Ivanti Blog: Publié par

Gestion de l’exposition vs gestion des vulnérabilités : laquelle permet de réduire réellement les risques ?

Thu, 29 Jan 2026 13:00:01 Z

La gestion des vulnérabilités accompagne les organisations et le secteur de la cybersécurité depuis des années. Cette pratique éprouvée a aidé les entreprises à défendre leur surface d’attaque et à empêcher les acteurs malveillants d’exploiter les vulnérabilités.

Mais les technologies et les infrastructures IT ont évolué. La gestion des vulnérabilités ne suffit plus à répondre aux défis liés à cette évolution. Désormais, la gestion de l’exposition apporte une approche encore plus globale de la sécurité des terminaux, en couvrant les domaines où la gestion des vulnérabilités montre ses limites.

Examinons ces différences afin de vous aider à choisir la meilleure façon de protéger votre organisation.

Qu’est-ce que la gestion des vulnérabilités ?

La gestion des vulnérabilités est une pratique de cybersécurité qui consiste à identifier, évaluer, prioriser et corriger en continu et de manière proactive les vulnérabilités que les pirates peuvent utiliser pour s’infiltrer dans votre organisation.

Il est toutefois important de noter qu’il existe deux types de gestion des vulnérabilités :

Gestion des vulnérabilités traditionnelle	Gestion des vulnérabilités basée sur les risques
Consiste à tenter de corriger autant de vulnérabilités que possible. Cette approche entraîne souvent des efforts considérables et des attentes irréalistes en matière de réussite, tout en donnant un faux sentiment de sécurité.	Une pratique de gestion des vulnérabilités plus évoluée, qui prend en compte le risque dans la priorisation des vulnérabilités. Elle permet aux organisations de corriger les vulnérabilités critiques qui représentent une menace réelle, afin de les protéger contre les acteurs malveillants tout en garantissant une posture de sécurité solide et une gestion efficace des ressources.

Une approche de gestion des vulnérabilités basée sur les risques va au-delà de la gestion traditionnelle des vulnérabilités et offre à votre organisation les avantages suivants :

Surveille en continu les vulnérabilités pour une sécurité proactive.
Identifie les expositions activement exploitées.
Permet des actions de remédiation efficaces.
Réduit les risques.
Aide les organisations à atteindre la conformité.

Si la gestion des vulnérabilités basée sur les risques couvre de nombreux aspects, elle n’offre toujours pas l’approche globale de la cybersécurité dont les organisations ont besoin pour rester protégées. C’est là que la gestion de l’exposition intervient.

Qu’est-ce que la gestion de l’exposition ?

La gestion de l’exposition est une pratique de cybersécurité en pleine évolution qui offre une visibilité complète sur l’ensemble de votre surface d’attaque. Elle permet aux équipes IT et sécurité d’identifier précisément les zones où votre organisation peut être exposée, tout en intégrant la priorisation basée sur les risques, la remédiation et bien plus encore. La gestion de l’exposition vise à maintenir l’appétence au risque définie par l’organisation elle-même. Elle comprend donc quatre étapes :

Comme la gestion des vulnérabilités basée sur les risques, la gestion de l’exposition aide à prioriser les vulnérabilités et les expositions à traiter en premier selon le risque réel. Elle va toutefois plus loin en tenant compte de ce qui est le plus pertinent pour votre entreprise. Cette approche de cybersécurité garantit que les expositions les plus à risque sont corrigées de manière proactive, avant qu’elles ne puissent être exploitées par des attaquants.

Gestion de l’exposition vs gestion des vulnérabilités : quelle différence ?

La gestion de l’exposition représente l’évolution naturelle de la gestion traditionnelle des vulnérabilités. Alors que la gestion des vulnérabilités se concentre principalement sur l’identification et le traitement des faiblesses des serveurs et des terminaux, la gestion de l’exposition élargit ce périmètre en offrant une visibilité complète sur l’ensemble de la surface d’attaque.

