Gestion de l'exposition (Exposure Management)

Qu'est-ce que la gestion de l'exposition ?

La gestion de l'exposition est une pratique qui consiste à identifier, évaluer et corriger, proactivement et de manière sélective, les expositions sur toute la surface d'attaque numérique de l'entreprise. Elle implique de comprendre les points d'accès et vecteurs d'attaque possibles, de prioriser les risques qu'ils représentent et d'implémenter des mesures pour se protéger des menaces les plus critiques. L'objectif final est de maintenir l'exposition réelle à un niveau de risque acceptable.

En quoi la gestion de l'exposition diffère-t-elle de la gestion des vulnérabilités ?

La gestion de l'exposition est plus globale. Elle repose sur une priorisation des expositions basée sur les risques, et sur la validation des expositions identifiées et priorisées pour fournir à l'entreprise une image complète de toute sa surface d'attaque numérique. Elle offre une visibilité totale des actifs (serveurs, postes client, périphériques mobiles et IoT (Internet of Things, l'Internet des objets), et sites Web) et des points d'exposition qu'ils créent. On entend par là l'exposition des logiciels, les correctifs manquants, les erreurs de configuration, les références d'authentification faibles ou compromises, etc.

Cette approche gère également le risque humain, via une formation régulière de sensibilisation à la sécurité qui vise à éduquer les collaborateurs concernant les menaces potentielles et les meilleures pratiques. Des protocoles très clairs sont établis, qu'ils doivent suivre en cas d'incident de sécurité, on leur demande de signaler les vulnérabilités potentielles et de commenter les mesures de sécurité, et l'on crée des outils de sécurité conviviaux qui limitent l'erreur humaine.

Au-delà de la gestion traditionnelle des vulnérabilités

La gestion des vulnérabilités a servi de fondations pour l'élaboration de nombreux programmes de cybersécurité. Traditionnellement, elle se concentrait sur l'identification et la priorisation des expositions et des faiblesses à l'aide de systèmes de notation standardisés basés sur le logiciel, comme le CVSS (Common Vulnerability Scoring System - Système de notation des vulnérabilités courantes).

Mais ce système fournit seulement aux équipes IT et Cybersécurité un point de vue étroit des risques, si bien qu'elles risquent d'investir beaucoup d'efforts pour n'obtenir qu'une protection au rabais. Les limitations inhérentes à la gestion des vulnérabilités sont les suivantes :

• Étendue limitée : Elle cible principalement les expositions des systèmes d'exploitation et des logiciels tiers, en négligeant les autres types liés à d'autres types d'actif. Il en résulte des angles morts qui exposent les entreprises modernes à une plus large variété de menaces.
• Mise en avant des mauvaises expositions : En se fiant au score CVSS, les équipes risquent de se concentrer sur les mauvaises expositions, car ce score mesure la gravité des vulnérabilités (la facilité avec laquelle elles pourraient être exploitées) mais pas le risque (l'impact potentiel d'une exploitation). Ainsi, les entreprises risquent de corriger en priorité des expositions dont le score de gravité est élevé, même si elles présentent peu ou pas de risque, alors qu'elles ignorent des vulnérabilités dont le niveau de gravité est faible mais qui présentent un plus grand danger.
• Nombre trop élevé d'expositions : De plus, le score CVSS signale souvent de nombreuses expositions comme étant de niveau Critique, à la différence des systèmes de notation basés sur le risque, et cela amène les équipes à faire beaucoup d'efforts pour des résultats minimes. De nombreuses expositions peuvent être exploitées mais ne se produisent jamais en pratique. Enfin, le CVSS note uniquement les CVE (Common Vulnerabilities and Exposures - Vulnérabilités et expositions courantes), alors que les entreprises doivent également gérer d'autres types de faiblesse, comme les erreurs de configuration. Trop compter sur le CVSS peut les amener à passer à côté de ces faiblesses. Avec des centaines de milliers de CVE et des dizaines (voire des centaines) de plus publiées chaque jour dans la National Vulnerability Database (NVD - Base de données américaine des vulnérabilités), on voit facilement pourquoi la gestion des vulnérabilités ne peut pas tout traiter.
• Mesures basées sur l'activité : La gestion traditionnelle des vulnérabilités évalue souvent la réussite d'après des mesures comme le délai moyen de résolution des incidents (MTTR) et le respect des SLA (Accords de niveau de service). Ces indicateurs montrent si l'atténuation ou la remédiation a été réalisée à temps, mais pas si elle a eu un impact sur le niveau de sécurité.

