Ivanti Blog: Publié par

Comprendre l'appétence au risque – Une composante essentielle de la gestion de l'exposition

Mon, 10 Feb 2025 14:44:03 Z

Le risque est inhérent à toute entreprise. Le facteur différenciateur entre les entreprises est la façon de le comprendre et de le gérer.

Défis opérationnels, volatilité des marchés, évolutions réglementaires ou bouleversements technologiques, les entreprises naviguent dans un environnement marqué par des incertitudes constantes, susceptibles d’engendrer des opportunités ou des pertes significatives.

Pour faire face à cette réalité, les entreprises doivent établir un cadre permettant de déterminer le niveau de risque qu'elles sont prêtes à assumer pour atteindre leurs objectifs stratégiques. C’est ici qu’entre en jeu le concept d'« appétence au risque ».

Mais pour bien définir cette appétence, l'entreprise doit identifier et comprendre tous les risques qui la menacent. De plus, pour les équipes Sécurité, la définition de l'appétence au risque de l'entreprise est une étape essentielle pour bien gérer l'exposition.

Qu'est-ce que l'appétence au risque ?

L’appétence au risque désigne le niveau de risque qu’une entreprise accepte de prendre pour atteindre ses objectifs. Elle agit comme une boussole, définissant les limites entre un risque calculé et un risque excessif. Une appétence au risque élevée implique une ouverture à prendre des risques importants avec l’espoir de bénéfices conséquents, tandis qu'une faible appétence privilégie une approche prudente, en minimisant les risques pour maintenir la stabilité.

Prenons l'exemple d'une startup technologique qui veut investir dans la recherche et le développement. Elle peut adopter une appétence au risque plus élevée pour favoriser une innovation disruptive malgré les incertitudes associées. À l’inverse, un grand groupe établi visera une croissance progressive, en évitant des projets trop risqués qui pourraient nuire à sa réputation ou son positionnement sur le marché.

Une approche quantitative et qualitative

L’appétence au risque ne se réduit pas à un chiffre. C’est une mesure dynamique, influencée par des facteurs tels que le secteur d’activité, la taille de l’entreprise, sa santé financière et l’environnement économique.

Elle combine à la fois des aspects quantitatifs et qualitatifs.

D'un côté, l'entreprise peut disposer d'éléments mesurables, comme le montant des pertes qu'elle est prête à tolérer, son taux d'endettement et le type de ROI (Retour sur investissement) qu'elle espère. Elle peut aussi tenir compte d'aspects subjectifs, comme l'effet potentiel sur sa réputation, des considérations éthiques et la façon dont ses décisions s'alignent sur ses valeurs.

Les 5 bénéfices clés de l'appétence au risque

Pour réussir, toute entreprise doit pouvoir prendre des risques calculés. Cependant, si l'appétence au risque n'est pas clairement définie, des prises de décision incohérentes, trop conservatrices ou excessivement risquées peuvent s'en suivre. La conséquence ? Des pertes d'opportunités ou de marchés. Voici pourquoi il est indispensable de définir l'appétence au risque :

Aligner stratégie et gestion des risques

Définir clairement l'appétence au risque crée un cadre stratégique qui aligne les pratiques de gestion des risques et les objectifs globaux de l'entreprise. Si l'entreprise sait quel niveau de risque elle est prête à accepter, elle peut cibler les opportunités qui correspondent à son appétence au risque tout en évitant celles trop dangereuses.

Faciliter la prise de décision

Définir l'appétence au risque permet aux managers et aux dirigeants de prendre des décisions éclairées, car ils comprennent mieux ce qui constitue un risque acceptable. Cela permet aussi de déterminer les attentes à la fois concernant la prise de risque et les comportements d'évitement du risque, dans toute l'entreprise. Les managers peuvent ainsi évaluer le rapport risques/bénéfices dans différents scénarios.

Renforcer la confiance des parties prenantes

Une appétence au risque bien définie rassure les investisseurs, les régulateurs, les collaborateurs et autres parties prenantes, car ils voient que l'entreprise priorise la gestion des risques. Cela prouve également une approche méthodique et fiable, qui vise l'équilibre entre risques et bénéfices, ce qui renforce la confiance des parties prenantes.

Assurer la cohérence

Lorsque tout le monde partage la même compréhension du risque acceptable, les efforts convergent. Ainsi, ils ont moins de risque de travailler à contre-courant ou même les uns contre les autres. Par exemple, le département juridique peut refuser la « Grande idée » de l'équipe Marketing si les deux services ne partagent pas la même notion du risque acceptable.

