La gestion de l'exposition nécessite d'avoir une vue exhaustive et contextuelle des cyber-risques. Une récente étude d'Ivanti documente ce changement de paradigme.
La surface d'attaque d'une entreprise change sans cesse. Les paramètres traditionnels qui définissaient par le passé cette surface d'attaque (principalement les logiciels et le matériel) ne tiennent pas compte de la complexité et des exigences d'une stratégie de sécurité moderne : Cloud, fournisseurs tiers, IoT, réseaux sociaux et même, vulnérabilités humaines.
Pour mesurer, surveiller et protéger la surface d'attaque d'une entreprise, il faut adopter une approche entièrement nouvelle, adaptée à la complexité et à la sophistication des menaces actuelles.
C'est là qu'intervient la gestion de l'exposition.
La gestion de l'exposition fournit une vue exhaustive et très contextuelle des cyber-risques. Plutôt que d'être considérée comme un objectif isolé, l'évaluation des vulnérabilités et des risques est intégrée dans un large éventail d'objectifs (y compris les objectifs business) afin de permettre aux décideurs de trouver le juste équilibre entre risques et bénéfices.
Les responsables de cybersécurité et les dirigeants d'entreprise voient en la gestion de l'exposition une approche plus évoluée de la gestion des cyber-risques, en raison de la diversité des menaces qui pèsent sur l'entreprise : un paysage si large et si complexe qu'il n'est tout simplement ni réaliste ni durable de vouloir le protéger en permanence contre l'ensemble des menaces.
Les études réalisées par Ivanti montrent que les professionnels de sécurité s'inquiètent de la très grande diversité des risques et des vecteurs d'attaque (ransomwares, hameçonnage, vulnérabilités des logiciels et menaces de la chaîne logicielle).
Ce rapport révèle des faiblesses significatives dans les niveaux actuels de préparation. (Ces faiblesses correspondent aux domaines où le niveau de menace dépasse le niveau de préparation.) Par exemple, le niveau de préparation aux attaques par ransomware et aux vulnérabilités des API est particulièrement faible, comparé à la gravité de ces menaces.
Ces défaillances sont particulièrement inquiétantes d'autant qu'elles sont susceptibles d'être amplifiées par l'IA générative. Ainsi, plus d'un tiers (38 %) des personnes interrogées pensent que les ransomwares vont gagner en dangerosité avec l'IA.
La bonne nouvelle : considérer la cybersécurité comme une priorité business (un principe clé de la gestion de l'exposition) semble une approche bien comprise et largement soutenue à la fois par les professionnels de sécurité et par les dirigeants, même si elle n'est pas encore systématiquement pratiquée.
La cybersécurité bénéficie d'un soutien significatif de la part des dirigeants et d'une attention particulière au sein du conseil d'administration.
Le bémol : même si les dirigeants affirment comprendre et valoriser la gestion de l'exposition, ils l'approchent souvent de façon fragmentaire via des produits disparates, au lieu d'adopter une stratégie intégrée capable d'offrir une vue exhaustive du niveau total de risque de l'entreprise. L'étude met en lumière cette approche inégale.
La gestion de l'exposition figure en dernière position dans la liste des priorités d'investissement, même si de nombreuses entreprises considèrent comme prioritaires certains aspects de la gestion de l'exposition, comme la gestion de la surface d'attaque des cyberactifs (CAASM) et la gestion de la surface d'attaque externe (EASM). Les entreprises les plus matures, celles qui se décrivent comme ayant des capacités avancées de lutte contre les menaces, sont bien plus susceptibles (1,6 fois plus) d'investir dans la gestion de l'exposition.
L'étude d'Ivanti révèle que les entreprises affichant un niveau de maturité avancé en cybersécurité — celles ayant des capacités auto-déclarées et démontrées de contrer des menaces sophistiquées — sont nettement plus enclines à accroître leurs investissements dans la gestion de l'exposition.
26 % des entreprises avancées (Niveau 4) augmentent leur investissement, alors que 16 % seulement des entreprises moins matures (Niveau 1) le font. (Le modèle de maturité Ivanti est présenté à la section 4 « Le défi de la dette technologique ».)
