Contrôler sa surface d'attaque, c'est comme entretenir son gazon. Si on ne tond pas après la pluie, il grandit rapidement. Avec une surface d'attaque, la situation devient vite incontrôlable, avec une augmentation des cyber-risques. Même s’il est illusoire d’éradiquer totalement le risque — l’environnement de threat intelligence ne cessant d’évoluer — il est possible, et surtout impératif, de garder le risque à un niveau maîtrisé, en ligne avec l'appétence au risque de votre entreprise.

Pourquoi la découverte de la surface d'attaque est-elle si importante ?

Pour gérer les cyber-risques, il faut avant tout savoir où l’on va : cela passe par une identification précise de sa surface d’attaque. Cela implique de recenser ce qui peut servir de porte d’entrée ou d’attaque — qu’il s’agisse de postes client, de vulnérabilités et d'autres vecteurs d'attaque.

Les grandes références du secteur abondent en ce sens : la première fonction du NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) version 1.1 est l'identification. Selon le NIST, les « activités liées à l'identification constituent les bases d'une utilisation efficace de ce cadre ». Même logique pour la liste Contrôles CIS v8, qui inclut les contrôles suivants :

  • Contrôle 1 — Inventaire et contrôle des actifs de l'entreprise 
  • Contrôle 2— Inventaire et contrôle des actifs logiciels 
  • Contrôle 7— Gestion continue des vulnérabilités

En clair : on ne protège bien que ce que l’on connaît. Mais comment faire l’inventaire de tous nos actifs ?

Comment démarrer la découverte de ma surface d'attaque ?

Il s’agit d’adopter l’œil du hacker : quelles ressources seraient facilement exploitables ? 

La surface d'attaque se décline en trois volets : la surface d'attaque numérique, la surface d'attaque physique et la surface d'attaque humaine. Ce blog se concentre sur le volet numérique, même s'il aborde aussi brièvement les deux autres volets.

Votre surface d'attaque numérique couvre l'ensemble des actifs IT traditionnels, à savoir le matériel (postes clients et serveurs, notamment) et les applications logicielles, ainsi que les actifs tournés vers Internet, comme les applications Web, les adresses IP, les noms de domaine, les certificats SSL et les services Cloud.

La première étape consiste à dresser l'inventaire des éléments de votre surface d'attaque numérique et à identifier les problèmes de visibilité. Une classification peut être établie comme suit :

  • Connus connus : les cyberactifs identifiés comme faisant partie de votre surface d’attaque.
  • Les inconnus connus : les cyberactifs identifiés comme appartenant à votre surface d’attaque, mais sur lesquels vous manquez de visibilité et/ou de contrôle.
  • Les inconnus non connus : les cyberactifs dont vous ne savez pas s’ils font ou non partie de votre surface d’attaque.
  • N/A : les cyberactifs pour lesquels vous êtes certain à 100 % qu’ils ne font pas partie de votre surface d'attaque.

Pour ne rien oublier, utilisez notre Checklist Surface d'attaque personnalisable.

Outils et approches pour découvrir et gérer votre surface d'attaque

Une fois la classification effectuée, l’étape suivante consiste à choisir des outils adaptés afin d’affiner votre visibilité et de lever les angles morts. L’objectif : transformer les inconnus (connus ou non) en actifs maîtrisés.

La « gestion de la surface d'attaque » inclut des solutions plus spécifiques : CAASM (Gestion de la surface d'attaque des cyberactifs), EASM (Gestion de la surface d'attaque externe) et DRPS (Services de protection contre les risques numériques). À partir des résultats de ces outils, vous pouvez identifier plus facilement les vulnérabilités. Certains proposent même des fonctions de priorisation et de remédiation, ce qui permet de réagir rapidement en cas de menace et de limiter les risques.

Cependant, les organisations ont eu besoin de découvrir et de gérer leur surface d’attaque numérique bien avant l’apparition des solutions ASM. À défaut de solutions ASM, de nombreuses entreprises ont adopté — et continuent d’utiliser — d’autres méthodes pour répondre à ce besoin.

Approche Description Atouts Limites

Outils de découverte des actifs

Inventaire des actifs matériels et logiciels qui se connectent à votre réseau.

Largements déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.

Comportent souvent des angles morts, comme le Shadow IT, les systèmes tiers et les applications métier.

BAS (Simulation de fuites de données et d'attaques)

Tests automatisés des vecteurs de menaces pour comprendre les vulnérabilités de sécurité et valider les contrôles de sécurité.

Génération de rapports sur les faiblesses de sécurité et priorisation de la remédiation basée sur les risques.

Traitent uniquement les attaques connues. Pas de remédiation.

CSPM (Gestion du niveau de sécurité du Cloud)

Suivi des changements de configurations Cloud.

Visibilité en temps réel sur les configurations Cloud.

Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.

CMDB (Base de données de gestion des configurations)

Suivi des changements apportés aux systèmes.

Largement déployés dans les entreprises.

Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.

Approche locale (manuelle)

Feuilles de calcul, scripts et processus manuels pour gérer la surface d'attaque.

Peu onéreux, voire gratuits (si l'on ne prend pas en compte les heures de travail des ingénieurs IT).