Superviser efficacement les risques

Lorsque l'entreprise définit son appétence au risque, elle peut mettre en place des systèmes pour surveiller le niveau de risque dans toutes ses activités, du département Finances au département Opérations. Ainsi, elle détecte très tôt les problèmes potentiels et garantit que ses activités restent dans les limites de ce qu'elle considère comme sûr ou du moins, acceptable. Définir et surveiller les indicateurs clés de risque (KRI) permet d'alerter les personnes concernées avant que les limites fixées ne soient franchies.

Comment une entreprise définit-elle son appétence au risque ?

En général, l'entreprise passe par la rédaction d'une déclaration d'appétence au risque (RAS). Les premières sections de la RAS présentent les objectifs stratégiques de l'entreprise et les risques qu'ils impliquent.

Une entreprise peut, par exemple, souhaiter devenir leader des fournisseurs de logiciels dans son secteur. Elle doit répertorier les objectifs stratégiques qui lui permettront d'y parvenir, ainsi que les risques associés. Par exemple, Ivanti travaille dans le secteur de la fourniture de solutions Cloud de gestion des services IT et de la sécurité. Par conséquent, nous sommes tenus de rédiger une déclaration d'appétence au risque qui catalogue tous les risques qu'implique ce secteur d'activité, et qui explique comment nous allons les gérer.

Voici un exemple qui pourrait figurer dans la déclaration d'appétence au risque d'un fournisseur de logiciels :

Appétence générale au risque

[Nom d'entreprise] adopte une approche équilibrée du risque. Elle reconnaît que tous les risques ne sont pas égaux, et qu'il faut accepter un certain niveau de risque pour atteindre les objectifs stratégiques fixés.

Risque lié à l'innovation Notre appétence au risque est élevée lorsqu'il s'agit d'investir dans des technologies de pointe et des solutions innovantes susceptibles d'offrir un avantage concurrentiel à nos produits. Nous reconnaissons que cela implique d'accepter un certain degré d'incertitude, notamment en matière de R&D et de développement produit.

Risque opérationnel Dans ce domaine, notre appétence au risque est faible à modérée. Tout en visant l'excellence opérationnelle, nous priorisons des initiatives qui optimisent l'efficacité et la qualité de service sans jamais compromettre nos standards.

Risque lié à la sécurité Notre appétence au risque est très faible en matière de menaces et de failles de sécurité. La sécurité réseau et la protection des données sont notre priorité absolue. Nous investissons d'ailleurs massivement pour protéger nos systèmes et les données de nos clients.

Risque lié à la conformité Notre appétence au risque est faible en matière de non-conformité aux obligations légales et réglementaires. Nous considérons qu'il est primordial de garantir l'application des lois, normes et meilleures pratiques en vigueur pour toutes les opérations.

Appétence générale au risque [Nom d'entreprise] adopte une approche équilibrée du risque. Elle reconnaît que tous les risques ne sont pas égaux, et qu'il faut accepter un certain niveau de risque pour atteindre les objectifs stratégiques fixés.
Risque lié à l'innovation	Notre appétence au risque est élevée lorsqu'il s'agit d'investir dans des technologies de pointe et des solutions innovantes susceptibles d'offrir un avantage concurrentiel à nos produits. Nous reconnaissons que cela implique d'accepter un certain degré d'incertitude, notamment en matière de R&D et de développement produit.
Risque opérationnel	Dans ce domaine, notre appétence au risque est faible à modérée. Tout en visant l'excellence opérationnelle, nous priorisons des initiatives qui optimisent l'efficacité et la qualité de service sans jamais compromettre nos standards.
Risque lié à la sécurité	Notre appétence au risque est très faible en matière de menaces et de failles de sécurité. La sécurité réseau et la protection des données sont notre priorité absolue. Nous investissons d'ailleurs massivement pour protéger nos systèmes et les données de nos clients.
Risque lié à la conformité	Notre appétence au risque est faible en matière de non-conformité aux obligations légales et réglementaires. Nous considérons qu'il est primordial de garantir l'application des lois, normes et meilleures pratiques en vigueur pour toutes les opérations.

La RAS doit définir les risques qui auraient le plus d'impact sur l'entreprise, et non pas les risques quotidiens qui font simplement partie de ses activités. Il faut tenir compte de plusieurs scénarios de risque. Par exemple, une stratégie spécifique peut entraîner des risques pour la chaîne d'approvisionnement, notamment les conséquences de dépendre d'un seul fournisseur ou les dangers d'exposition réglementaire si un fournisseur ne gère pas correctement les données client.

