Ivanti Blog: Sécurité

Souveraineté numérique et cloud souverain : protéger les données cloud de l’UE pour renforcer la résilience opérationnelle

Fri, 17 Apr 2026 12:30:01 Z

La protection traditionnelle des données reposait sur un principe simple : les données stockées dans le pays A sont protégées par les lois du pays A ; les données stockées dans le pays B sont protégées par les lois du pays B. Mais dans l’économie mondiale actuelle, l’endroit où vos données se trouvent physiquement ne détermine plus quels gouvernements peuvent exiger d’y accéder.

L’infrastructure cloud a introduit une nouvelle complexité juridictionnelle. L’emplacement physique des centres de données, la nationalité du siège social du fournisseur cloud et l’entité qui contrôle les opérations peuvent chacun donner lieu à des revendications juridictionnelles concurrentes, permettant potentiellement à plusieurs gouvernements d’exiger l’accès aux mêmes données.

Qu’est-ce que la souveraineté numérique ?

Ce défi porte un nom : la souveraineté numérique. La souveraineté numérique est le principe selon lequel les organisations conservent un contrôle complet sur leurs données dans le cadre juridique de leur juridiction d’origine. Cette idée est devenue une nécessité pour la résilience organisationnelle, alors que les entreprises évoluent dans un monde géopolitique plus fragmenté et où la confiance s’érode. Les organisations privées et publiques ont besoin d’un accès sécurisé à des plateformes basées dans le cloud, conformes aux exigences réglementaires locales et protégées contre les risques géopolitiques, connus ou inconnus, auxquels leur région est exposée.

Impact du CLOUD Act américain sur la résidence des données dans l’UE

Le CLOUD Act américain de 2018 (Clarifying Lawful Overseas Use of Data) a encore renforcé ces préoccupations pour les organisations de l’UE. Cette loi habilite les forces de l’ordre américaines à contraindre tout fournisseur cloud basé aux États-Unis à produire des données stockées n’importe où dans le monde, indépendamment de l’emplacement physique des données ou de la nationalité du client.

Le CLOUD Act américain et le Foreign Intelligence Surveillance Act (FISA) ont tous deux suscité des inquiétudes chez les entreprises de l’Union européenne. Avec ces deux politiques, les autorités américaines pourraient accéder aux données contenues dans les plateformes cloud de toute organisation dont le siège est situé aux États-Unis, même lorsque le centre de données cloud est situé dans un autre pays.

Pour les entreprises basées dans l’UE, l’utilisation d’outils basés aux États-Unis entraîne des obligations spécifiques au titre du RGPD car les données personnelles quittent l’UE. Et depuis l’invalidation du bouclier de protection des données UE–États-Unis (connue sous le nom de « Schrems II »), les entreprises de l’UE ont besoin d’autres protections. Les clauses contractuelles types (CCT) restent valides, mais elles sont conditionnelles et complexes, car elles nécessitent une évaluation au cas par cas.

Un cadre ultérieur de protection des données a depuis été introduit, mais la confiance sous-jacente entre les nations concernées reste limitée. Ces dynamiques ont accru la pression pour garantir la protection des données, d’où la nécessité de solutions de cloud souverain pour assurer la résilience opérationnelle.

Ivanti Neurons for MDM – Sovereign Edition : conçu pour la souveraineté cloud de l’UE

Pour nos partenaires et clients dans l’UE, Ivanti Neurons for MDM Sovereign Edition répond à ces exigences grâce à une architecture et à des opérations fondamentalement différentes. Située en Allemagne et exploitée de manière indépendante, cette solution a été conçue pour s’aligner sur le cadre de souveraineté cloud de la Commission européenne et a été évaluée par le très réputé cyberintelligence.institute, dont l’évaluation experte indique :

« L’Ivanti Sovereign Cloud démontre un haut niveau de contrôle européen dans les domaines du traitement des données, de la sécurité et de la gouvernance de la conformité. Dans sa configuration actuelle, l’Ivanti Sovereign Cloud atteint au minimum la certification SEAL 2, ce qui signifie que la souveraineté des données est garantie dans tous les domaines. En outre, l’Ivanti Sovereign Cloud satisfait aux exigences de la certification SEAL 3 dans de nombreux domaines pertinents, et atteint ainsi la résilience numérique. »

Vous pouvez consulter l’évaluation technique complète pour en savoir plus.

Atteindre la conformité en matière de souveraineté des données en toute confiance

Neurons for MDM – Sovereign Edition – EU offre aux entreprises européennes une base stratégique pour leur plateforme IT et de sécurité, fournie par un leader de confiance, tout en préservant les protections juridictionnelles locales nécessaires à la gestion des risques. Cela signifie que les entités publiques et privées peuvent poursuivre leur transformation numérique avec la certitude que leurs données cloud resteront sécurisées tandis que leurs opérations gagnent en résilience.

Prochaines étapes ? Lisez notre livre blanc, Le cloud souverain, une nécessité stratégique pour les organisations européennes, pour découvrir comment Ivanti Neurons for MDM Sovereign Edition obtient la certification SEAL 2 et va au-delà, tout en fournissant l’architecture de cloud souverain dont les organisations européennes ont besoin pour maintenir la souveraineté des données et permettre une transformation numérique sécurisée.

Trusted Ownership : comment Ivanti Application Control va au-delà des listes d’autorisation

Wed, 25 Feb 2026 14:25:15 Z

Le contrôle des applications fait partie de ces sujets de sécurité sur lesquels de nombreuses personnes conservent d’anciennes idées reçues. Les listes d’autorisation traditionnelles semblent rassurantes, mais deviennent rapidement difficiles à maintenir. Les listes de blocage paraissent réactives et incomplètes. Et si des outils comme Microsoft AppLocker ont conduit beaucoup d’organisations à penser que les listes d’autorisation strictes étaient la référence, les attaques modernes ont démontré le contraire. Les attaquants s’appuient de plus en plus sur des outils légitimes et signés — utilisés dans le mauvais contexte — pour contourner entièrement les contrôles fondés sur des listes.

