseau et applique les stratégies à un niveau plus détaillé, comme à chaque application ou périphérique au lieu de tout le réseau.

Vous pouvez par exemple l'utiliser pour implémenter des restrictions afin qu'un périphérique IoT ne puisse communiquer qu'avec son serveur d'applications et pas avec d'autres périphériques IoT, ou bien pour empêcher une personne d'un département d'accéder aux systèmes des autres départements.

5. Renforcer la configuration des logiciels et des actifs

.

Surface d'attaque numérique Surface d'attaque physique Surface d'attaque humaine
X

.

Généralement, les systèmes d'exploitation, les applications et les actifs d'entreprise (serveur, et périphériques utilisateur, réseau et IoT) vous sont livrés non configurés, ou dotés de configurations par défaut qui favorisent la facilité de déploiement et d'utilisation plutôt que la sécurité. Selon la version 8 des contrôles CIS (Contrôles de sécurité critiques), les éléments suivants sont tous exploitables s'ils restent à l'état par défaut :

  • Contrôles de base
  • Services et ports ouverts
  • Comptes ou mots de passe par défaut
  • Paramètres DNS (Système de noms de domaine) préconfigurés
  • Anciens protocoles (vulnérables)
  • Logiciels inutiles préinstallés

Ce type de configuration augmente clairement votre surface d'attaque. Pour résoudre ce problème, le contrôle 4 de la liste Contrôles CIS v8 (Sécuriser la configuration des actifs et logiciels d'entreprise) recommande de développer et d'appliquer des configurations initiales strictes, puis de gérer et de maintenir ces configurations en continu pour éviter toute dégradation de la sécurité des logiciels et des actifs.

Voici des ressources et outils gratuits que votre équipe peut exploiter pour l'aider :

6. Imposer la conformité aux stratégies

.

Surface d'attaque numérique Surface d'attaque physique Surface d'attaque humaine
X X

.

Ce n'est pas un secret : les postes client contribuent énormément à la taille de la plupart des surfaces d'attaque, surtout à l'ère de l'Everywhere Work où plus de collaborateurs que jamais travaillent en mode hybride ou à distance. Sept fonctionnaires sur 10 travaillent désormais en virtuel au moins une partie du temps.

C'est déjà assez difficile d'obtenir des collaborateurs qu'ils respectent les stratégies IT et de sécurité quand ils sont au bureau. Imaginez, quand 70 % d'entre eux se trouvent aux quatre coins du monde.

Les outils UEM (Gestion unifiée des terminaux) garantissent une conformité universelle aux stratégies en appliquant automatiquement ces dernières. Ce fait ne devrait pas étonner les professionnels de l'IT et de la sécurité, dont beaucoup considèrent l'UEM comme un produit de base à ce stade. En fait, Gartner prévoit que 90 % de ses clients vont gérer la majorité de leur parc avec des outils UEM basés dans le Cloud dès 2025.

Néanmoins, l'UEM est la meilleure solution pour faire respecter la conformité aux stratégies IT et de sécurité, donc je m'en voudrais de l'oublier ici.

Lisez notre document « Le guide ultime de la gestion unifiée des terminaux » pour découvrir les principaux avantages commerciaux et des cas d'usage des solutions UEM modernes.

De plus, outre la mise en conformité, les outils UEM modernes offrent différentes autres fonctions qui vous aident à identifier, gérer et réduire votre surface d'attaque :

  • Offrir une visibilité complète des actifs IT en découvrant tous les périphériques sur votre réseau. C'est une fonction ASM indispensable pour les entreprises sans solution CAASM.
  • Provisionner les périphériques avec les logiciels et permissions d'accès appropriés, puis mettre automatiquement ces logiciels à jour selon les besoins. Aucune intervention de l'utilisateur n'est nécessaire.
  • Gérer tous les types de périphérique tout au long de leur cycle de vie, de l'onboarding à la fin de vie, pour garantir qu'ils sont correctement exclus lorsqu'on ne les utilise plus.
  • Appliquer automatiquement des configurations de périphérique (voir le point 5. Renforcer les configurations des logiciels et des actifs pour en savoir plus sur l'importance de cette opération).
  • Prendre en charge l'accès Zero Trust et la gestion contextuelle de l'authentification, des vulnérabilités, des stratégies, des configurations et des données, grâce à l'intégration dans les outils d'identité, de sécurité et d'accès à distance. Par exemple, les outils UEM et MTD (Défense contre les menaces mobiles) peuvent s'intégrer pour vous permettre d'appliquer des stratégies basées sur les risques en vue d'empêcher les périphériques mobiles de compromettre le réseau d'entreprise et ses actifs.