Les principales différences sont les suivantes :

La gestion de l’exposition est conçue pour de nouveaux types d’actifs : les environnements IT modernes sont devenus de plus en plus complexes et incluent désormais des actifs tels que les applications Software-as-a-Service (SaaS), les appareils IoT, l’infrastructure cloud, etc. La gestion de l’exposition est conçue pour tenir compte de ces nouveaux types d’actifs, afin que les équipes IT et sécurité puissent identifier les risques où qu’ils se trouvent dans l’organisation. Ce faisant, la gestion de l’exposition offre une compréhension complète de tous les points d’entrée potentiels. Les organisations peuvent ainsi gérer et réduire les risques plus efficacement que jamais.
La gestion de l’exposition tient compte de la réalité et adopte une approche fondée sur l’appétence au risque : rappelons que la gestion des vulnérabilités est centrée sur l’application de correctifs. Si la gestion des vulnérabilités basée sur les risques fournit une priorisation des risques et une orchestration de la remédiation, elle ne reconnaît pas qu’il est irréaliste pour une organisation de corriger chaque vulnérabilité. L’appétence au risque désigne la mesure, définie par l’organisation elle-même, du niveau de risque qu’elle est prête à accepter. Il s’agit d’une approche nettement plus réaliste, qui fédère l’organisation autour de KPI communs afin de mesurer la réussite de manière cohérente entre les équipes.
La gestion de l’exposition va au-delà des CVE et du CVSS : la gestion des vulnérabilités se concentre principalement sur les vulnérabilités et expositions communes (CVE). Si les CVE constituent une priorité importante pour la plupart des organisations, elles ne sont pas les seuls catalyseurs que les acteurs malveillants peuvent utiliser pour nuire à votre organisation. Les pirates peuvent toujours exploiter les expositions suivantes, non couvertes par la gestion des vulnérabilités, pour s’infiltrer dans votre organisation :
Erreurs de configuration.
Problèmes de sécurité des applications.
Politiques des systèmes IT.
Contrôles des accès privilégiés.

Pour revenir à cette approche globale, la gestion de l’exposition couvre tous ces actifs modernes. En outre, la gestion des vulnérabilités s’appuie fortement sur le Common Vulnerability Scoring System (CVSS) pour prioriser la remédiation. Si le CVSS constitue une mesure solide de la sévérité, il n’offre pas de perspective efficace ajustée au risque.

Le risque est un facteur important à garder à l’esprit, car il prend en compte le fait qu’une vulnérabilité ait été exploitée, qu’elle soit liée à un ransomware ou à un malware, ou qu’elle soit actuellement en forte progression. Ne pas intégrer le risque crée un faux sentiment d’urgence avec le CVSS, ce qui conduit les équipes IT et sécurité à consacrer du temps et des ressources à des vulnérabilités qui ne sont pas réellement urgentes.

Comment protéger votre organisation

Maintenant que nous avons présenté les différences entre la gestion de l’exposition et la gestion des vulnérabilités, il est temps de tirer parti des avantages offerts par la gestion de l’exposition. Découvrez comment le portefeuille de gestion de l’exposition d’Ivanti peut renforcer vos équipes IT et sécurité.

Meilleures pratiques de cybersécurité IA : un double défi

Thu, 17 Oct 2024 12:28:03 Z

L’intelligence artificielle montre déjà son potentiel pour transformer pratiquement tous les aspects de la sécurité… pour le meilleur comme pour le pire.

L’IA illustre parfaitement la proverbiale épée à double tranchant : un outil formidable pour créer de robustes cyberdéfenses, mais aussi une arme redoutable pour mettre celles-ci à bas.

Pourquoi la sécurité basée sur l’IA ou cyber IA est-elle importante ?

Les entreprises doivent à la fois comprendre les promesses de l’IA en cybersécurité et les problèmes sous-jacents. L’omniprésence de toutes les formes d’IA dans les entreprises du monde entier les force à s’interroger. Le sujet inquiète, car les acteurs malveillants s’en sont déjà saisis.

D'après McKinsey, un peu partout dans le monde et dans presque tous les secteurs, les entreprises ont massivement adopté l'IA – jusqu’ à 72 % s’en servent en 2024, contre environ 50 % les années précédentes. Mais leur complexité et leur énorme consommation font des systèmes IA une cible de choix pour les cyberattaques. Par exemple, des pirates peuvent discrètement manipuler les données d’entrée des systèmes IA afin de produire des résultats faux ou préjudiciables.

Une IA compromise peut avoir des conséquences catastrophiques : fuites de données, pertes financières, atteinte à la réputation et même blessures corporelles. Les possibilités d’utilisation abusive sont immenses, ce qui souligne l’impérieuse nécessité de mettre en place de robustes mesures de sécurité.

Selon une étude du World Economic Forum près de la moitié des dirigeants s'inquiète surtout de l’augmentation du niveau de risque des menaces comme l’hameçonnage qu’amène l’IA.
Le rapport d’Ivanti « Rapport 2024 sur la cybersecurité » confirme ces inquiétudes.

Malgré ces risques, le même rapport d’Ivanti montre que les professionnels IT et de sécurité sont majoritairement optimistes quant à l’impact de la cybersécurité basée sur l’IA. Près de la moitié (46 %) pensent que c’est un net avantage, tandis que 44 % pensent que son impact ne sera ni positif ni négatif.