Ainsi, lorsque les organisations évaluent Ivanti Application Control ou Ivanti Neurons for App Control et découvrent Trusted Ownership, celui-ci peut d’abord ressembler à une liste de blocage, car des blocages explicites sont possibles. En réalité, Trusted Ownership est un modèle d’application des règles beaucoup plus large et bien plus léger sur le plan opérationnel, qui contrôle l’exécution selon l’origine, et pas seulement selon l’identité.

Au lieu de gérer des listes toujours plus nombreuses, il applique la sécurité en fonction de la personne ou du processus qui a placé le logiciel sur le système, en cohérence avec les pratiques modernes de distribution logicielle et les principes du zero trust. Il faut le comprendre non comme un autre mécanisme de liste, mais comme un modèle d’application des règles inspiré de la provenance, qui contrôle l’exécution selon l’origine, et pas seulement selon l’identité.

Ce changement de perspective conduit à une meilleure question pour le contrôle moderne des applications : non seulement ce qu’un fichier est, mais comment il est arrivé là.

Au-delà des listes : pourquoi le contrôle de provenance compte désormais

La question de savoir comment un fichier est arrivé sur le système est au cœur du contrôle de provenance. Au lieu de faire confiance aux fichiers uniquement sur la base de l’éditeur, du chemin ou du hachage, le contrôle de provenance évalue l’origine et le processus qui les ont introduits. Qui a écrit le fichier sur le disque ? Par quel mécanisme ? L’installation a-t-elle suivi un workflow IT contrôlé ? Cette évaluation fait passer le contrôle des applications d’une confiance accordée aux objets à une confiance accordée aux processus, créant ainsi une frontière de sécurité bien plus solide.

Dans Ivanti Application Control, le contrôle de provenance est mis en œuvre sous la forme de Trusted Ownership. Tout fichier placé par un propriétaire de confiance est autorisé ; tout élément introduit par un utilisateur est refusé par défaut. Cela s’applique de manière cohérente aux exécutables, DLL, programmes d’installation et scripts. Comme des identités telles que SYSTEM, TrustedInstaller et Administrators sont approuvées par défaut, les logiciels livrés via des canaux de déploiement standard comme MS Intune, MECM, Ivanti Endpoint Manager (EPM) ou d’autres outils d’entreprise s’exécutent immédiatement, sans maintenance des règles ni exceptions.

Cela marque une rupture fondamentale avec les listes d’autorisation classiques. Les règles AppLocker dépendent de définitions exactes d’éditeur, de chemin ou de hachage. AppLocker n’évalue pas l’origine de l’installation et ne fait pas automatiquement confiance à vos mécanismes de déploiement. Les logiciels livrés par Intune nécessitent toujours une règle d’autorisation préexistante, souvent fondée sur des paramètres par défaut larges qui autorisent les répertoires Program Files ou Windows.

Cette distinction est importante, car les attaques modernes détournent de plus en plus des outils légitimes dans des contextes inappropriés. Le contrôle de provenance neutralise une grande partie de ce risque en appliquant la confiance à la manière dont le logiciel arrive, et pas seulement à comment le logiciel arrive, et pas seulement à ce qu’il est. Il s’aligne sur les principes du zero trust, réduit l’exposition de la chaîne d’approvisionnement et limite fortement, par défaut, les possibilités d’abus de type Living off the Land (LotL).

Une fois l’importance de l’origine comprise, la question suivante devient : comment l’appliquer à grande échelle ?

La réponse : appliquer la provenance de manière cohérente à toutes les façons dont les logiciels s’exécutent et à toutes les façons dont ils sont livrés.

Au-delà des listes de blocage : une couverture étendue conçue pour le déploiement logiciel moderne

Le contrôle de provenance fait évoluer la sécurité des applications : il ne s’agit plus de gérer des listes interminables, mais de valider le processus par lequel le logiciel arrive sur le système. Une fois cette perspective adoptée, il devient clair que Trusted Ownership n’est pas une approche de type liste de blocage. C’est une frontière de confiance fondée sur l’origine, dont le fonctionnement diffère nettement des listes d’autorisation traditionnelles.

Une idée reçue courante consiste à penser que Trusted Ownership ressemble à une liste de blocage parce que les administrateurs ajoutent parfois des règles de refus ciblées pour des outils Windows bien connus. En pratique, ces règles de refus sont des mesures de renforcement défensif contre les techniques Living off the Land. Toute méthode sérieuse de contrôle des applications utilise ce type de restrictions ciblées. Le cœur de Trusted Ownership est l’inverse d’une liste de blocage. Les logiciels livrés via un processus contrôlé et approuvé sont autorisés par défaut, tandis que le contenu introduit par l’utilisateur est refusé par défaut.

Un facteur de différenciation plus important encore est la couverture. De nombreuses organisations qui s’appuient sur des listes d’autorisation classiques finissent par se concentrer presque exclusivement sur les fichiers exécutables. Elles évitent souvent d’appliquer le même niveau de contrôle aux DLL, scripts et packages MSI, car ces types de fichiers rendent la maintenance des règles beaucoup plus complexe. Cela crée des failles que les attaquants modernes exploitent fréquemment.

Trusted Ownership évite ces failles en appliquant le même contrôle fondé sur l’origine à l’ensemble de la chaîne d’exécution. Les exécutables, DLL, scripts, programmes d’installation MSI et composants associés sont évalués selon le même modèle de confiance. Comme la confiance est déterminée par l’entité qui a introduit le fichier, vous n’avez pas besoin de politiques distinctes pour chaque type de fichier. Un script dans le dossier Téléchargements, une DLL créée dans un répertoire de build temporaire ou un EXE exécuté depuis un profil utilisateur reçoivent tous le même traitement de refus par défaut lorsqu’ils proviennent d’un processus d’installation non contrôlé.

Ce modèle de confiance s’aligne également naturellement sur la façon dont les plateformes modernes de gestion des terminaux livrent les logiciels. Des solutions telles qu’Intune, MECM, Ivanti Neurons for MDM, Ivanti Endpoint Manager et des systèmes similaires installent généralement les applications en utilisant l’identité SYSTEM ou un autre compte de service approuvé.