7. Former tous les collaborateurs aux stratégies et meilleures pratiques de cybersécurité

.

Surface d'attaque numérique Surface d'attaque physique Surface d'attaque humaine
X

.

74 % des fuites de données analysées dans le rapport d'investigation « 2023 Verizon Data Breaches Investigation Report (DBIR) » impliquaient un élément humain.

Ainsi, vous ne devriez pas être surpris à la lecture du rapport Ivanti « Rapport sur l'état de la cybersécurité des gouvernements » et du pourcentage des collaborateurs, partout dans le monde, qui pensent que leurs actions n'ont pas d'impact sur la capacité de leur entreprise à repousser les cyberattaques :

Les collaborateurs pensent-ils que leurs propres actions comptent ?

De nombreux collaborateurs ne pensent pas que leurs actions impactent la capacité de leur entreprise à se protéger des cyberattaques.

La phrase immortelle d'Alexander Pope : « l'erreur est humaine » se traduit ainsi en termes de cybersécurité : tant que l'IA ne prend pas officiellement le relais, l'être humain reste un composant significatif de votre surface d'attaque. Et, en attendant, il faut gérer la surface d'attaque humaine et la réduire dès que possible.

Jusqu'à ce jour, la meilleure façon d'y parvenir s'avère être la formation à la cybersécurité, à la fois sur les meilleures pratiques d'ordre général et sur les stratégies propres à l'entreprise. Et, surtout, n'oubliez pas d'inclure un module sur l'ingénierie sociale.

De nombreux professionnels de la cybersécurité sont d'accord. Quand on pose la question « D'après votre expérience, quelle mesure de sécurité est la plus efficace pour prévenir les cyberattaques et les fuites de données ? » dans Redditr /cybersecurity subreddit, la plupart des commentaires mentionnent le besoin de formation des utilisateurs :

Reddit / u/Forbesington

Reddit / u/slybythenighttothecape
Reddit / u/_DudeWhat

Reddit / u/onneseen

Faisons encore appel aux contrôles CIS v8. Le contrôle 14 (Formation de sensibilisation à la sécurité et de compétences) encourage les entreprises à procéder comme suit : « Établir et maintenir un programme de sensibilisation à la sécurité pour influencer le comportement du personnel afin qu'il soit conscient de la sécurité et correctement qualifié pour réduire les risques de cybersécurité pour l'entreprise. »

Le CIS (Center for Internet Security) recommande également d'exploiter les ressources suivantes pour élaborer un programme de sensibilisation à la sécurité :

Les équipes Sécurité et IT (et pas seulement les non-techniciens) doivent aussi recevoir une formation à la cybersécurité adaptée à leur rôle. En fait, d'après les décideurs IT et de sécurité interrogés par Randori et ESG pour leur rapport 2022 « The State of Attack Surface Management » offrir davantage de formation ASM au personnel IT et de sécurité est la troisième méthode la plus efficace pour améliorer l'ASM.

Garantir que vos partenaires, fournisseurs et autres sous-traitants tiers suivent également une formation à la sécurité peut aussi vous aider à limiter votre surface d'attaque humaine.

8. Améliorer l'expérience numérique des collaborateurs (DEX)

.

Surface d'attaque numérique Surface d'attaque physique Surface d'attaque humaine
X X

.

Quel que soit le niveau de formation à la cybersécurité de vos collaborateurs, plus les mesures de sécurité sont complexes et alambiquées, plus ils sont susceptibles de les contourner. 69 % des utilisateurs finaux disent avoir du mal à naviguer parmi des mesures de sécurité inutilement alambiquées et complexes. Ces utilisateurs mécontents ont souvent tendance à distribuer des données sur des canaux non sécurisés, à empêcher l'installation des mises à jour de sécurité et à déployer du Shadow IT.