La déclaration RAS doit aussi fixer le niveau de risque financier que l'entreprise est prête à courir. Si ses objectifs incluent la sortie d'un nouveau produit ou service, il existe toujours un risque d'échec sur le marché.

Composants de l'appétence au risque

Voici les facteurs clés à prendre en compte pour définir l'appétence au risque :

Capacité de risque

C'est le niveau maximal de risque que l'entreprise peut supporter. Il dépend des ressources financières, des capacités opérationnelles et des contraintes réglementaires. Mais attention : la capacité diffère de l’appétence si l’entreprise choisit volontairement de prendre moins de risques qu’elle ne le pourrait.

Tolérance au risque

Alors que la capacité de risque est le niveau de risque que l'entreprise peut supporter, la tolérance au risque correspond à l'écart acceptable par rapport à l'objectif. On peut même définir une tolérance distincte pour chaque domaine. Par exemple, une entreprise peut être flexible sur le lancement d’un produit mais stricte sur la sécurité des données client.

Seuils de risque

Nous avons mentionné plus haut la surveillance des risques et les KRI, qui évitent à l'entreprise de franchir le seuil de risque, à savoir la « ligne rouge » qui représente trop de risque. Franchir un seuil de risque peut exiger un changement de plan, un renforcement des mesures de sécurité ou même un arrêt total des activités.

Pour aller plus loin : Rapport d'étude Ivanti Vers une vision commune : La gestion des cyber-risques par le ComEx

Pourquoi l'appétence au risque est-elle importante dans la gestion de l'exposition ?

Dans le passé, l'atténuation des risques numériques était une tâche bien plus simple qu'elle ne l'est aujourd'hui. En effet, la surface d'attaque des entreprises s'est énormément étendue au fil du temps. L'ajout de nouveaux périphériques et applications, utilisés par les collaborateurs dans une multitude de lieux, a transformé l'environnement de travail et élargi le paysage des menaces numériques.

C'est ce qui explique notamment pourquoi l'étude Ivanti conclut que plus de la moitié des professionnels IT doutent de leur capacité à stopper un incident de sécurité dommageable au cours des 12 prochains mois. Encore plus alarmant, 1/3 d'entre eux estiment qu'ils sont moins bien préparés à détecter les menaces et à répondre aux incidents qu'il y a un an.

Pendant longtemps, la gestion des vulnérabilités traditionnelle consistait à remédier aux vulnérabilités et autres CVE des logiciels et du matériel en effectuant des analyses ponctuelles. Mais ce modèle basé sur une approche réactive est dépassé face à l'évolution rapide des cybermenaces : c’est là qu’intervient la gestion moderne de l’exposition.

La gestion moderne de l'exposition consiste à détecter et éliminer en continu, proactivement, les risques et vulnérabilités sur l'ensemble de la surface d'attaque numérique, qu'ils soient dus à l'exposition des actifs IT, au manque de sécurité des postes client et des applications, aux ressources Cloud ou à d'autres facteurs. Pourquoi la gestion de l'exposition et l'appétence au risque sont-elles aussi étroitement liées ?

Évaluation de l'exposition en fonction des niveaux de risque acceptables : la gestion de l'exposition implique la quantification du niveau de risque associé à différentes expositions. En définissant le risque acceptable, l'entreprise peut comparer l'impact possible des différents risques avec son appétence au risque.
Déploiement de ressources basé sur les risques : les entreprises doivent prioriser les expositions qui représentent la plus grande menace pour leurs stratégies... une évaluation qui n'est possible que si elles connaissent précisément leur appétence au risque. Cette priorisation leur permet de concentrer leurs efforts sur l'atténuation des risques les plus critiques, souvent à l'aide d'un outil RBVM (Gestion des vulnérabilités basée sur les risques) avancé.
Ajustement de l'appétence au risque : face à l'évolution de l'environnement commercial ou l'émergence de nouveaux risques, il peut être nécessaire d'ajuster l'appétence au risque. Les données et insights que les entreprises obtiennent grâce à leurs pratiques de gestion de l'exposition les aident à prendre des décisions éclairées concernant ce type d'ajustement.
Garantie de conformité : des normes et réglementations précises imposent des exigences en matière de gestion des risques. Ces cadres réglementaires influencent directement l’appétence au risque d’une entreprise, qui doit s’assurer qu’elle reste conforme pour éviter sanctions ou pertes d’opportunités commerciales.