Comme ces identités sont déjà des propriétaires de confiance, les logiciels déployés via ces canaux s’exécutent immédiatement, sans créer de règles d’autorisation, maintenir des chemins de fichiers ni mettre à jour des politiques. Ce n’est que lorsque vous utilisez volontairement d’autres comptes d’installation, comme des agents DevOps personnalisés ou des installations scriptées en contexte utilisateur, que vous devez identifier cette identité comme propriétaire de confiance.

Le résultat est un modèle offrant une couverture étendue et cohérente sur tous les types de fichiers pertinents. Il fonctionne de manière fluide avec les distributions logicielles modernes et évite la charge opérationnelle associée aux listes d’autorisation classiques, qui se concentrent principalement sur les fichiers exécutables.

Trusted Ownership place la confiance non pas dans des objets individuels, mais dans les processus contrôlés par lesquels les logiciels sont livrés, créant ainsi une approche plus évolutive et plus sûre du contrôle des applications.

Quelle place pour WDAC (App Control for Business) ?

Microsoft maintient deux technologies de contrôle des applications : AppLocker et App Control for Business (anciennement WDAC). Bien que les deux existent encore, Microsoft est clair quant à leurs rôles. AppLocker aide à empêcher les utilisateurs d’exécuter des applications non approuvées, mais ne répond pas aux critères de maintenance des fonctionnalités de sécurité modernes et est donc catégorisé comme un mécanisme de défense en profondeur plutôt que comme un contrôle de sécurité stratégique.

La trajectoire recommandée par Microsoft pour le contrôle des applications est App Control for Business, et l’éditeur indique explicitement qu’AppLocker est complet sur le plan fonctionnel et ne fait plus l’objet d’un développement actif, en dehors des mises à jour de sécurité essentielles. Cela signifie que toutes les nouvelles capacités sont livrées uniquement dans WDAC, et non dans AppLocker.

App Control for Business introduit le concept de Managed Installer. Celui-ci permet à Windows de faire automatiquement confiance aux applications installées via des plateformes de déploiement désignées, telles qu’Intune ou MECM. La confiance provient du canal de distribution plutôt que des fichiers individuels, ce qui réduit considérablement la maintenance des règles.

Cela s’aligne étroitement sur le modèle Trusted Ownership d’Ivanti Application Control. Les deux approches font confiance au logiciel en fonction du processus contrôlé qui l’a installé, plutôt que d’attributs de fichiers distincts. Toutefois, Trusted Ownership applique ce concept de manière plus simple et plus accessible sur le plan opérationnel. Ivanti fait confiance à des identités telles que SYSTEM et à des comptes de service désignés, sans exiger de couches de politiques complexes, de définitions XML ni d’expertise approfondie de WDAC.

Ivanti entend de nombreuses organisations expliquer qu’elles peinent à rendre WDAC opérationnel. Les politiques WDAC exigent une conception rigoureuse, de longs tests en mode audit, la gestion des exceptions de pilotes et de noyau, ainsi qu’une maintenance continue de plusieurs ensembles de politiques. Cela conduit souvent les organisations à associer WDAC à AppLocker pour couvrir à la fois l’application de règles de bas niveau et le contrôle quotidien de l’espace utilisateur, avec à la clé une charge administrative supplémentaire.

Ivanti Application Control offre une alternative unifiée. Grâce à Trusted Ownership, Trusted Vendors et à la validation des signatures numériques, il fournit un modèle de refus par défaut fondé sur la provenance, avec une couverture cohérente des exécutables, DLL, scripts et packages MSI.

Au lieu de maintenir deux plans de contrôle Microsoft aux périmètres différents, les organisations gèrent une politique unique et rationalisée qui applique la confiance en fonction de la manière dont le logiciel est introduit dans le système. Cela répond à de nombreux objectifs pratiques que les clients cherchent à atteindre avec un déploiement combinant WDAC et AppLocker, mais avec une complexité opérationnelle moindre et un modèle de confiance cohérent.

LOLBins et contrôle au niveau des arguments

Une fois cette large couverture établie, la question devient alors de savoir comment gérer les outils légitimes déjà présents sur chaque machine, que les attaquants aiment détourner.

Les attaquants modernes évitent souvent d’utiliser des malwares traditionnels et s’appuient plutôt sur les outils déjà présents sur chaque appareil Windows. Ces outils Living off the Land (LOLBins) sont légitimes et nécessaires aux opérations courantes, ce qui les rend difficiles à bloquer sans nuire à la productivité. Les listes d’autorisation traditionnelles atteignent ici leurs limites : un blocage trop large perturbe les workflows, tandis qu’une autorisation trop large laisse des failles dangereuses.

Un modèle fondé sur la provenance, tel que Trusted Ownership, change cette dynamique. Même si un attaquant tente d’utiliser un outil intégré, le contenu qu’il essaie d’exécuter ne provient généralement pas d’un processus d’installation approuvé. Comme Ivanti évalue l’origine de ce contenu, la plupart des tentatives d’utilisation abusive échouent automatiquement. L’outil peut être légitime, mais le contenu qu’on lui demande d’exécuter ne l’est pas, et Trusted Ownership l’arrête avant son exécution.

Il est également important de comprendre non seulement quels outils s’exécutent, mais aussi ce qu’on leur demande de faire. De nombreux interpréteurs et environnements d’exécution, tels que PowerShell, Python ou Java, peuvent être parfaitement sûrs dans un contexte et risqués dans un autre. Une application métier peut s’appuyer sur Java pour lancer un processus spécifique et approuvé, tandis qu’un fichier JAR téléchargé par un utilisateur correspond à un scénario entièrement différent.

Ivanti gère cela au moyen d’une approche en couches. Un fichier JAR est d’abord évalué à l’aide de Trusted Ownership, qui le bloque immédiatement s’il a été introduit par un utilisateur plutôt que par un processus de déploiement contrôlé. Au-delà de cela, les administrateurs peuvent créer des règles d’autorisation simples qui précisent exactement quelles commandes Java sont permises, afin que seules les applications légitimes fondées sur Java s’exécutent, tandis que les tentatives de lancement de fichiers JAR non approuvés sont refusées discrètement.