Le choix des responsables IT semble donc impossible : améliorer l'expérience numérique des collaborateurs (DEX) au prix de la sécurité, ou favoriser la sécurité plutôt que l'expérience ? La sécurité et la DEX sont toutes deux aussi importantes pour la réussite de l'entreprise et sa résilience. En fait, d'après une étude Enterprise Management Associates (EMA), réduire les frictions en matière de sécurité rend les événements de violation plus rares.

Alors que faire ? Le « Rapport Ivanti 2022 Expérience numérique des collaborateurs (DEX) » montre que les responsables IT doivent, avec le soutien de leurs hauts dirigeants, faire des efforts pour fournir une expérience numérique des collaborateurs sécurisée dès la conception. Cette tâche, qui semblait autrefois impossible, est maintenant plus facile que jamais grâce au marché émergent des outils DEX, qui vous aident à mesurer et à améliorer en permanence l'expérience technologique des collaborateurs.

Lisez notre rapport Rapport Ivanti 2022 Expérience numérique des collaborateurs DEX pour en savoir plus sur le rôle de la DEX dans la cybersécurité.

S'il existe un domaine dans lequel les entreprises peuvent facilement améliorer à la fois la sécurité et l'expérience des collaborateurs, c'est l'authentification. Pénibles et peu efficaces à mémoriser, saisir et réinitialiser, les mots de passe sont depuis longtemps le fléau des utilisateurs finaux.

Et surtout, ils sont extrêmement peu sûrs. Environ la moitié des 4 291 fuites de données n'impliquant pas d'activité malveillante en interne analysées pour le rapport « 2023 Verizon DBIR » ont été provoquées via des informations d'authentification. C'est quatre fois plus que celles provoquées par l'hameçonnage, ce qui en fait de loin la voie d'accès la plus populaire au parc IT d'une entreprise.

Les logiciels d'authentification sans mot de passe résolvent le problème. Si vous voulez à la fois améliorer l'expérience de vos utilisateurs finaux et réduire votre surface d'attaque, déployez une solution d'authentification sans mot de passe qui utilise des protocoles d'authentification FIDO2. Vous et vos utilisateurs pourrez vous réjouir de dire adieu à tout jamais aux mots de passe écrits sur des Post-it.

Pour en savoir plus sur la façon de trouver l'équilibre entre sécurité et DEX, consultez les ressources suivantes :

Autres ressources gratuites

Les meilleures pratiques suggérées par Ivanti pour réduire votre surface d'attaque combinent les résultats de notre expérience directe et des connaissances indirectes glanées auprès de sources faisant autorité.

Et, même si ces meilleures pratiques réduisent sensiblement votre surface d'attaque, une entreprise peut prendre une multitude d'autres mesures pour combattre l'expansion et la complexité toujours plus importantes des surfaces d'attaque modernes.

Consultez les ressources gratuites suivantes (dont certaines sont mentionnées plus haut) pour en savoir plus sur la réduction de votre surface d'attaque :

Étapes suivantes

Vous avez implémenté les meilleures pratiques présentées ici et vous vous demandez quelle est la prochaine étape ? Comme pour tout ce qui touche à la cybersécurité, il n'y a pas de place pour l'immobilisme. Les surfaces d'attaque exigent une surveillance constante.

Vous ne savez jamais quand le prochain périphérique BYOD non géré va se connecter à votre réseau, quand la prochaine vulnérabilité de votre logiciel CRM va être exploitée ou quand le prochain collaborateur va oublier son iPhone au bar après une sortie entre collègues.

Il faut non seulement traquer les vecteurs d'attaque existants, mais aussi vous informer sur ceux qui émergent. Par exemple, l'essor récent des modèles d'IA provoque une expansion substantielle de la surface d'attaque, et on peut parier que d'autres technologies ouvrant la porte sur votre environnement IT vont apparaître. Restez vigilant.