Pour aller plus loin : Rapport d'étude Ivanti Gestion de la surface d'attaque

La gestion de l'exposition, un changement de mentalité dans la gestion des risques

La gestion de l’exposition moderne ne se limite pas à éviter les risques à tout prix. Elle se concentre sur la création d’une tolérance calculée, adaptée aux objectifs stratégiques de l’organisation. Prenons un exemple simple : une entreprise de commerce en ligne pourrait être prête à courir un risque de cybersécurité légèrement accru pendant le Black Friday, car les bénéfices générés pendant cette période dépasseraient les impacts potentiels d’une attaque mineure.

Au lieu de considérer chaque risque comme une crise qu'il faut résoudre immédiatement, les entreprises doivent prioriser les risques en fonction de leurs besoins. Dans ce cadre, la plupart des risques ne sont pas graves : tout est une question de réaction à ces risques, de contrôle et d'atténuation pour les ramener à un niveau acceptable.

Les 8 meilleures pratiques pour réduire la surface d'attaque de votre entreprise

Fri, 08 Sep 2023 08:38:47 Z

L'augmentation de la surface d'attaque renforce les risques de cybersécurité. Donc en toute logique, la réduction de la surface d'attaque devrait limiter les risques de cybersécurité.

Bien que certaines solutions de gestion de la surface d'attaque proposent des fonctions de remédiation qui soutiennent ces efforts, ce type de remédiation est purement réactif. Comme pour tout ce qui touche à la sécurité et à la gestion des risques, il vaut mieux être proactif.

La bonne nouvelle, c'est que les solutions ASM (Gestion de la surface d'attaque) ne sont pas les seules armes dont disposent les équipes de sécurité pour réduire la surface d'attaque. Une entreprise peut prendre de nombreuses mesures pour réduire l'exposition de son environnement IT et prévenir les cyberattaques.

Comment réduire la surface d'attaque de mon entreprise ?

Malheureusement pour vous, mais à la plus grande satisfaction des acteurs malveillants, vous ne pourrez pas éliminer totalement votre surface d'attaque. Toutefois, vous pourrez la réduire considérablement en applicant des contrôles de sécurité basés sur les meilleures pratiques :

Réduire la complexité
Adopter une stratégie Zero Trust pour le contrôle des accès logiques et physiques
Passer à la gestion des vulnérabilités basée sur les risques (RBVM)
Implémenter la segmentation et microsegmentation réseau
Renforcer la configuration des logiciels et des actifs
Imposer la conformité aux stratégies
Former tous les collaborateurs aux stratégies et meilleures pratiques de cybersécurité
Améliorer l'expérience numérique des collaborateurs (DEX)

Comme l'indique notre entrée de glossaire « surface d'attaque », les différents vecteurs d'attaque peuvent techniquement relever de plusieurs types de surface d'attaque (numérique, physique et/ou humaine). De même, un grand nombre des meilleures pratiques citées ici vous aident à réduire plusieurs types de surface d'attaque.

C'est pourquoi nous avons inclus une liste de contrôle avec chaque pratique, pour indiquer le ou les types de surface d'attaque principalement gérés par la pratique en question.

1. Réduire la complexité

Surface d'attaque numérique	Surface d'attaque physique	Surface d'attaque humaine
X	X

Réduisez votre surface d'attaque de cybersécurité en simplifiant les opérations. Cela paraît évident, non ? Et c'est le cas. Pourtant, de nombreuses entreprises n'ont toujours pas réussi à exécuter cette étape apparemment simple. Pas parce que ce n'est pas une évidence, mais parce que c'est parfois très difficile à faire.

Une étude Randori et ESG montre que sept entreprises sur 10 ont été compromises par un actif inconnu, non géré ou mal géré qui était connecté à Internet, au cours de l'année écoulée. Les solutions CAASM (Gestion de la surface d'attaque des cyberactifs) permettent à ce type d'entreprise d'identifier tous leurs actifs (y compris les actifs non autorisés et non gérés) afin de pouvoir les sécuriser, les gérer ou même les supprimer du réseau de l'entreprise.

Tous les actifs non utilisés ou inutiles, des périphériques de poste client à l'infrastructure réseau, doivent aussi être supprimés du réseau et correctement exclus.

Le code de vos applications logicielles est également un domaine où la complexité affecte la taille de votre surface d'attaque. Travaillez avec votre équipe Développement pour identifier les opportunités éventuelles de réduction de la quantité de code exposée aux pirates, ce qui vous permettra de réduire aussi votre surface d'attaque.