Le même principe s’applique également à d’autres outils. Les politiques peuvent approuver le comportement exact dont votre organisation a besoin, tout en bloquant les activités qui sortent de ces limites. Cela évite les règles larges et fragiles, tout en maintenant la fluidité du travail quotidien.

Le résultat est une approche moderne et équilibrée. Trusted Ownership bloque par défaut le contenu non approuvé. Un renforcement ciblé s’aligne sur les bonnes pratiques gouvernementales et communautaires visant à réduire les abus de type Living off the Land, tandis que les contrôles tenant compte de l’intention garantissent que les processus légitimes continuent de fonctionner sans ouvrir de portes aux attaquants.

Cette approche s’aligne étroitement sur les recommandations actuelles des communautés et des organismes publics concernant l’atténuation des techniques Living off the Land. Des agences telles que la CISA, la NSA, le FBI et l’Australian Cyber Security Centre soulignent l’importance de réduire les possibilités offertes aux attaquants d’utiliser des outils intégrés, en contrôlant leur utilisation et en limitant le contenu non approuvé sur lequel ils agissent. Leurs recommandations conjointes mettent en évidence que les attaques LOTL reposent sur le détournement d’outils natifs et insistent sur la nécessité de contrôles qui limitent ces abus sans bloquer les processus système légitimes.

Le modèle d’Ivanti reflète ces recommandations. Trusted Ownership bloque automatiquement le contenu non approuvé sur lequel les attaquants s’appuient, tandis qu’un petit nombre de restrictions ciblées couvre le petit ensemble d’outils nécessitant une attention supplémentaire.

Trusted Ownership en action : scénarios concrets

Voici quelques exemples opérationnels illustrant le fonctionnement d’Ivanti Application Control et de Trusted Ownership en pratique.

Une application portable est copiée dans le profil utilisateur. Ivanti la bloque parce qu’elle appartient à l’utilisateur. AppLocker ne bloque que si des règles correspondantes existent. Sans les bonnes règles de chemin ou d’éditeur, le comportement peut varier.
Une pièce jointe à un e-mail lance un script PowerShell depuis le dossier Téléchargements. Ivanti le refuse en raison de la propriété utilisateur. AppLocker dépend des règles de script et, lors des événements de blocage, force PowerShell à passer en mode Constrained Language Mode, ce qui exécutera tout de même le script.
Détournement d’outils du système d’exploitation tels que rundll32 ou mshta. Les deux modèles nécessitent un renforcement ciblé par règles de refus. Ivanti l’associe au contrôle de provenance, ce qui réduit généralement le nombre d’exceptions nécessaires. AppLocker s’appuie sur des ensembles de refus organisés et nécessite des ajustements périodiques.
Une mise à jour fournisseur livre de nouveaux fichiers signés. Ivanti autorise la mise à jour lorsqu’elle arrive via le canal de déploiement approuvé, grâce à Trusted Ownership. AppLocker peut prendre cela en charge avec des règles d’éditeur, mais la réutilisation de signatures sur plusieurs produits ou des chemins d’installation inhabituels entraînent souvent une maintenance supplémentaire et une confiance plus large que prévu.
Un utilisateur télécharge un fichier JAR et essaie de l’exécuter avec Java. Ivanti bloque la tentative parce que le JAR a été introduit par l’utilisateur et échoue au contrôle Trusted Ownership. Si nécessaire, les administrateurs peuvent autoriser uniquement l’invocation approuvée exacte en faisant correspondre la ligne de commande complète. AppLocker ne peut pas faire correspondre les arguments et s’appuie sur des règles d’éditeur, de chemin ou de hachage.

Conclusion

Le contrôle de provenance fait passer le contrôle des applications d’un problème de gestion à un modèle de confiance. Au lieu de faire confiance à des fichiers individuels, il fait confiance au processus par lequel les logiciels arrivent sur un système, rendant la sécurité à la fois évolutive et exploitable.

Trusted Ownership s’inscrit pleinement dans cette approche. Il ne s’agit ni d’une liste de blocage ni d’une liste d’autorisation classique, mais d’un modèle dans lequel les logiciels arrivant via un processus IT contrôlé sont autorisés par défaut, tandis que tout ce qui se trouve en dehors de ce processus est refusé par défaut. En appliquant le contrôle à l’origine et à la propriété plutôt qu’à des fichiers définis au cas par cas, Ivanti Application Control et Ivanti Neurons for App Control s’alignent bien mieux sur les techniques d’attaque modernes et les pratiques actuelles de distribution logicielle.

Si vous continuez à considérer le contrôle des applications comme un exercice de gestion de listes, vous en ressentirez la charge administrative. Si vous le considérez comme une frontière de confiance, vous gagnez en évolutivité, en sécurité et en efficacité opérationnelle.

Comment les PDG souhaitent que les RSSI communiquent leur stratégie de gestion des risques de cybersécurité

Tue, 17 Feb 2026 13:00:01 Z

La plupart des PDG peuvent réciter leurs objectifs trimestriels et leur chiffre d’affaires à la décimale près, mais interrogez-les sur l’exposition au risque cyber de leur organisation, et les réponses deviennent plus vagues. Ce n’est pas que les PDG d’aujourd’hui ne se préoccupent pas de la sécurité — la cybersécurité figure parmi les principales préoccupations des conseils d’administration et des équipes dirigeantes. Le problème est plus profond : une rupture fondamentale dans la manière dont les risques de sécurité sont expliqués aux dirigeants métier, qui ne tient pas compte de leur impact sur les résultats de l’entreprise.

Le manque de compétences n’est pas la cause de la plupart des problèmes de communication entre RSSI et PDG. Ils découlent d’un problème bien connu : la malédiction du savoir. La malédiction du savoir est un défi courant dans lequel les experts — en l’occurrence les responsables de la sécurité — peuvent supposer que toutes les personnes présentes ont une compréhension de base des informations et de la terminologie techniques. Ils ne prennent donc pas le temps de reformuler les risques complexes en termes simples ni de les replacer dans un contexte concret.

Le Rapport 2026 sur l’état de la cybersécurité d’Ivanti souligne ce décalage. Près de six professionnels de la sécurité sur dix déclarent que leurs équipes ne sont que modérément efficaces pour communiquer l’exposition au risque à la direction exécutive.