Globalement, les principes de la gestion de l'exposition sont soutenus par le secteur, même si de nombreuses entreprises n'ont pas encore pris de mesures concrètes pour l'adopter et la mettre en œuvre.
Les entreprises doivent adopter une nouvelle approche en cybersécurité. Il ne suffit pas de reconnaître qu'il est nécessaire de gérer l'exposition mais il faut le faire en mettant en œuvre les techniques adaptées. Les entreprises qui s'engagent pleinement dans la gestion de l'exposition évaluent et hiérarchisent les risques à partir de données fiables, permettant à leur équipe de concentrer leurs efforts sur les expositions les plus dangereuses. En alignant les opérations de cybersécurité sur les priorités business de l'entreprise, la gestion de l'exposition place la cybersécurité au premier plan : auparavant considérée comme une fonction purement technique, elle soutient désormais les objectifs plus larges de l'entreprise.
Mike Riemer
Senior Vice President, Network Security Group (NSG) et Field CISO chez Ivanti
La gestion de l'exposition, un changement de paradigme qui va transformer radicalement le secteur.
Gérer efficacement l'exposition implique de disposer d'une vue intégrée et exhaustive des cyber-risques, englobant également les pressions extérieures aux départements IT et Cybersécurité. C'est pourquoi il est indispensable d'avoir une compréhension contextuelle et intégrée de la posture de sécurité de l'entreprise permettant d'évaluer les compromis entre les risques et les bénéfices.
Comment prendre le virage de la gestion de l'exposition ? Il faut tout simplement revoir la façon dont les risques sont envisagés en apprenant et en mettant en pratique de nouvelles méthodes de mesure et de gestion des risques. Ce changement obligera les responsables de sécurité à repenser leur stratégie et à avoir un autre regard sur leurs équipes, leurs processus et leurs solutions, un ajustement qui pourrait s'avérer à la fois perturbant et profondément transformateur.
Les silos réduisent sensiblement le niveau de cybersécurité d'une entreprise. Les entreprises en sont enfin conscientes, mais il reste beaucoup à faire.
Les silos de données limitent la visibilité des menaces, entraînent des retards dans la réponse aux incidents, et créent des incohérences entre les différentes stratégies et pratiques au sein de l'entreprise. Des progrès ont été faits au fil des ans, mais la majorité des entreprises (55 %) rapportent que les silos de données Sécurité et IT subsistent et s'accompagnent de leur lot de difficultés.
L'étude souligne également l'impact des silos : 62 % des personnes interrogées disent que les silos augmentent les délais des réponses de sécurité, et 53 % affirment qu'ils affaiblissent le niveau de sécurité de leur entreprise.
Les professionnels de sécurité signalent aussi de nombreux domaines pour lesquels les informations font défaut ou sont insuffisantes : cela concerne notamment la détection du Shadow IT (45 %) et l'identification correcte de vulnérabilités spécifiques d'après les données existantes (41 %), et la détermination de la conformité des correctifs et le respect des SLA en matière d'application des correctifs (37 %). La conséquence ? Des angles morts de sécurité, qui empêchent de bien comprendre la surface d'attaque de l'entreprise, d'identifier les expositions et de respecter les réglementations.
62 %disent que les silos augmentent les délais de réponse de sécurité. |
53 %affirment que ces silos fragilisent la sécurité de leur entreprise. |
Les silos de données impactent directement les relations entre les équipes IT et Sécurité. 44 % des personnes déclarent avoir du mal à gérer les risques de sécurité en raison des relations difficiles entre les deux équipes, et 40 % soulignent que les équipes IT et Sécurité utilisent des outils différents, ce qui accentue le problème.
Les professionnels de sécurité s'inquiètent aussi de l'état d'esprit et de la formation des équipes IT. 46 % des professionnels de sécurité affirment que les équipes IT manquent de sens des responsabilités lorsqu'il s’agit de problèmes de cybersécurité, et 40 % affirment que les équipes IT ne comprennent pas la tolérance aux risques de l'entreprise.
Il ne sera pas facile de régler ces problèmes.