2. Adopter une stratégie Zero Trust pour le contrôle des accès logiques et physiques

Surface d'attaque numérique	Surface d'attaque physique	Surface d'attaque humaine
X	X

Le NIST (National Institute of Standards and Technology) définit le Zero Trust comme suit :

≪ Ensemble de concepts et d'idées conçu pour réduire au minimum l'incertitude au moyen de l'application de décisions d'accès précises, par moindre privilège et à la demande, dans les systèmes et services d'information face à un réseau considéré comme compromis. ≫

Autrement dit, pour toutes les demandes d'accès, « Ne jamais faire confiance, toujours vérifier ».

Découvrez comment Ivanti vous aide à adopter les contrôles CSF du NIST, dans le document « The NIST Cybersecurity Framework (CSF): Mapping Ivanti’s Solutions to CSF Controls »

Adopter une approche Zero Trust du contrôle des accès logiques réduit la surface d'attaque de votre entreprise (et la probabilité de fuites de données) car votre situation et votre conformité sont vérifiées en continu et un accès par moindres privilèges est garanti.

Et même si le Zero Trust n'est pas un produit mais une stratégie, il existe des produits qui vous aident à implémenter une stratégie Zero Trust. Parmi ces produits, les plus performants sont ceux inclus dans la structure SASE (Périphérie de services d'accès sécurisé) :

SD-WAN (réseau WAN défini par logiciel)
Passerelle Web sécurisée (SWG)
Broker de sécurité d'accès Cloud (CASB)
Pare-feu nouvelle génération (NGFW)
Accès réseau Zero Trust (ZTNA)

Et, même si elle n'est généralement pas perçue de cette manière, une stratégie Zero Trust peut s'étendre au-delà du contrôle d'accès logique, jusqu'au contrôle d'accès physique. Quand il s'agit d'accepter quelqu'un dans les zones sécurisées de vos installations, appliquez le principe « Ne jamais faire confiance, toujours vérifier ». Vous pouvez utiliser pour ce faire des mécanismes comme les cartes d'accès et les contrôles biométriques.

3. Passer à la gestion des vulnérabilités basée sur les risques (RBVM)

Surface d'attaque numérique	Surface d'attaque physique	Surface d'attaque humaine
X

Commençons par une mauvaise nouvelle : la base de données nationale des vulnérabilités des États-Unis (US NVD) contient plus de 160 000 vulnérabilités notées auxquelles s'ajoutent des dizaines d'autres chaque jour. Maintenant, la bonne nouvelle : la grande majorité de ces vulnérabilités n'ont jamais été exploitées, ce qui signifie qu'elles ne peuvent pas servir à lancer une cyberattaque. Elles ne font donc pas partie de votre surface d'attaque.

En fait, un rapport de recherche sur les ransomwares signé Securin, Cyber Security Works (CSW), Ivanti et Cyware a montré que seulement 180 de ces plus de 160 000 vulnérabilités faisaient l'objet d'exploitations en vogue.

Comparaison du nombre total de vulnérabilités NVD et de celles qui mettent vraiment une entreprise en danger

Environ 0,1 % seulement de toutes les vulnérabilités connues aux États-Unis font l'objet d'exploitations actives qui présentent un risque immédiat pour une entreprise.

L'approche traditionnelle de la gestion des vulnérabilités qui s'appuie sur les scores de risque Common Vulnerability Scoring System (CVSS), obsolètes et statiques, ne peut pas classifier avec précision les vulnérabilités exploitées. Et bien que le catalogue KEV (Vulnérabilités dont l'exploitation est connue) de la CISA (Cybersecurity & Infrastructure Security Agency) soit un pas dans la bonne direction, il est incomplet et ne tient pas compte de la criticité des actifs dans l'environnement d'une entreprise.

Il faut une vraie approche basée sur les risques. Le RBVM (Gestion des risques basée sur les vulnérabilités), comme son nom l'indique, est une stratégie de cybersécurité qui priorise la remédiation des vulnérabilités en fonction des risques qu'elles représentent pour l'entreprise.

Lisez notre document « Le guide ultime pour la gestion des correctifs basée sur les
risques » et découvrez comment faire évoluer votre stratégie de remédiation vers une approche basée sur les risques.

Les outils RBVM collectent les données des scanners de vulnérabilités, des tests de pénétration, des outils de Threat Intelligence et d'autres sources de sécurité, et les utilisent pour mesurer les risques et prioriser les opérations de remédiation.

Grâce à l'intelligence qu'apporte leur outil RBVM, les entreprises peuvent alors s'attaquer à la réduction de leur surface d'attaque, en corrigeant les vulnérabilités les plus dangereuses pour elles. Le plus souvent, cela implique d'appliquer les correctifs des vulnérabilités exploitées côté infrastructure et de corriger le code vulnérable dans la pile d'applications.