En savoir plus : « État de la cybersécurité en 2024 : Points d'inflexion »

Cybermenaces IA potentielles

L’IA introduit de nouveaux vecteurs d’attaque qui exigent des défenses spécifiques. Citons-en quelques-uns :

Piratage de sites : les travaux de recherche montrent que le grand modèle de langage (LLM) OpenAI peut être utilisé comme agent de piratage pour attaquer des sites Web en autonomie. Les cyberescrocs n’ont besoin d’aucune compétence technique, il leur suffit de savoir écrire des instructions à l’IA pour qu’elle se charge « du sale travail ».
Empoisonnement de données : les pirates peuvent manipuler les données d’entraînement des modèles d’IA pour fausser leur fonctionnement. Ils peuvent ainsi injecter de faux points de données qui guident le modèle dans l’apprentissage de schémas incorrects ou qui donnent la priorité à des menaces inexistantes, ou encore qui modifient subtilement les points de données existants pour orienter le modèle d’IA vers des résultats favorables à l’attaquant.
Techniques d’évitement : l’IA peut servir à développer des techniques pour passer sous le radar des systèmes de sécurité, par exemple en créant des e-mails ou des malwares perçus comme inoffensifs par les humains, mais qui exploitent des vulnérabilités ou contournent les filtres de sécurité.
Ingénierie sociale sophistiquée : comme elle sait analyser de gros volumes de données, l’IA peut définir des cibles selon des critères, comme un historique de comportements vulnérables ou une tendance à tomber dans certains pièges. Elle peut alors automatiser et personnaliser une attaque grâce à des informations grappillées sur les réseaux sociaux ou des interactions précédentes, qui lui feront gagner en crédibilité et aideront à mieux tromper le destinataire. En outre, l’IA générative peut rédiger des messages d’hameçonnage sans faute de grammaire ni d’usage, d’apparence légitime.
Attaques par déni de service (DDoS) : l’IA peut servir à orchestrer des attaques DDoS à grande échelle, plus difficiles à parer. En analysant les configurations réseau, elle peut en détecter les vulnérabilités et gérer plus efficacement les botnets pour noyer un système sous le trafic.
Deepfakes : l’IA peut imiter de manière très convaincante l’apparence ou la voix de quelqu’un, ce qui ouvre la voie à des attaques par usurpation d’identité. Elle peut par exemple prendre la voix d’un haut dirigeant pour piéger ses collaborateurs et leur faire virer de l’argent sur des comptes frauduleux, partager des informations sensibles comme des mots de passe ou des codes d’accès, ou approuver des factures ou des transactions non autorisées. Si une entreprise utilise la reconnaissance vocale dans ses systèmes de sécurité, un deepfake bien conçu peut tromper ces garde-fous et ouvrir l’accès à des zones ou des données sécurisées. Une entreprise de Hong Kong s’est fait voler 26 millions de dollars par ce moyen.

L’une des menaces à bas bruit de l’IA est la complaisance. La dépendance excessive aux systèmes d’IA peut conduire à un relâchement dans leur surveillance et leur mise à jour. Pour protéger une entreprise des problèmes d’IA, la surveillance continue et la formation comptent parmi les mesures clés, et ce, que l’IA soit déployée pour la cybersécurité ou d’autres opérations. S’assurer que l’IA fonctionne au mieux des intérêts de l’entreprise exige une vigilance constante.

Voir : L'IA générative pour les équipes InfoSec et les pirates : ce que les équipes de sécurité doivent savoir.

Avantages de la cyber IA

Les solutions de cybersécurité intégrant l’IA bénéficient surtout aux entreprises sur les points suivants :

Une meilleure détection des menaces

L’IA excelle à identifier les schémas au sein d’énormes volumes de données afin d’y détecter les anomalies symptomatiques d’une attaque, avec une précision inédite. Là où des analystes humains seraient dépassés par le volume des données ou des alertes, l’IA détecte et répond en amont.

Meilleure réponse aux incidents

L’IA est capable d’automatiser les tâches de réponse aux incidents de routine. Elle réduit ainsi les délais de réponse et évite l’erreur humaine. En analysant l’historique, l’IA peut aussi prédire les vecteurs d’attaque potentiels pour que l’entreprise puisse renforcer ses défenses.

Évaluation et hiérarchisation des risques

L’IA peut évaluer le niveau de sécurité d’une entreprise, en identifiant les vulnérabilités et en priorisant les efforts de remédiation en fonction du niveau de risque. Cela permet d’optimiser l’allocation des ressources et de se concentrer sur les points critiques.

