La surface d'attaque correspond à l'ensemble des points d'entrée potentiels dans un environnement IT qui pourraient servir à lancer une cyberattaque.
Le concept de « surface d'attaque » éveille l'attention depuis quelque temps. Google Trends montre une augmentation régulière des recherches portant sur l'expression « attack surface » sur les cinq dernières années.
Résultats Google Trends pour « attack surface » entre avril 2018 et avril 2023
L'intérêt croissant pour le sujet des surfaces d'attaque coïncide logiquement avec l'expansion de celles-ci. Deux tiers des entreprises disent que leur surface d'attaque a augmenté au cours de l'année écoulée. L'expansion de l'Everywhere Work et l'utilisation de plus en plus fréquente des actifs accessibles sur Internet, comme les applications Cloud et les postes client IoT, en sont les principales raisons.
La situation est désormais telle qu'il est capital, pour les professionnels IT et de sécurité, non seulement de connaître le sujet, mais aussi d'être capable d'agir pour identifier, gérer et réduire la surface d'attaque de leur entreprise.
La surface d'attaque des entreprises s'étend rapidement. Une étude d'Ivanti examine l'ampleur du problème et les stratégies à mettre en oeuvre pour assurer une gestion complète de la surface d'attaque.
Comme pour tout concept technique, lorsqu'on parle de surface d'attaque, il est important de comprendre la terminologie associée, pour que toutes les parties concernées parlent la même langue. C'est donc par là que nous allons commencer notre explication.
Les définitions de « surface d'attaque » varient. Voici celles qu'en donnent les grandes organisations de la cybersécurité :
Une « surface d'attaque » peut donc être définie comme l'ensemble des points d'entrée potentiels dans un environnement IT qui pourraient servir à lancer une cyberattaque. Ces points d'entrée peuvent être numériques, physiques ou humains.
En savoir plus : 8 meilleures pratiques pour réduire la surface d'attaque de votre entreprise
Les surfaces d'attaque numériques englobent tous les éléments susceptibles d'exposer l'infrastructure et les systèmes IT d'une entreprise (que ce soit dans le Cloud ou sur site) à des tierces parties disposant de connexions Internet. Autrement dit, les points d'entrée numériques dans votre environnement.
Certains considèrent que la surface d'attaque numérique correspond grosso modo à la surface d'attaque du réseau, car elle englobe l'ensemble du matériel et des logiciels connectés au réseau d'une entreprise. Cependant, ses composants sont multiples et variés et ne se limitent pas aux éléments « matériels » et « logiciels ». En voici quelques-uns (liste non exhaustive) :
Les pirates peuvent exploiter tous ces éléments pour accéder à un environnement IT.
La surface d'attaque physique désigne tous les objets physiques qu'un pirate pourrait cibler. Tout comme certains considèrent que les surfaces d'attaque numériques et réseau sont identiques, on pourrait assimiler les surfaces d'attaque physiques à celles des postes client, car elles sont en général principalement constituées d'ordinateurs de bureau et portables, d'appareils mobiles et de périphériques IoT. Ces périphériques se retrouvent souvent entre les mains des acteurs de la menace suite à un vol ou une perte.
Outre les postes client, la surface d'attaque physique englobe également les éléments suivants :
En bref, si c'est un objet que vous pouvez physiquement toucher, il fait partie de votre surface d'attaque physique.
On accorde une grande attention aux surfaces d'attaque des réseaux et des postes de travail, mais il en existe une autre, souvent négligée : la surface d'attaque humaine. Ce qui pourrait expliquer que 74 % des fuites de données analysées dans le rapport « 2023 Data Breaches Investigation Report (DBIR) » de Verizon impliquaient un élément humain.
Les surfaces d'attaque humaines apparaissent quand les utilisateurs ou les administrateurs ne respectent pas les meilleures pratiques de sécurité. Ces manquements sont surtout des attaques réussies d'ingénierie sociale. D'après le rapport Verizon, l'hameçonnage et le pretexting (aussi appelé « faux-semblant »), souvent couplé au premier, sont les deux types d'ingénierie sociale qui font le plus de victimes. Il n'est donc pas étonnant que 43 % des entreprises interrogées pour le « Rapport 2024 sur l'état de la cybersécurité : Point d'inflexion » aient subi une attaque par hameçonnage au cours des deux dernières années.
Voici les autres composants de la surface d'attaque humaine :
La liste est sans fin. Et, même si les exemples donnés jusqu'ici correspondent à des actes involontaires attribuables à la naïveté et à la négligence, les surfaces d'attaque humaines incluent aussi les actions volontaires d'acteurs malveillants internes. D'après la CISA (Cybersecurity and Infrastructure Security Agency), une menace intentionnelle d'initié est « la probabilité qu'une personne en interne utilise son accès autorisé ou sa compréhension d'une entreprise pour lui nuire. »
Notez que certains vecteurs d'attaque peuvent relever de plusieurs types de surfaces d'attaque. Par exemple, le cas de la porte non fermée peut faire partie de la surface d'attaque humaine parce qu'elle est ouverte par un humain, mais aussi de la surface d'attaque physique, puisque la porte est un objet physique donnant accès à un lieu. Finalement, l'important n'est pas le type de surface d'attaque auquel un vecteur est attribué, mais votre capacité à identifier, gérer et (si possible) éliminer ce vecteur.
En savoir plus : Comment identifier la surface d'attaque de votre entreprise