4. Implémenter la segmentation et microsegmentation réseau

Surface d'attaque numérique	Surface d'attaque physique	Surface d'attaque humaine
X

Une fois encore, voyons ce que dit le glossaire NIST. La segmentation réseau y est définie comme suit :

Diviser un réseau en sous-réseaux, par exemple en créant des zones distinctes sur le réseau qui sont protégées par des pare-feux configurés pour rejeter le trafic inutile. La segmentation réseau minimise les dommages causés par les malwares et autres menaces en les isolant dans une partie limitée du réseau.

Cette définition vous explique comment il est possible de réduire votre surface d'attaque en interdisant aux pirates certaines zones de votre réseau. Alors que la segmentation réseau traditionnelle empêche les pirates de se déplacer du nord au sud au niveau du réseau, la microsegmentation les empêche de se déplacer d'est en ouest au niveau de la charge de travail.

Plus précisément, la microsegmentation va au-delà de la segmentation réseau et applique les stratégies à un niveau plus détaillé, comme à chaque application ou périphérique au lieu de tout le réseau.

Vous pouvez par exemple l'utiliser pour implémenter des restrictions afin qu'un périphérique IoT ne puisse communiquer qu'avec son serveur d'applications et pas avec d'autres périphériques IoT, ou bien pour empêcher une personne d'un département d'accéder aux systèmes des autres départements.

5. Renforcer la configuration des logiciels et des actifs

Surface d'attaque numérique	Surface d'attaque physique	Surface d'attaque humaine
X

Généralement, les systèmes d'exploitation, les applications et les actifs d'entreprise (serveur, et périphériques utilisateur, réseau et IoT) vous sont livrés non configurés, ou dotés de configurations par défaut qui favorisent la facilité de déploiement et d'utilisation plutôt que la sécurité. Selon la version 8 des contrôles CIS (Contrôles de sécurité critiques), les éléments suivants sont tous exploitables s'ils restent à l'état par défaut :

Contrôles de base
Services et ports ouverts
Comptes ou mots de passe par défaut
Paramètres DNS (Système de noms de domaine) préconfigurés
Anciens protocoles (vulnérables)
Logiciels inutiles préinstallés

Ce type de configuration augmente clairement votre surface d'attaque. Pour résoudre ce problème, le contrôle 4 de la liste Contrôles CIS v8 (Sécuriser la configuration des actifs et logiciels d'entreprise) recommande de développer et d'appliquer des configurations initiales strictes, puis de gérer et de maintenir ces configurations en continu pour éviter toute dégradation de la sécurité des logiciels et des actifs.

Voici des ressources et outils gratuits que votre équipe peut exploiter pour l'aider :

CIS Benchmarks List – Recommandations de configuration pour plus de 25 familles de produits de fournisseurs
NIST National Checklist Program (NCP - Programme de listes de contrôle nationales NIST) – Collection de listes de contrôle fournissant des conseils sur la définition des configurations de sécurité des logiciels
CIS-CAT Lite — Outil d'évaluation qui aide les utilisateurs à implémenter des configurations sécurisées pour toute une variété de technologies

6. Imposer la conformité aux stratégies

Surface d'attaque numérique	Surface d'attaque physique	Surface d'attaque humaine
X	X

Ce n'est pas un secret : les postes client contribuent énormément à la taille de la plupart des surfaces d'attaque, surtout à l'ère de l'Everywhere Work où plus de collaborateurs que jamais travaillent en mode hybride ou à distance. Sept fonctionnaires sur 10 travaillent désormais en virtuel au moins une partie du temps.

C'est déjà assez difficile d'obtenir des collaborateurs qu'ils respectent les stratégies IT et de sécurité quand ils sont au bureau. Imaginez, quand 70 % d'entre eux se trouvent aux quatre coins du monde.

Les outils UEM (Gestion unifiée des terminaux) garantissent une conformité universelle aux stratégies en appliquant automatiquement ces dernières. Ce fait ne devrait pas étonner les professionnels de l'IT et de la sécurité, dont beaucoup considèrent l'UEM comme un produit de base à ce stade. En fait, Gartner prévoit que 90 % de ses clients vont gérer la majorité de leur parc avec des outils UEM basés dans le Cloud dès 2025.

Néanmoins, l'UEM est la meilleure solution pour faire respecter la conformité aux stratégies IT et de sécurité, donc je m'en voudrais de l'oublier ici.