Remarques sur la sécurité des différents types d'IA

Les problèmes de sécurité associés à la CyberIA varient en fonction du type d'IA déployée.

En cas de déploiement d’une IA générative, il faut protéger en priorité les données d’entraînement, afin d’empêcher l’empoisonnement du modèle et de protéger les secrets commerciaux et industriels.

Dans le cas d’une IA faible, au périmètre limité comme les chatbots de support client, les systèmes de recommandation (comme celui de Netflix), les logiciels de reconnaissance d’images, et les robots de chaîne de montage ou chirurgicaux, l’entreprise doit donner la priorité à la sécurité des données, à la robustesse aux attaques adverses ou par exemples contradictoires et à l’explicabilité.

Une IA autonome forte, aussi appelée « AGI » ou « intelligence artificielle générale », est une projection et n’existe pas encore. Mais si elle se concrétise un jour, les entreprises devront se concentrer sur la protection des mécanismes de contrôle et la gestion des risques existentiels et éthiques.

Voir : Comment transformer l'ITSM avec l'IA générative

Derniers développements en cyber IA

L’évolution rapide de l’IA entraîne des progrès correspondants dans ses applications en cybersécurité, notamment ::

Modélisation des menaces de l'IA générative : les outils de cybersécurité intégrant l’IA peuvent simuler des scénarios d’attaque qui aident les entreprises à repérer et à corriger en amont les vulnérabilités.
Chasse aux menaces assistée par IA : l’IA peut analyser le trafic réseau et les journaux système pour y détecter les activités malveillantes et les menaces potentielles.
Réponse automatique aux incidents : les solutions de cybersécurité avec IA peuvent automatiser les tâches de routine de réponse aux incidents, comme l’isolement des systèmes infectés et la contention des menaces.
IA pour l'évaluation des vulnérabilités : l’IA peut analyser le code logiciel pour y détecter d’éventuelles vulnérabilités et permettre aux développeurs de créer des applications plus sécurisées.

Formation à la cyber IA

Investir dans la formation à la cybersécurité intégrant l’IA est indispensable pour apprendre à vos équipes à utiliser ces outils. De nombreuses plateformes en ligne et universités proposent des cours sur les différents aspects de la sécurité IA, des connaissances de base aux sujets les plus avancés.

Les grands fournisseurs en cybersécurité proposent un large éventail de cours et de formations pour faire monter votre équipe en compétences afin qu’elle tire le meilleur parti de votre plateforme.

Meilleures pratiques de cyber IA

Mettre l’IA en action pour la cybersécurité passe par une stratégie globale.

1. Définir des stratégies de gouvernance et de confidentialité des données

Dès le tout début du processus d’adoption, mettez en place des stratégies robustes de gouvernance des données couvrant l’anonymisation des données, le chiffrement, etc. Impliquez toutes les parties prenantes.

2. Imposer la transparence de l’IA

Développez ou utilisez sous licence des modèles d’IA capables d’expliquer clairement leurs décisions, au lieu d’utiliser des boîtes noires. Ainsi, les professionnels de la sécurité pourront comprendre comment l’IA arrive à ses conclusions et identifier les biais ou erreurs potentiels. Ces modèles transparents sont issus d’outils Fiddler AI, DarwinAI, H2O.ai et IBM Watson comme AI Fairness 360 et AI Explainability 360.

3. Insister sur une gestion rigoureuse des données

Les modèles d’IA dépendent de la qualité des données qui servent à leur entraînement. Veillez à utiliser des données diverses, exactes et à jour pour que votre IA puisse apprendre et identifier les menaces efficacement.
Imposez des mesures de sécurité robustes pour protéger les données d’entraînement et de fonctionnement du modèle d’IA, car certaines informations sont sensibles. Une faille pourrait exposer celles-ci, compromettre l’efficacité de l’IA ou introduire des vulnérabilités.
Prêtez attention aux biais possibles dans vos données d’entraînement. Un préjugé peut conduire l’IA à prioriser certains types de menaces ou à en ignorer d’autres. Surveillez et corrigez régulièrement les biais pour garantir que votre IA prend des décisions objectives.

En savoir plus : De l'importance d'avoir des données exactes pour tirer le meilleur parti de l'IA

4. Fournir aux modèles d'IA un entraînement par exemples contradictoires

Au cours de la phase d’entraînement, exposez vos modèles d’IA à des entrées malveillantes pour qu’ils reconnaissent et contrent les attaques contradictoires comme l’empoisonnement des données.