Problèmes des approches démodées

De nombreuses failles se produisent en raison des faiblesses de la gestion des vulnérabilités dont nous avons déjà parlé. Quand les pirates ont attaqué le réseau de Target en 2013, c'était lié au vol de références d'authentification chez un fournisseur tiers, qui avait exposé 40 millions de comptes de carte bancaire. Plus récemment, des pirates ont attaqué les systèmes de distribution d'eau et de traitement des eaux usées aux États-Unis en exploitant une vulnérabilité des contrôleurs logiques programmables, un type de système technologique opérationnel.

D'après Verizon, l'utilisation des expositions comme point d'entrée initial a presque triplé entre 2023 et 2024. Elle représente 14 % de toutes les fuites de données, et est alimentée par d'autres attaques visant les correctifs manquants et les expositions Zero Day.

La même étude montre que 95 % des professionnels IT et de sécurité pensent que l'IA va rendre les menaces de sécurité encore plus dangereuses. Pourtant, près de 1/3 n'ont mis en place aucune stratégie pour lutter contre les risques de l'IA générative.

En même temps, de nombreux dirigeants d'entreprise ne sont pas conscients de la vulnérabilité de leur entreprise. Une étude Ivanti montre que 55 % des professionnels IT et de sécurité pensent que les dirigeants hors département IT ne comprennent pas la gestion des vulnérabilités. Et 47 % de ces dirigeants sont d'accord.

Et près de deux tiers des entreprises interrogées n'investissent pas encore dans les domaines critiques comme la gestion de la surface d'attaque externe (EASM). L'EASM est primordiale pour une gestion efficace de l'exposition parce qu'elle découvre, évalue et priorise en continu les expositions, offrant la visibilité nécessaire pour se protéger des cyberattaques. En identifiant et en évaluant les actifs tournés vers l'Internet, l'EASM aide l'entreprise à mieux appréhender son paysage d'exposition. Par exemple, les outils EASM peuvent révéler les applications de Shadow IT et les périphériques qui opèrent hors du périmètre de sécurité, créant de possibles vecteurs d'attaque, ou bien dévoiler les expositions des fournisseurs et vendeurs tiers.

Une approche plus complète

En 2022, Gartner a publié un rapport qui insistait sur la nécessité de mettre en place ce qu'il appelle un programme CTEM (Continuous Threat Exposure Management - Gestion en continu de l'exposition aux menaces). Ce rapport définit une approche intégrée, itérative et proactive pour prioriser et corriger les expositions, et améliorer en permanence le niveau de sécurité.

Il présente le concept selon lequel mettre en place une « assez bonne » cybersécurité est plus pragmatique et réalisable que chercher à atteindre une cybersécurité « parfaite ». Pour ce faire, il faut constamment identifier et prioriser les expositions qui sont le plus susceptibles de présenter un danger pour l'entreprise.

La CTEM constitue un cadre de gestion des cyber-risques, dans le même ordre d'idée que le cadre Cybersecurity Framework (CSF) 2.0 du NIST (National Institute of Standards and Technology) ou les contrôles Center for Internet Security (CIS) version 8.1. Le processus défini vise à identifier, évaluer, valider et éliminer les expositions en continu. La gestion de l'exposition a un sens plus large. Elle fait référence à la pratique globale de gestion de l'exposition dans tous les actifs d'une entreprise.

De nombreux fournisseurs alignent leurs outils de gestion de l'exposition sur les normes CTEM, offrant des modules spécifiques pour chaque étape du processus.