Lisez notre document « Le guide ultime de la gestion unifiée des terminaux » pour découvrir les principaux avantages commerciaux et des cas d'usage des solutions UEM modernes.

De plus, outre la mise en conformité, les outils UEM modernes offrent différentes autres fonctions qui vous aident à identifier, gérer et réduire votre surface d'attaque :

Offrir une visibilité complète des actifs IT en découvrant tous les périphériques sur votre réseau. C'est une fonction ASM indispensable pour les entreprises sans solution CAASM.
Provisionner les périphériques avec les logiciels et permissions d'accès appropriés, puis mettre automatiquement ces logiciels à jour selon les besoins. Aucune intervention de l'utilisateur n'est nécessaire.
Gérer tous les types de périphérique tout au long de leur cycle de vie, de l'onboarding à la fin de vie, pour garantir qu'ils sont correctement exclus lorsqu'on ne les utilise plus.
Appliquer automatiquement des configurations de périphérique (voir le point 5. Renforcer les configurations des logiciels et des actifs pour en savoir plus sur l'importance de cette opération).
Prendre en charge l'accès Zero Trust et la gestion contextuelle de l'authentification, des vulnérabilités, des stratégies, des configurations et des données, grâce à l'intégration dans les outils d'identité, de sécurité et d'accès à distance. Par exemple, les outils UEM et MTD (Défense contre les menaces mobiles) peuvent s'intégrer pour vous permettre d'appliquer des stratégies basées sur les risques en vue d'empêcher les périphériques mobiles de compromettre le réseau d'entreprise et ses actifs.

7. Former tous les collaborateurs aux stratégies et meilleures pratiques de cybersécurité

Surface d'attaque numérique	Surface d'attaque physique	Surface d'attaque humaine
		X

74 % des fuites de données analysées dans le rapport d'investigation « 2023 Verizon Data Breaches Investigation Report (DBIR) » impliquaient un élément humain.

Ainsi, vous ne devriez pas être surpris à la lecture du rapport Ivanti « Rapport sur l'état de la cybersécurité des gouvernements » et du pourcentage des collaborateurs, partout dans le monde, qui pensent que leurs actions n'ont pas d'impact sur la capacité de leur entreprise à repousser les cyberattaques :

Les collaborateurs pensent-ils que leurs propres actions comptent ?

De nombreux collaborateurs ne pensent pas que leurs actions impactent la capacité de leur entreprise à se protéger des cyberattaques.

La phrase immortelle d'Alexander Pope : « l'erreur est humaine » se traduit ainsi en termes de cybersécurité : tant que l'IA ne prend pas officiellement le relais, l'être humain reste un composant significatif de votre surface d'attaque. Et, en attendant, il faut gérer la surface d'attaque humaine et la réduire dès que possible.

Jusqu'à ce jour, la meilleure façon d'y parvenir s'avère être la formation à la cybersécurité, à la fois sur les meilleures pratiques d'ordre général et sur les stratégies propres à l'entreprise. Et, surtout, n'oubliez pas d'inclure un module sur l'ingénierie sociale.

De nombreux professionnels de la cybersécurité sont d'accord. Quand on pose la question « D'après votre expérience, quelle mesure de sécurité est la plus efficace pour prévenir les cyberattaques et les fuites de données ? » dans Reddit r /cybersecurity subreddit, la plupart des commentaires mentionnent le besoin de formation des utilisateurs :

Reddit / u/Forbesington

Reddit / u/slybythenighttothecape

Reddit / u/_DudeWhat

Reddit / u/onneseen

Faisons encore appel aux contrôles CIS v8. Le contrôle 14 (Formation de sensibilisation à la sécurité et de compétences) encourage les entreprises à procéder comme suit : « Établir et maintenir un programme de sensibilisation à la sécurité pour influencer le comportement du personnel afin qu'il soit conscient de la sécurité et correctement qualifié pour réduire les risques de cybersécurité pour l'entreprise. »

Le CIS (Center for Internet Security) recommande également d'exploiter les ressources suivantes pour élaborer un programme de sensibilisation à la sécurité :

Les équipes Sécurité et IT (et pas seulement les non-techniciens) doivent aussi recevoir une formation à la cybersécurité adaptée à leur rôle. En fait, d'après les décideurs IT et de sécurité interrogés par Randori et ESG pour leur rapport 2022 « The State of Attack Surface Management » offrir davantage de formation ASM au personnel IT et de sécurité est la troisième méthode la plus efficace pour améliorer l'ASM.

Garantir que vos partenaires, fournisseurs et autres sous-traitants tiers suivent également une formation à la sécurité peut aussi vous aider à limiter votre surface d'attaque humaine.