Lorsque PDG et RSSI ne parlent pas le même langage, des vulnérabilités métier critiques peuvent être masquées par le jargon technique. Quand la communication se rompt, les organisations perdent du temps et de l’argent dans des investissements mal orientés, tandis que les lacunes de protection passent inaperçues jusqu’à ce qu’une violation impose la discussion.

Alors que le niveau des menaces augmente, les attaques reposant sur l’IA deviennent plus sophistiquées et les violations de données font chaque semaine la une de l’actualité. Les enjeux d’une communication claire entre les RSSI et la direction exécutive n’ont jamais été aussi élevés.

Pour comprendre pourquoi cet écart de communication persiste, nous devons examiner à la fois les défis fondamentaux et les indicateurs utilisés pour mesurer la réussite.

Pourquoi la communication sur le risque cyber échoue : la malédiction du savoir

Ce décalage entre PDG et RSSI n’est pas dû à un manque de données. C’est même l’inverse. Du point de vue du PDG, le problème n’est ni l’attention ni l’intention. Il réside plutôt dans le fait de voir des tableaux de bord, des métriques, des acronymes et des scores de gravité sans comprendre l’impact de ces résultats sur l’ensemble de l’entreprise.

Les responsables de la sécurité doivent partir du principe que de nombreuses personnes dans la salle ne comprennent pas les implications de termes comme les scores CVSS, les surfaces d’attaque et les vulnérabilités zero-day. Les PDG attendent davantage que des tableaux de bord remplis de métriques, d’acronymes et de scores de gravité.

Les briefings de cybersécurité doivent aller plus loin et montrer les implications financières, juridiques et réputationnelles de ces résultats pour l’entreprise. Un RSSI peut indiquer « 587 vulnérabilités critiques détectées ce mois-ci », alors que ce que le PDG doit réellement savoir, c’est : « Lesquelles menacent notre capacité à servir nos clients, et quel est notre plan pour y remédier ? »

Les KPI de cybersécurité qui comptent pour les PDG

Les KPI utiles relient clairement les efforts de gestion des vulnérabilités au risque métier. Toutefois, notre étude sur la cybersécurité montre que les KPI les plus utilisés par les équipes de sécurité ne reflètent pas le contexte du risque.

Aujourd’hui, seule la moitié des entreprises (51 %) suivent des scores d’exposition en cybersécurité ou d’autres indices fondés sur le risque. De nombreuses équipes de sécurité s’appuient encore sur des indicateurs de processus tels que le délai moyen de remédiation (47 %) ou le pourcentage d’expositions corrigées (41 %).

Des métriques comme le MTTR, la vitesse de déploiement des correctifs et le pourcentage de remédiation sont importantes pour les équipes de sécurité, mais elles mesurent l’efficacité opérationnelle, et non l’exposition métier ou l’impact financier potentiel. Pris isolément, ces indicateurs peuvent sembler rassurants tout en masquant la vraie question : gérons-nous efficacement notre risque ?

Ces métriques, axées sur la rapidité et la couverture, peuvent paraître positives en elles-mêmes, mais elles montrent peu si les efforts actuels de remédiation améliorent réellement la posture de risque. Ce qui compte moins, c’est la vitesse à laquelle les vulnérabilités sont corrigées et leur nombre. Ce qui compte davantage, c’est de savoir si les bons problèmes sont traités.

Une compréhension partagée entre les équipes de sécurité, le conseil d’administration et la direction exige d’ancrer des métriques opaques dans des enjeux réels. Pour les PDG, cela signifie s’aligner avec leur RSSI sur les risques les plus importants pour leur organisation spécifique — êtes-vous un établissement financier fréquemment confronté à des schémas de fraude sophistiqués, à des exigences strictes de conformité comme PCI-DSS et SOX, ainsi qu’à la menace constante de ransomwares ciblant les données financières des clients ? Êtes-vous un organisme de santé qui doit sécuriser un réseau croissant de dispositifs médicaux connectés tout en maintenant des normes de conformité rigoureuses pour protéger les données sensibles des patients ?

Illustrons la différence entre un briefing sécurité destiné aux dirigeants qui s’appuie uniquement sur des métriques techniques et un briefing qui ajoute du contexte et l’impact métier.

Ce que dit le RSSI :

« Nous avons découvert 11 000 vulnérabilités. »
« Le MTTR est passé de 25 à 15 jours. »
« Nous avons atteint un taux de remédiation de 88 % sur les CVE critiques. »

Ce que le PDG doit réellement savoir :

« Nous avons identifié dix vulnérabilités critiques susceptibles d’affecter les systèmes générateurs de revenus. »
« En cas d’attaque aujourd’hui, nous pouvons rétablir les opérations critiques en six heures, contre 48 heures l’an dernier. »
« Cette protection nous permet d’envisager une expansion dans l’UE sans risque de conformité supplémentaire. »

Construire un cadre d’appétence au risque au niveau exécutif

La communication avec les dirigeants repose sur des cadres partagés et un point de référence commun pour définir, mesurer et discuter le risque. Pour éliminer les incohérences et la confusion, toutes les parties prenantes doivent participer à la création et à l’application d’un cadre d’appétence au risque.

L’un des principaux objectifs de ces échanges est d’aider les dirigeants métier à comprendre que le but du programme de cybersécurité n’est pas d’être totalement « sans risque » — il est impossible pour une organisation moderne de le devenir. En d’autres termes, les PDG doivent être capables de distinguer leur appétence au risque de leur posture de risque.

1. Appétence au risque : le niveau de risque que leur entreprise est actuellement prête à tolérer pour atteindre ses objectifs globaux.

2. Posture de risque : la réalité de l’exposition actuelle au risque de l’organisation.

La plupart des organisations reconnaissent désormais la nécessité de formaliser le niveau de risque cyber qu’elles sont prêtes à accepter. L’étude d’Ivanti montre que plus de 80 % des organisations disposent d’un cadre d’appétence au risque documenté.