Voici les éléments qu'exploite la gestion de l'exposition, qui la distinguent de la gestion des vulnérabilités :

• Étendue plus large : La gestion de l'exposition jette un filet plus large, en traitant une variété d'expositions qui va au-delà de celles des seuls logiciels : elle en repère aussi d'autres, comme les références d'authentification trop faibles ou une implémentation inefficace de la DLP (Protection contre les pertes de données). Elle inclut également les actifs susceptibles de présenter des risques, comme les actifs mal configurés, les environnements Cloud non sécurisés et les périphériques IoT. En les surveillant et en les analysant tous, l'entreprise obtient une image plus claire et plus réaliste de son niveau de risque global.
• Priorisation basée sur les risques : La gestion de l'exposition priorise les expositions en fonction de leur impact potentiel sur l'entreprise, en évaluant des facteurs comme la criticité pour l'entreprise, l'exploitabilité et la probabilité d'une attaque. Cela garantit que les ressources sont allouées de façon à remédier en priorité aux risques les plus critiques.
• Mesures basées sur les résultats : Avec la gestion de l'exposition, on change de point de vue : on passe des mesures basées sur les activités à des mesures basées sur les résultats. Elles mesurent l'efficacité réelle des mesures de cybersécurité pour améliorer le niveau de risque de l'entreprise, en fournissant des informations décisionnelles qui permettent d'optimiser les ressources et les défenses.

Un toolkit pour une gestion efficace de l'exposition

La gestion de l'exposition nécessite une approche multiniveau qui fait appel à toute une variété d'outils et de techniques. Ceux qu'utilise chaque entreprise dépendent de sa taille, de son secteur d'activité et de sa tolérance au risque.

On les regroupe en deux catégories principales : évaluation de l'exposition et validation de l'exposition.

Outils d'évaluation de l'exposition

• EASM (Gestion de la surface d'attaque externe) : Ces outils se concentrent spécifiquement sur la surface d'attaque externe :
  • Identification des actifs externes : Ils identifient tous les actifs tournés vers Internet, y compris les sites Web, les applications et les ressources Cloud.
  • Détection des expositions : Ils détectent tout un éventail d'expositions dans les actifs externes, susceptibles d'être exploitées.
  • Analyse du trajet d'attaque : Certaines solutions avancées peuvent simuler les trajets d'attaque potentiels pour mettre en lumière la façon dont les pirates pourraient exploiter les expositions.
  • Surveillance Web approfondie : Pour analyser le Deep Web et le Dark Web afin d'identifier les actifs exposés ou les fuites de références d'authentification qui pourraient servir pour une attaque.
• CAASM (Gestion de la surface d'attaque des cyberactifs) : Dans le passé, les outils CAASM fournissaient une vue unifiée de l'ensemble de l'écosystème IT (une « source unique de vérité » pour tous les actifs internes et externes) afin d'offrir une image unifiée de toute la surface d'attaque. Aujourd'hui, les fonctions CAASM font de plus en plus partie des solutions EASM, si bien qu'il est inutile d'utiliser des outils CAASM distincts.
• RVBM (Gestion des vulnérabilités basée sur les risques) : Les outils RBVM vont au-delà de la gestion traditionnelle des vulnérabilités, car ils priorisent les expositions d'après divers critères :
  • Exploitabilité : Indique si la vulnérabilité est ou non déjà activement exploitée.
  • Impact sur l'entreprise : Impact qu'aurait sur l'entreprise l'exploitation de cette vulnérabilité.

Plateformes de validation de l'exposition

Elles sont indispensables pour garantir l'exactitude de la priorisation des expositions :

• Simulation de fuites de données et d'attaques : Ces outils simulent des scénarios d'attaque sur le terrain pour tester l'efficacité des contrôles de sécurité et repérer les éventuelles faiblesses.
• « Red teaming » automatisé en continu : Ces outils fournissent en permanence des exercices de Red Teaming qui simulent le comportement des pirates afin de tester les défenses en continu.
• PTaaS (Tests de pénétration en tant que service) : Le PTaaS permet à une entreprise d'embaucher des intervenants externes pour mener des tests de pénétration en vue d'une évaluation approfondie du niveau de sécurité.