Les dirigeants et les professionnels de sécurité estiment qu'il faudra en moyenne six ans pour éliminer les silos existant au sein de leur entreprise.
Les silos sont l'ennemi d'une gestion efficace de l'exposition... mais notre propos va bien au-delà des silos de données. Les silos organisationnels font référence à une structure dans laquelle les différentes entités de l'entreprise fonctionnent de manière isolée. Il peut s'agir de divisions entre l'IT et la Sécurité, ou d'autres manifestations de différences ou de scissions entre les acteurs de l'entreprise. Et ils sont tout aussi néfastes. Voici quelques exemples :
Leadership en silos :
Les approches divergentes en matière de gestion et d'opérations entraînent un manque de concertation et une utilisation inefficace des ressources. Pour l'IT et la Sécurité, le cloisonnement du leadership est source d'inefficacités et réduit la capacité de chaque équipe à atteindre ses objectifs. Il pèse également sur les budgets en raison des initiatives redondantes, des investissements technologiques non concertés et d'une utilisation inefficace des talents.
Processus métier et workflows en silos :
Certains départements tels que l'IT et la Cybersécurité travaillent souvent indépendamment les uns des autres, avec une collaboration limitée. Les conséquences sont nombreuses : des priorités conflictuelles, une baisse de productivité et même, une diminution de la satisfaction des collaborateurs.
Technologies en silos :
Dans l'entreprise, les décisions technologiques sont généralement prises au niveau du département et/ou de manière ponctuelle pour répondre à une problématique particulière. L'impact sur les relations entre IT et Sécurité est élevé : moins de visibilité et d'efficacité, et une dette technologique alourdie.
En fin de compte, la sécurité doit être un catalyseur d'activité. Vous devez établir votre stratégie de gestion de l'exposition à partir de ce concept. Outre les responsabilités qui leur incombent de façon évidente, comme minimiser les interruptions de service et assurer la résilience de l'entreprise face aux menaces, les équipes de sécurité doivent aussi être responsables de priorités plus larges à l'échelle de l'entreprise, comme :
Pour éliminer les silos qui séparent l'équipe Sécurité des autres départements, chaque équipe doit commencer par identifier et gérer les risques dans son domaine, en partageant ses connaissances pour améliorer la visibilité globale. Souvent, un mur sépare le RSSI (ou CISO) et le DSI. Le DSI s'intéresse à la productivité de l'entreprise, alors que le RSSI se concentre sur la sécurité, ce qui est source de conflits. On peut remédier à cette situation avec une vue unifiée des cyber-risques. Cela leur permet de voir au-delà des silos, et d'avoir une vision globale des actifs, des risques et des actions nécessaires pour limiter ces risques. La gestion de l'exposition permet non seulement d'aligner ces différentes opérations sur la stratégie de l'entreprise mais aussi d'améliorer la visibilité.
Karl Triebes
Chief Product Officer chez Ivanti
Alors qu'ils mettent en avant leur capacité à mesurer l'exposition aux risques, les professionnels de sécurité appliquent souvent des cadres manquant de cohérence et d'efficacité.
La gestion de l'exposition s'ancre dans une approche avancée de l'évaluation des risques qui se déploie sur plusieurs axes :
Si l'étude d'Ivanti montre que les professionnels de la sécurité sont persuadés de savoir mesurer leur exposition aux risques, elle suggère également que cette assurance n'est pas forcément justifiée. Les répondants considèrent à 80 % que leur capacité est « bonne », voire « excellente ».
Cependant, il reste encore difficile de véritablement définir et quantifier le risque qu'encourt l'entreprise. Même si 83 % des entreprises affirment disposer d'un cadre clairement documenté pour identifier la tolérance aux risques, un peu plus de la moitié d'entre elles (51 %) admettent qu'il n'est pas strictement respecté… ce qui revient quasiment à ne pas en avoir.
Lorsqu'une entreprise n'applique pas scrupuleusement son cadre de tolérance aux risques, l'impact peut être énorme : des pertes financières ou de la perte de réputation jusqu'aux amendes pour non-respect des réglementations.