8. Améliorer l'expérience numérique des collaborateurs (DEX)

Surface d'attaque numérique	Surface d'attaque physique	Surface d'attaque humaine
X		X

Quel que soit le niveau de formation à la cybersécurité de vos collaborateurs, plus les mesures de sécurité sont complexes et alambiquées, plus ils sont susceptibles de les contourner. 69 % des utilisateurs finaux disent avoir du mal à naviguer parmi des mesures de sécurité inutilement alambiquées et complexes. Ces utilisateurs mécontents ont souvent tendance à distribuer des données sur des canaux non sécurisés, à empêcher l'installation des mises à jour de sécurité et à déployer du Shadow IT.

Le choix des responsables IT semble donc impossible : améliorer l'expérience numérique des collaborateurs (DEX) au prix de la sécurité, ou favoriser la sécurité plutôt que l'expérience ? La sécurité et la DEX sont toutes deux aussi importantes pour la réussite de l'entreprise et sa résilience. En fait, d'après une étude Enterprise Management Associates (EMA), réduire les frictions en matière de sécurité rend les événements de violation plus rares.

Alors que faire ? Le « Rapport Ivanti 2022 Expérience numérique des collaborateurs (DEX) » montre que les responsables IT doivent, avec le soutien de leurs hauts dirigeants, faire des efforts pour fournir une expérience numérique des collaborateurs sécurisée dès la conception. Cette tâche, qui semblait autrefois impossible, est maintenant plus facile que jamais grâce au marché émergent des outils DEX, qui vous aident à mesurer et à améliorer en permanence l'expérience technologique des collaborateurs.

Lisez notre rapport Rapport Ivanti 2022 Expérience numérique des collaborateurs DEX pour en savoir plus sur le rôle de la DEX dans la cybersécurité.

S'il existe un domaine dans lequel les entreprises peuvent facilement améliorer à la fois la sécurité et l'expérience des collaborateurs, c'est l'authentification. Pénibles et peu efficaces à mémoriser, saisir et réinitialiser, les mots de passe sont depuis longtemps le fléau des utilisateurs finaux.

Et surtout, ils sont extrêmement peu sûrs. Environ la moitié des 4 291 fuites de données n'impliquant pas d'activité malveillante en interne analysées pour le rapport « 2023 Verizon DBIR » ont été provoquées via des informations d'authentification. C'est quatre fois plus que celles provoquées par l'hameçonnage, ce qui en fait de loin la voie d'accès la plus populaire au parc IT d'une entreprise.

Les logiciels d'authentification sans mot de passe résolvent le problème. Si vous voulez à la fois améliorer l'expérience de vos utilisateurs finaux et réduire votre surface d'attaque, déployez une solution d'authentification sans mot de passe qui utilise des protocoles d'authentification FIDO2. Vous et vos utilisateurs pourrez vous réjouir de dire adieu à tout jamais aux mots de passe écrits sur des Post-it.

Pour en savoir plus sur la façon de trouver l'équilibre entre sécurité et DEX, consultez les ressources suivantes :

Autres ressources gratuites

Les meilleures pratiques suggérées par Ivanti pour réduire votre surface d'attaque combinent les résultats de notre expérience directe et des connaissances indirectes glanées auprès de sources faisant autorité.

Et, même si ces meilleures pratiques réduisent sensiblement votre surface d'attaque, une entreprise peut prendre une multitude d'autres mesures pour combattre l'expansion et la complexité toujours plus importantes des surfaces d'attaque modernes.

Consultez les ressources gratuites suivantes (dont certaines sont mentionnées plus haut) pour en savoir plus sur la réduction de votre surface d'attaque :

Étapes suivantes

Vous avez implémenté les meilleures pratiques présentées ici et vous vous demandez quelle est la prochaine étape ? Comme pour tout ce qui touche à la cybersécurité, il n'y a pas de place pour l'immobilisme. Les surfaces d'attaque exigent une surveillance constante.

Vous ne savez jamais quand le prochain périphérique BYOD non géré va se connecter à votre réseau, quand la prochaine vulnérabilité de votre logiciel CRM va être exploitée ou quand le prochain collaborateur va oublier son iPhone au bar après une sortie entre collègues.

Il faut non seulement traquer les vecteurs d'attaque existants, mais aussi vous informer sur ceux qui émergent. Par exemple, l'essor récent des modèles d'IA provoque une expansion substantielle de la surface d'attaque, et on peut parier que d'autres technologies ouvrant la porte sur votre environnement IT vont apparaître. Restez vigilant.