Cependant, moins de la moitié des organisations déclarent que ces cadres sont étroitement suivis dans les opérations quotidiennes. Lorsque les cadres existent sur le papier mais ne guident pas les décisions réelles, il est très probable que l’appétence au risque et la posture de risque de votre organisation ne soient pas alignées.

Comment la gestion de l’exposition comble l’écart de communication

La gestion de l’exposition est une approche fondée sur le risque qui identifie, hiérarchise et valide en continu l’étendue des menaces potentielles sur l’ensemble de la surface d’attaque. La pratique de la gestion de l’exposition aide à fédérer les responsables de la sécurité et les dirigeants autour d’une stratégie unique et complète, qui recentre la cybersécurité sur les risques critiques pour l’entreprise.

Au lieu de considérer toutes les vulnérabilités comme équivalentes, la gestion de l’exposition vise à identifier et à hiérarchiser les risques les plus élevés de l’organisation en se demandant :

Quelles expositions actuelles les acteurs de la menace exploitent-ils activement ?
Quels actifs doivent être priorisés en fonction des opérations métier actuelles ?
Quels actifs, s’ils étaient compromis, auraient le plus grand impact en termes d’atteinte à la réputation, aux clients ou sur le plan juridique ?

Le rapport d’étude d’Ivanti montre que près des deux tiers des organisations investissent désormais dans la gestion de l’exposition, et que la compréhension des dirigeants a progressé d’une année sur l’autre. Mais l’exécution reste en retrait : seule environ une organisation sur quatre juge excellente sa capacité à évaluer l’exposition au risque.

Pour combler cet écart et opérationnaliser efficacement la gestion de l’exposition, les RSSI doivent ancrer la communication avec les dirigeants autour de trois principes

1. Traduire les signaux techniques en contexte métier. Au lieu de rapporter le nombre de vulnérabilités, expliquez quelles expositions affectent les systèmes générateurs de revenus, les données client ou les environnements réglementés.

2. Prioriser les menaces émergentes selon leur impact, et non leur volume. Les dirigeants n’ont pas besoin de suivre chaque nouvelle technique d’attaque. Ils doivent comprendre quelles situations pourraient perturber matériellement l’activité et dans quelle mesure l’organisation est prête à y répondre.

3. Utiliser des scénarios, pas des feuilles de calcul. Des récits qui relient la cause, l’impact et le résultat, étayés par des données, aident les dirigeants à intégrer le risque et à prendre des décisions plus rapidement.

Cette approche fait évoluer votre stratégie d’atténuation des risques d’une défense réactive vers une prise de décision proactive.

La voie à suivre

Lorsque les dirigeants et les responsables de la sécurité parlent le même langage, la malédiction du savoir peut être levée et la cybersécurité devient un levier stratégique qui protège la valeur de l’entreprise, favorise la croissance et transforme la solidité de la sécurité en avantage concurrentiel.

La malédiction du savoir peut être levée — un indicateur traduit, une conversation axée sur le métier et une décision claire à la fois.

Gestion de l’exposition vs gestion des vulnérabilités : laquelle permet de réduire réellement les risques ?

Thu, 29 Jan 2026 13:00:01 Z

La gestion des vulnérabilités accompagne les organisations et le secteur de la cybersécurité depuis des années. Cette pratique éprouvée a aidé les entreprises à défendre leur surface d’attaque et à empêcher les acteurs malveillants d’exploiter les vulnérabilités.

Mais les technologies et les infrastructures IT ont évolué. La gestion des vulnérabilités ne suffit plus à répondre aux défis liés à cette évolution. Désormais, la gestion de l’exposition apporte une approche encore plus globale de la sécurité des terminaux, en couvrant les domaines où la gestion des vulnérabilités montre ses limites.

Examinons ces différences afin de vous aider à choisir la meilleure façon de protéger votre organisation.

Qu’est-ce que la gestion des vulnérabilités ?

La gestion des vulnérabilités est une pratique de cybersécurité qui consiste à identifier, évaluer, prioriser et corriger en continu et de manière proactive les vulnérabilités que les pirates peuvent utiliser pour s’infiltrer dans votre organisation.

Il est toutefois important de noter qu’il existe deux types de gestion des vulnérabilités :

Gestion des vulnérabilités traditionnelle	Gestion des vulnérabilités basée sur les risques
Consiste à tenter de corriger autant de vulnérabilités que possible. Cette approche entraîne souvent des efforts considérables et des attentes irréalistes en matière de réussite, tout en donnant un faux sentiment de sécurité.	Une pratique de gestion des vulnérabilités plus évoluée, qui prend en compte le risque dans la priorisation des vulnérabilités. Elle permet aux organisations de corriger les vulnérabilités critiques qui représentent une menace réelle, afin de les protéger contre les acteurs malveillants tout en garantissant une posture de sécurité solide et une gestion efficace des ressources.

Une approche de gestion des vulnérabilités basée sur les risques va au-delà de la gestion traditionnelle des vulnérabilités et offre à votre organisation les avantages suivants :

Surveille en continu les vulnérabilités pour une sécurité proactive.
Identifie les expositions activement exploitées.
Permet des actions de remédiation efficaces.
Réduit les risques.
Aide les organisations à atteindre la conformité.

Si la gestion des vulnérabilités basée sur les risques couvre de nombreux aspects, elle n’offre toujours pas l’approche globale de la cybersécurité dont les organisations ont besoin pour rester protégées. C’est là que la gestion de l’exposition intervient.

Qu’est-ce que la gestion de l’exposition ?

La gestion de l’exposition est une pratique de cybersécurité en pleine évolution qui offre une visibilité complète sur l’ensemble de votre surface d’attaque. Elle permet aux équipes IT et sécurité d’identifier précisément les zones où votre organisation peut être exposée, tout en intégrant la priorisation basée sur les risques, la remédiation et bien plus encore. La gestion de l’exposition vise à maintenir l’appétence au risque définie par l’organisation elle-même. Elle comprend donc quatre étapes :

Comme la gestion des vulnérabilités basée sur les risques, la gestion de l’exposition aide à prioriser les vulnérabilités et les expositions à traiter en premier selon le risque réel. Elle va toutefois plus loin en tenant compte de ce qui est le plus pertinent pour votre entreprise. Cette approche de cybersécurité garantit que les expositions les plus à risque sont corrigées de manière proactive, avant qu’elles ne puissent être exploitées par des attaquants.