L'étude d'Ivanti montre que les dirigeants, tout comme les professionnels de sécurité, ont du mal à mesurer et à expliquer l'exposition aux risques. Ils parlent de :
Difficultés à mesurer les risques : les entreprises peinent à quantifier et à mesurer les risques avec clarté et objectivité.
51 %citent la pénurie de talent comme frein à la mesure de leur exposition aux risques. |
49 %citent l'accès limité à des données pertinentes comme frein à la mesure de leur exposition aux risques. |
Difficultés de communication : les entreprises peinent à faire appréhender à la direction au sens large la notion d'exposition aux risques.
Bien que 48 % des dirigeants affirment que les responsables de sécurité communiquent très efficacement cette notion à la direction, seulement 40 % des professionnels de sécurité partagent cet avis.
Les entreprises se tournent de plus en plus vers leur RSSI/DSSI (ou CISO) pour des conseils stratégiques, notamment autour de l'adoption de l'IA et de la gestion des risques liés à la chaîne logicielle. Et les conseils d'administration s'impliquent toujours plus : notre étude révèle que la cybersécurité y est déjà un sujet de discussion. Selon 89 % des personnes interrogées, le conseil d'administration débat des cyber-risques, et 88 % rapportent que les RSSI participent à des réunions stratégiques de haut niveau, où se prennent les décisions métier et où se joue la planification organisationnelle, etc.
89 %disent que le conseil d'administration de leur entreprise discute des cyber-risques. |
88 %constatent que le RSSI/DSSI (ou le CISO) participe aux réunions stratégiques de haut niveau et est impliqué dans la prise de décisions business et la planification. |
Néanmoins, de nombreux RSSI/DSSI (ou CISO) restent focalisés sur les risques d'interruption de service et sont loin d'avoir une vision d'ensemble.
Pour devenir des acteurs stratégiques, les responsables de sécurité doivent apprendre à parler la langue de leur PDG et de leur conseil d'administration. Ils doivent ainsi traduire leur savoir-faire technique en priorités business, par exemple en décodant l'impact des attaques en termes de préjudices financiers et réputationnels et les conséquences juridiques et réglementaires des fuites de données.
Actuellement, les dirigeants d'entreprise et les équipes Sécurité ne parlent pas le même langage. Par exemple, lorsqu'on leur demande les domaines de cybermenaces les plus importants/impactants, les dirigeants citent surtout des impacts financiers, comme la perte de chiffre d'affaires ou l'augmentation des dépenses, alors que les professionnels de sécurité parlent d'abord d'impacts opérationnels, comme les interruptions de service ou la perte de productivité.
Combler cet écart de compréhension implique un changement d'état d'esprit de la Sécurité : ce département ne doit plus seulement protéger l'entreprise contre les menaces les plus récentes, mais bien soutenir sa croissance, son innovation et son développement. Avec une telle approche de la gestion de l'exposition combinée à de solides pratiques de gestion des données, les équipes de sécurité peuvent :
Pour que la cybersécurité soit véritablement partie intégrante de la structure de l'entreprise, les RSSI (ou CISO) doivent jeter des ponts entre expertise technique et stratégie d'entreprise. Il faut pour cela traduire les cyber-risques en impacts business tangibles, favoriser la collaboration transversale, et aligner les mesures de sécurité sur les objectifs de l'entreprise. C'est à cette condition seulement que la cybersécurité ne sera plus considérée comme un centre de coûts, mais comme un levier d'innovation et de croissance.
Brooke Johnson
Chief Legal Counsel, Senior Vice President of Security and Human Resources chez Ivanti
La dette technologique est un problème à la fois courant et toxique. L'étude d'Ivanti en examine toute l'étendue et les réponses qu'apportent les entreprises.
Pour 1/3 des professionnels de sécurité et des dirigeants interrogés, la dette technologique est une grave préoccupation. Le niveau d'inquiétude varie énormément d'un secteur d'activité à l'autre. C'est dans celui de la santé que l'inquiétude est au plus haut (40 % signalent une inquiétude « Très sérieuse », voire « Extrêmement sérieuse »), suivi par l'industrie et la technologie.