Chronophages et sujets aux erreurs. Ni évolutifs ni en temps réel.

ITAM (Gestion des actifs IT)

Suivi et surveillance du cycle de vie des actifs.

Largement déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.

Traitent uniquement les actifs connus et gérés, en ignorant les actifs inconnus ou non gérés.

Tests d'intrusion (comme les outils de tests d'intrusion automatisés ou les tests d'intrusion en SaaS)

Simulation d'une cyberattaque en identifiant les vulnérabilités de votre réseau et de vos applications.

Exemples de postures de sécurité avec les priorités budgétaires associées.

Traitent uniquement la première phase de la chaîne de cyberdestruction : la reconnaissance. Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.

Red Teaming

Image complète de la posture de cybersécurité de l'entreprise en mettant en scène une simulation de cyberattaque visant les réseaux, les applications, les protections physiques et les collaborateurs.

Va plus loin que les tests d'intrusion, en se concentrant sur les autres phases de la chaîne de cyberdestruction. Va aussi au-delà de la surface d'attaque numérique, en examinant les surfaces d'attaque physique et humaine.

Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.

Intelligence des menaces (Threat Intelligence)

Informations sur les menaces et autres problèmes de cybersécurité.

Informations sur les menaces et les vulnérabilités.

S'adressent aux entreprises dont le niveau de maturité en sécurité est élevé, et ayant du personnel qualifié et d'importantes ressources.

Outils de gestion des vulnérabilités (comme les scanners)

Identification et gestion des vulnérabilités de votre infrastructure et de vos applications.

Déjà déployés dans la plupart des entreprises.

Aucune visibilité des actifs inconnus. Énormes quantités de données.

Même si ces outils ne disposent pas de toutes les fonctions et de tous les avantages d'une solution ASM dédiée, ils ont quand même leur place dans les pratiques IT et de sécurité d'une entreprise.

En fait, les outils CAASM ne fonctionnent pas sans les données des outils de découverte des actifs, d'ITAM, de gestion des vulnérabilités et/ou de gestion des correctifs. De même, l'EASM complète les services d'intelligence des menaces et de tests de sécurité répertoriés ci-dessus.

Comment identifier la surface d'attaque physique de mon entreprise ?

Le premier élément important de la surface d’attaque physique d’une organisation recoupe en partie la surface d’attaque numérique. Il s’agit de la surface d’attaque des postes client, qui regroupe tous les équipements connectés au réseau : ordinateurs de bureau, ordinateurs portables, périphériques mobiles et périphériques IoT. Les outils et les techniques servant à découvrir la surface d'attaque numérique sont également pertinents pour cette catégorie.

Le second élément majeur concerne les bureaux, les centres de données et les autres locaux de l’entreprise. Là encore, certaines techniques utilisées pour la surface d’attaque numérique sont applicables, notamment dans le cadre des tests d’intrusion physique réalisés lors des exercices de red teaming.

Comment identifier la surface d'attaque humaine de mon entreprise ?

L'identification de votre surface d'attaque humaine commence par l'examen de votre organigramme. Toute personne associée à votre entreprise et ayant accès à ses informations sensibles (ou étant en capacité d'empêcher d'autres personnes d'accéder à ces informations) fait partie de votre surface d'attaque humaine. Cela inclut vos collaborateurs (à plein temps et à temps partiel), les membres du conseil d'administration, les sous-traitants, les partenaires, les fournisseurs, les prestataires et éditeurs de logiciels, les intérimaires, etc.

Le Red Teaming, pratique visant à identifier les éléments des surfaces d'attaque numérique et physique, peut aussi servir à identifier un composant majeur de la surface d'attaque humaine : la sensibilité des collaborateurs à l'ingénierie sociale.

En parallèle, l’analyse des affectations de droits et des accès réels reste indispensable pour ne pas se laisser surprendre par des privilèges mal accordés ou des comptes dormants.

J'ai identifié la surface d'attaque de mon entreprise. Et maintenant ?

La découverte de votre surface d'attaque n'est que la première étape vers votre objectif final : la remédiation des vulnérabilités qui présentent le plus de risque pour votre entreprise. Ce processus s'inscrit dans la gestion de l'exposition.

Comme nous l'avons dit, la découverte de la surface d'attaque est l'une des bases de votre stratégie de sécurité : vous ne pouvez pas protéger ce dont vous ignorez l'existence. La gestion de l'exposition intègre un autre pilier essentiel : la détermination de votre appétence au risque. Elle définit le niveau de risque que votre entreprise est prête à accepter pour atteindre ses objectifs. (Vous pouvez vous inspirer de ce modèle personnalisable.)

Maintenant que vous avez géré ces deux aspects fondamentaux, vous pouvez évaluer les vulnérabilités détectées dans votre surface d'attaque. Vous déterminez ainsi l'importance du danger qu'elles représentent pour votre entreprise, et si cela entre dans les limites de votre appétence au risque (ce processus est traité en détail dans notre guide Évaluer objectivement le cyber-risque).

Les vulnérabilités hors du champ de votre appétence au risque doivent être remédiées en priorité, ce qui vous permet de concentrer vos efforts de remédiation là où ils auront le plus d’impact.