Gestion de l’exposition vs gestion des vulnérabilités : quelle différence ?

La gestion de l’exposition représente l’évolution naturelle de la gestion traditionnelle des vulnérabilités. Alors que la gestion des vulnérabilités se concentre principalement sur l’identification et le traitement des faiblesses des serveurs et des terminaux, la gestion de l’exposition élargit ce périmètre en offrant une visibilité complète sur l’ensemble de la surface d’attaque.

Les principales différences sont les suivantes :

La gestion de l’exposition est conçue pour de nouveaux types d’actifs : les environnements IT modernes sont devenus de plus en plus complexes et incluent désormais des actifs tels que les applications Software-as-a-Service (SaaS), les appareils IoT, l’infrastructure cloud, etc. La gestion de l’exposition est conçue pour tenir compte de ces nouveaux types d’actifs, afin que les équipes IT et sécurité puissent identifier les risques où qu’ils se trouvent dans l’organisation. Ce faisant, la gestion de l’exposition offre une compréhension complète de tous les points d’entrée potentiels. Les organisations peuvent ainsi gérer et réduire les risques plus efficacement que jamais.
La gestion de l’exposition tient compte de la réalité et adopte une approche fondée sur l’appétence au risque : rappelons que la gestion des vulnérabilités est centrée sur l’application de correctifs. Si la gestion des vulnérabilités basée sur les risques fournit une priorisation des risques et une orchestration de la remédiation, elle ne reconnaît pas qu’il est irréaliste pour une organisation de corriger chaque vulnérabilité. L’appétence au risque désigne la mesure, définie par l’organisation elle-même, du niveau de risque qu’elle est prête à accepter. Il s’agit d’une approche nettement plus réaliste, qui fédère l’organisation autour de KPI communs afin de mesurer la réussite de manière cohérente entre les équipes.
La gestion de l’exposition va au-delà des CVE et du CVSS : la gestion des vulnérabilités se concentre principalement sur les vulnérabilités et expositions communes (CVE). Si les CVE constituent une priorité importante pour la plupart des organisations, elles ne sont pas les seuls catalyseurs que les acteurs malveillants peuvent utiliser pour nuire à votre organisation. Les pirates peuvent toujours exploiter les expositions suivantes, non couvertes par la gestion des vulnérabilités, pour s’infiltrer dans votre organisation :
Erreurs de configuration.
Problèmes de sécurité des applications.
Politiques des systèmes IT.
Contrôles des accès privilégiés.

Pour revenir à cette approche globale, la gestion de l’exposition couvre tous ces actifs modernes. En outre, la gestion des vulnérabilités s’appuie fortement sur le Common Vulnerability Scoring System (CVSS) pour prioriser la remédiation. Si le CVSS constitue une mesure solide de la sévérité, il n’offre pas de perspective efficace ajustée au risque.

Le risque est un facteur important à garder à l’esprit, car il prend en compte le fait qu’une vulnérabilité ait été exploitée, qu’elle soit liée à un ransomware ou à un malware, ou qu’elle soit actuellement en forte progression. Ne pas intégrer le risque crée un faux sentiment d’urgence avec le CVSS, ce qui conduit les équipes IT et sécurité à consacrer du temps et des ressources à des vulnérabilités qui ne sont pas réellement urgentes.

Comment protéger votre organisation

Maintenant que nous avons présenté les différences entre la gestion de l’exposition et la gestion des vulnérabilités, il est temps de tirer parti des avantages offerts par la gestion de l’exposition. Découvrez comment le portefeuille de gestion de l’exposition d’Ivanti peut renforcer vos équipes IT et sécurité.

Détournement de DLL : Risques, exemples concrets et comment prévenir les attaques

Wed, 17 Dec 2025 14:00:02 Z

Il y a eu du bruit autour de CVE-2025-56383 (publié le 26 septembre 2025), une vulnérabilité de détournement dans Notepad++ v8.8.3 dans laquelle un fichier DLL peut être échangé pour exécuter du code malveillant.

La CVE a été contestée par plusieurs parties, mais nous ne sommes pas là pour commenter cela. Cependant, nous sommes là pour parler du détournement de DLL et discuter de la menace très réelle qu'il représente pour une organisation. Examinons ce qu'est le détournement de DLL et les mesures que vous pouvez prendre pour protéger vos DLL.

Ce qu'est le détournement de DLL et comment il se produit

Le détournement de DLL (également connu sous le nom d'attaque de préchargement de DLL) est une vulnérabilité de sécurité dans laquelle un fichier Dynamic Link Library (DLL) légitime et de confiance dans une application Windows est remplacé par un fichier malveillant.

Cette méthode exploite la façon dont les applications chargent les fichiers DLL, qui contiennent du code et des données utilisés par plusieurs programmes. En chargeant une DLL malveillante, un acteur de menace peut exécuter son propre code avec les mêmes privilèges que l'application légitime, conduisant à une escalade de privilèges, à la persistance et à l'évasion des défenses.

Lorsqu'un programme démarre, il doit souvent charger diverses DLL pour effectuer des fonctions spécifiques, généralement à partir de répertoires système de confiance. Cependant, si une application n'est pas prudente quant à l'endroit où elle recherche ces DLL, elle pourrait charger une DLL malveillante à partir d'un emplacement non sécurisé ou prévisible (c'est-à-dire le répertoire de travail actuel ou un partage réseau). Cela peut se produire si l'application ne spécifie pas le chemin complet vers la DLL ou si elle recherche la DLL dans un répertoire accessible ou modifiable par un attaquant.

Bien que ce type d'attaque ne soit pas nouveau, il reste efficace en raison de sa simplicité. Et bien que ce problème spécifique concerne les applications Windows, il est important de noter que des vulnérabilités similaires peuvent affecter d'autres systèmes d'exploitation (comme Linux et macOS, qui utilisent le chargement dynamique pour les bibliothèques partagées).