Si les causes de la dette technologique varient, les professionnels de sécurité dénoncent le plus souvent deux grands facteurs : l'étroite interdépendance de leurs systèmes existants et la nécessité de sécuriser des systèmes aux exigences en constante évolution. (Sans surprise pour les experts du secteur : la moitié des entreprises interrogées [51 %] disent utiliser des logiciels en fin de vie.)
Les répercussions de la dette technologique sont incommensurables :
Responsables de sécurité et dirigeants d'entreprise doivent aligner budgets et objectifs afin de garantir une gestion sécurisée et stratégique de leurs investissements et d'éviter les conséquences négatives de la dette technologique. La gageure commence lorsque les entreprises ne vérifient et ne gèrent pas régulièrement leur pile technologique : elles dépendent alors de solutions obsolètes dont les failles de sécurité ne sont plus corrigées.
Dennis Kozak
Chief Executive Officer chez Ivanti
Lorsque les entreprises adoptent des solutions et composants tiers, ces actifs peuvent, s'ils sont mal gérés, entraîner une dette technologique. En effet, au fil du temps, ces composants de la chaîne logicielle alourdissent cette dette s'ils n'ont pas été régulièrement mis à jour et corrigés.
La multiplication des fournisseurs exacerbe le problème. En effet, si les composants tiers de la chaîne logicielle étendent la surface d'attaque, la multiplicité et l'hétérogénéité des outils viennent encore amplifier les répercussions néfastes de la dette technologique sur la posture de sécurité.
Pour l'écrasante majorité des professionnels de sécurité (84 %), il est « très important » de surveiller la chaîne logicielle, et 73 % affirment être « très efficaces » dans cette surveillance. Pourtant, presque la moitié (48 %) n'ont pas encore identifié les composants les plus vulnérables de leur chaîne logicielle.
Quelles sont les pistes de bonnes pratiques pour la chaîne logicielle ? Nous avons demandé aux professionnels de la cybersécurité d'évaluer le niveau de préparation de leur entreprise à la cybersécurité, du niveau de base (Niveau 1) au meilleur (Niveau 4), en vue d'élaborer un modèle de maturité de la cybersécurité.
Ce modèle permet de dégager les différences de pratiques de sécurisation de la chaîne logicielle entre les entreprises les plus avancées et les moins matures.
Les entreprises répondantes divergent sur la désignation de l'entité « propriétaire » de la sécurité des logiciels, mais celles de niveau 4 appréhendent la responsabilité comme partagée entre le fournisseur du logiciel et son client.
Les entreprises moins matures (Niveau 2) tendent plus souvent que les autres à affirmer que le fournisseur est entièrement responsable de la sécurité. Ce point de vue peut être lié à des contraintes de ressources, à une expertise technique insuffisante pour assumer certaines responsabilités, ou même à la sécurisante idée fausse que les cyberattaques ciblent uniquement les grandes entreprises traitant des données sensibles.
Quoi qu'il en soit, penser que la sécurité incombe entièrement aux fournisseurs peut engendrer un sentiment de sécurité trompeur. De plus, ces entreprises pourraient à la longue afficher une trop forte dépendance à des solutions tierces et négliger les bonnes pratiques et l'implémentation de mesures de sécurité multicouches.
La sécurité des logiciels doit être une responsabilité partagée.
Il incombe aux fournisseurs de recourir à des pratiques de développement sécurisé (revues de code croisées, analyses de vulnérabilités, tests d'intrusion, etc.) tout au long du cycle de vie du développement logiciel. Ils doivent aussi fournir rapidement des mises à jour et des correctifs de sécurité pour corriger les nouvelles vulnérabilités.
De leur côté, les acheteurs ont le devoir d'appliquer immédiatement ces mises à jour et correctifs de sécurité et de mettre en place un suivi et un déploiement systématiques dans toute l'entreprise. Il est de leur responsabilité d'implémenter et de maintenir des contrôles d'accès stricts incluant notamment les autorisations d'accès basées sur les rôles et le réexamen régulier des privilèges des utilisateurs. Pour finir, des audits réguliers de sécurité, notamment des analyses de vulnérabilités et des tests d'intrusion, doivent être menés afin d'identifier méthodiquement et en continu les défauts de sécurité potentiels.