5. Implémenter une surveillance en continu

Mettez en place des systèmes de surveillance constante et de détection permanente des menaces pour identifier les biais et la dégradation des performances.
Utilisez des systèmes de détection des anomalies pour identifier tout comportement inhabituel dans vos modèles d’IA ou dans les flux de trafic réseau, afin de repérer les attaques potentielles par IA, notamment les tentatives de manipulation des données ou d’exploitation des vulnérabilités.
Actualisez régulièrement l’entraînement de vos modèles de cybersécurité IA avec de nouvelles données, et mettez les algorithmes à jour pour assurer leur efficacité contre les menaces qui ne cessent d’évoluer.

6. Garder l’humain dans la boucle

L’IA n’est pas infaillible. Maintenez une supervision humaine, avec des professionnels de la sécurité qui vérifient et valident les résultats de l’IA pour repérer ses éventuels biais, les faux positifs ou les résultats manipulés que l’IA pourrait générer.

7. Organiser des tests et des audits réguliers

Contrôlez régulièrement vos modèles d’IA à la recherche de vulnérabilités. Comme n’importe quel logiciel, les produits de cybersécurité intégrant l’IA peuvent comporter des faiblesses, que les pirates pourraient exploiter. Il est indispensable de leur appliquer rapidement des correctifs.
Les modèles d’IA peuvent produire de faux positifs et signaler des menaces inexistantes. Adoptez des stratégies pour limiter les faux positifs et éviter de submerger les équipes de sécurité d’alertes inutiles.
Testez fréquemment vos modèles d’IA pour identifier les éventuelles faiblesses exploitables. Les tests d’intrusion spécialement conçus pour les systèmes intégrant l’IA sont précieux.

8. Établir un plan de réponse aux incidents

Créez un plan complet de réponse aux incidents pour gérer efficacement les incidents de sécurité liés à l’IA.

9. Insister sur la formation et la sensibilisation des collaborateurs

Informez vos collaborateurs des risques associés à l’IA, et des ressorts de l’ingénierie sociale utilisés pour les manipuler et leur faire compromettre les systèmes IA ou la sécurité des données.
Organisez des exercices de Red Team (équipe d’attaque) qui simulent des offensives basées sur l’IA afin de tester votre niveau de sécurité et de détecter les points faibles que des pirates pourraient exploiter.
Collaborez avec des experts du secteur et des chercheurs en sécurité pour garder un temps d’avance sur les dernières menaces à base d’IA et les meilleures pratiques permettant de les contrer.

10. Mettre en place une gestion des risques liés à l’IA chez les tiers

Évaluez soigneusement les pratiques de sécurité des tiers fournisseurs d’IA. Est-ce qu’ils partagent les données avec d’autres parties ou utilisent des jeux de données publics ? Est-ce qu’ils appliquent les principes de sécurité dès la conception Secure by Design ?

11. Autres meilleures pratiques

Intégrez votre solution d’IA dans des flux de renseignement sur les menaces pour qu’elle incorpore ces données en temps réel et garde un temps d’avance sur les nouveaux vecteurs d’attaque.
Vérifiez que votre solution d’IA est conforme aux normes et réglementations en vigueur dans votre domaine. Certains secteurs ont des obligations strictes. Par exemple, dans les secteurs de l’automobile ou de la fabrication, l’IA doit respecter les normes ISO 26262 de sécurité fonctionnelle automobile, le RGPD (Règlement général de protection des données) pour la confidentialité des données, et les consignes du NIST (National Institute of Standards and Technology). Dans le secteur de la santé, l’IA doit respecter les normes HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis, le RGPD en Europe, et les réglementations de la FDA pour les dispositifs médicaux basés sur l’IA.
Suivez des mesures comme le taux de détection de menaces, les faux positifs et les délais de réponse. Vous connaîtrez ainsi l’efficacité de votre IA et les points à améliorer.

Trouver le bon équilibre pour réussir

Pour toutes les entreprises qui se lancent dans ces nouveaux territoires de la cybersécurité intégrant l’IA, la voie à suivre est une approche équilibrée. Exploitez les nombreux atouts de l’IA, mais restez vigilant quant à ses limitations et ses vulnérabilités potentielles.

Comme toute technologie, l’IA n’est ni bonne ni mauvaise par nature, mais elle est utilisée aussi bien par des acteurs honnêtes que d’autres, malhonnêtes. Considérez l’IA comme tout autre outil : sachez apprécier son aide, mais méfiez-vous de son potentiel de nuisance.

Lire : Position d'Ivanti concernant l'intelligence artificielle