Implémentation de la gestion de l'exposition

Pour passer de la gestion des vulnérabilités à la gestion de l'exposition, il vous faut une stratégie détaillée. Voici les principales étapes à inclure :

• Créer un cadre de collaboration : La gestion traditionnelle des vulnérabilités fonctionne souvent en silo : l'équipe Sécurité est seule responsable de l'identification et de la priorisation. Elle transmet ensuite le dossier, au-delà de la barrière du silo, au département IT qui se charge de l'application des correctifs. Mais la gestion de l'exposition se nourrit de la collaboration. Il est donc important de commencer par intervenir sur les 3 aspects suivants :
  • Collaboration entre départements : Votre équipe Sécurité doit travailler avec les différents départements pour connaître leurs systèmes et données critiques. Par exemple, comprendre les besoins de l'e-commerce vous aide à prioriser les expositions qui pourraient l'affecter, en améliorant l'évaluation des risques par la prise en compte de l'impact commercial.
  • Meilleure communication : Mettez en place une bonne communication avec les opérateurs et développeurs IT qui vont éliminer les expositions à l'aide de correctifs et de modifications du code. Justifier la nécessité d'une correction est plus facile si ces personnes en voient l'impact commercial.
  • Engagement de la Direction : Il faut des mesures allant au-delà des niveaux d'activité de base (SLA et MTTR). Des mesures avancées visualisées dans des tableaux de bord dépeignent une image claire du niveau de risque, si bien que les membres du Conseil d'administration, même sans aucune expertise de la sécurité, voient l'efficacité et le ROI des efforts de sécurité.
• Définition de la tolérance au risque : L'entreprise doit commencer par définir sa tolérance au risque. C'est une décision commerciale : il faut trouver l'équilibre entre investissements en matière de contrôles de sécurité et niveau acceptable de risque résiduel. Vous devez prendre en compte le coût que représentent l'application des correctifs aux expositions, la révision du code, la correction des erreurs de configuration, l'implémentation d'autres mesures de sécurité et les perturbations potentielles des activités. Tout cela doit être comparé aux dommages financiers et réputationnels potentiels d'une fuite de données. Il n'existe aucun calculateur standard pour déterminer la tolérance au risque. C'est une tâche dynamique mais nécessaire qui implique à la fois la Sécurité (qui fournit des données pour orienter la décision) et la Direction.
• Domaine d'application : Définissez les actifs et les expositions qui doivent être évalués. Cela peut impliquer de collaborer avec les différents départements de l'entreprise pour comprendre leurs systèmes et données critiques.
• Outils d'évaluation : Exploitez les scanners de vulnérabilité que vous possédez déjà. Cependant, pour obtenir une image plus exhaustive, pensez à incorporer des outils supplémentaires, comme des solutions EASM capables d'identifier les actifs tournés vers Internet et leurs expositions potentielles.
• Définition de priorités : Intégrez la RBVM pour prioriser les expositions en combinant différents critères, comme la gravité des vulnérabilités, leur exploitabilité et l'impact potentiel sur l'entreprise. Vous vous assurez ainsi de traiter en premier les risques les plus critiques.
• Validation : Pour éviter tout parti pris, pensez à utiliser des outils ou pratiques de validation distincts pour garantir l'exactitude de la priorisation définie par la RBVM.
• Amélioration continue : La gestion de l'exposition est une mesure corrective continue, et non ponctuelle. Évaluez et ajustez régulièrement vos efforts pour garder un temps d'avance sur l'évolution des menaces.

Le futur de la gestion de l'exposition

Le futur de la gestion de l'exposition se caractérise par le passage de stratégies réactives à des stratégies proactives. L'IA et l'automatisation vont constituer des outils essentiels pour prévoir les vulnérabilités, automatiser les efforts de remédiation et assurer une intégration transparente avec les plateformes d'intelligence des menaces. En interne, les entreprises vont renforcer la collaboration, et implémenter de nouveaux outils et processus en vue de prendre des décisions plus efficaces et plus pertinentes.

Cette approche globale va s'étendre à la sécurité de la chaîne d'approvisionnement, dont on sait déjà qu'elle est essentielle. En outre, la gestion de l'exposition va devenir encore plus déterminante pour la mise en conformité avec les réglementations qui évoluent.

En combinant tous ces éléments en un programme cohérent de gestion de l'exposition, les entreprises amélioreront sensiblement leur niveau de sécurité, au moment où elles en ont le plus besoin.