Pour une cybersécurité efficace, il faut penser au-delà de l'approche traditionnelle des risques.
Alors que leur empreinte numérique ne cesse d'augmenter – elle englobe désormais un réseau complexe d'infrastructures on-premises et de services Cloud – les entreprises voient leur surface d'attaque s'étendre à un rythme sans précédent. Mais le problème ne se limite pas à la taille et à l'échelle de la surface d'attaque.
Aujourd'hui, aucune entreprise ne peut en tout réalisme atténuer l'ensemble des risques. Le paysage des menaces évolue sans cesse, les systèmes technologiques complexes sont vulnérables par nature, et les entreprises sont limitées par leurs ressources.
Cette situation exige une approche plus sophistiquée et adaptative de la cybersécurité : pour l'entreprise, la sécurité est un délicat numéro d'équilibriste entre risque et bénéfice, plutôt qu'une quête de protection à tout prix.
La gestion de l'exposition ou la promesse d'une approche plus intelligente de la gestion des risques.
L'étude d'Ivanti le montre : la gestion de l'exposition est un concept maîtrisé. Par exemple, 49 % des professionnels de sécurité affirment que, dans leur société, les dirigeants en ont une bonne appréhension globale. Pourtant, peu d'entreprises choisissent de l'adopter : seulement 22 % prévoient d'augmenter leurs investissements dans la gestion de l'exposition en 2025.
La gestion de l'exposition propose aux entreprises une approche plus nuancée (et plus efficace) de la gestion des risques. En effet, elle tient compte de l'intégralité du spectre des risques pour l'entreprise sans se limiter aux seuls cyber-risques.
Mais, pour adopter la gestion de l'exposition, une entreprise doit s'engager dans un parcours difficile : agréger ses données afin que tous les aspects de sa surface d'attaque s'y trouvent, mener des audits de risques étayés par les données en fonction de son appétence aux risques, et allouer ses ressources limitées à la réduction des vulnérabilités les plus dangereuses pour elle.
De plus, pour rendre la gestion de l'exposition opérationnelle, il faut enfin éliminer les silos, en s'attaquant non seulement aux silos de l'équipe Sécurité mais aussi aux silos transversaux. C'est alors que les équipes de sécurité auront les moyens d'identifier, d'évaluer et de catégoriser les menaces pour toute l'entreprise, en fonction de leur gravité, de leur probabilité et de leur impact.
La plupart des entreprises continuent de fonctionner comme d'habitude alors qu'il s'agit de décloisonner les données et l'organisation. Par exemple :
L'extrême complexité du paysage actuel des menaces requiert des idées et des approches nouvelles… et les responsables de sécurité doivent ouvrir la voie.
Il est temps que les équipes de cybersécurité endossent un rôle plus stratégique : sécurisation des actifs critiques, protection de la confiance des clients, maintien de la conformité globale, soutien de la continuité des activités. En somme, elles doivent accompagner l'entreprise vers la résilience et la compétitivité. Il faudra pour ce faire renforcer la collaboration et la communication entre responsables de sécurité et dirigeants, un vrai changement de mentalité voire un changement culturel pour certaines entreprises.
Ivanti a interrogé plus de 2 400 dirigeants et professionnels de la cybersécurité en octobre 2024. Notre objectif : comprendre les menaces actuelles les plus pressantes en matière de cybersécurité, ainsi que les tendances émergentes, les opportunités et les stratégies d'entreprise.
Dans le cadre de cette étude, nous avons développé un modèle de maturité de la cybersécurité. (Pour en savoir plus, voir la section 4.) La collecte d'informations par autoévaluation présente des limites, car les individus peuvent être de parti pris lorsqu'ils évaluent leurs propres efforts ; cependant, nous pensons que les résultats basés sur ce modèle de maturité fournissent des indicateurs utiles sur le domaine de la cybersécurité. Nous demandons à nos lecteurs de garder à l'esprit ces limitations.
Cette étude a été administrée par Ravn Research et les panélistes ont été recrutés par MSI Advanced Customer Insights. Les résultats de l'enquête ne sont pas pondérés. D'autres détails par pays sont disponibles sur demande.