Le détournement de DLL introduit plusieurs risques de sécurité, notamment :

Vol de données : La DLL malveillante peut intercepter et voler des données sensibles, telles que des mots de passe ou des informations personnelles.
Systèmes compromis : L'attaquant peut prendre le contrôle du système, conduisant potentiellement à d'autres attaques ou à l'installation de logiciels malveillants supplémentaires.
Malware : La DLL malveillante peut servir de canal pour propager des logiciels malveillants, infectant d'autres parties du système ou du réseau.

Une DLL peut être détournée de plusieurs manières différentes ; voici quelques-unes des techniques les plus courantes :

Ordre de recherche DLL non sécurisé : Les attaquants placent des DLL malveillantes dans des répertoires recherchés avant l'emplacement de la DLL légitime.
Manipulation de chemin relatif : Des DLL malveillantes sont chargées lorsque les applications utilisent des chemins relatifs.
Redirection de DLL : Des techniques telles que la manipulation de chemin redirigent le processus de chargement de DLL.
Autorisations faibles : Les attaquants remplacent les DLL légitimes par des DLL malveillantes dans des répertoires avec des autorisations faibles.
Détournement de DLL fantôme : Les attaquants exploitent les applications chargeant des DLL inexistantes en plaçant des DLL malveillantes avec le même nom dans les répertoires recherchés.

Ces vulnérabilités potentielles soulignent l'importance des pratiques de codage sécurisées et de la gestion des autorisations de répertoire en matière de prévention de cette forme d'attaque.

Comment prévenir le détournement de DLL et protéger vos DLL

Bien que le détournement de DLL reste une menace, il existe des bonnes pratiques que vous pouvez suivre et mettre en œuvre pour réduire votre risque et créer un environnement informatique plus sûr et plus sécurisé.

Chargement DLL sécurisé :

Utiliser des chemins complets : Spécifiez toujours le chemin complet vers la DLL lors du chargement. Cela garantit que l'application charge la DLL à partir d'un emplacement de confiance (et non à partir d'un répertoire non sécurisé).
Définir le chemin de recherche sécurisé : Utilisez la fonction SetDllDirectory dans Windows pour ajouter des répertoires de confiance au chemin de recherche et exclure ceux qui ne sont pas sécurisés. Cela peut aider à empêcher l'application de charger des DLL à partir d'emplacements inattendus.

Vérifications d'intégrité des fichiers :

Signatures numériques : Assurez-vous que les DLL sont signées avec une signature numérique et vérifiez la signature avant de charger la DLL. Cela peut aider à confirmer que la DLL n'a pas été altérée.
Vérification du hash : Utilisez des fonctions de hachage cryptographiques pour vérifier l'intégrité des fichiers DLL. Si le hash de la DLL ne correspond pas à la valeur attendue, le fichier a peut-être été modifié.

Autorisations utilisateur :

Principe du moindre privilège : Exécutez les applications avec le minimum de privilèges nécessaires. Cela limite les dommages potentiels d'un détournement de DLL, car le code malveillant aura moins d'autorisations pour exécuter des actions nuisibles.
Contrôle de compte d'utilisateur (UAC) : Activez UAC sur les systèmes Windows pour demander aux utilisateurs l'autorisation avant d'exécuter des applications avec des privilèges élevés. Cela peut aider à empêcher les modifications non autorisées des fichiers système.

Application Control et gestion des privilèges :

Applications connues et de confiance : Application Control garantit que seules les applications connues et de confiance peuvent être lancées, éliminant le risque d'introduction d'applications non autorisées.
Contrôle des privilèges : Une gestion efficace des privilèges est cruciale pour prévenir le détournement de DLL. En vous assurant que les applications disposent des droits et privilèges corrects pour se lancer, vous limitez la capacité des utilisateurs non autorisés à introduire des fichiers malveillants. Ce contrôle agit comme une barrière clé, restreignant l'accès dont un attaquant a besoin pour exploiter le mécanisme de recherche de DLL et renforçant ainsi la sécurité de votre environnement.

Logiciels de sécurité :

Antivirus et anti-malware : Utilisez des logiciels antivirus et anti-malware réputés pour détecter et empêcher le chargement de DLL malveillantes. Ces outils peuvent analyser les fichiers et comportements malveillants connus.
Systèmes de détection d'intrusion (IDS) : Mettez en œuvre des IDS pour surveiller les activités inhabituelles, telles que les modifications inattendues des fichiers DLL ou les tentatives de chargement de DLL à partir d'emplacements non sécurisés.

Gestion des patchs :

Maintenir les logiciels à jour : Mettez régulièrement à jour les applications et les systèmes d'exploitation avec les derniers correctifs de sécurité. De nombreuses vulnérabilités de détournement de DLL sont corrigées via des mises à jour, restez donc à jour pour vous protéger contre les menaces connues.
Correction automatisée : Utilisez un outil de gestion automatisée des patchs pour vous assurer que tous les systèmes sont maintenus à jour sans intervention manuelle. Cela réduit la fenêtre d'opportunité pour les attaquants d'exploiter des vulnérabilités connues, y compris celles qui pourraient être utilisées pour le détournement de DLL. Cette approche proactive aide à maintenir l'intégrité de vos applications et systèmes d'exploitation, rendant beaucoup plus difficile pour les attaquants d'injecter des DLL malveillantes.

En mettant en œuvre ces bonnes pratiques, vous pouvez réduire considérablement le risque de détournement de DLL et améliorer la sécurité globale de vos applications et systèmes.

Combinez les bons outils et tactiques pour prévenir les détournements de DLL

Le détournement de DLL est une forme d'attaque persistante depuis des années, prouvant qu'elle est toujours efficace et continuera donc d'être un problème pour les organisations.

Préparez votre organisation pour l'avenir en utilisant les bonnes pratiques mentionnées ci-dessus combinées à des solutions éprouvées comme Ivanti Neurons for App Control pour aider à protéger vos DLL. Des capacités comme Trusted Ownership détectent et refusent l'exécution d'une DLL détournée en s'assurant que la propriété des éléments correspond à votre liste approuvée de propriétaires de confiance.

Et maintenez vos applications à jour pour limiter l'exposition aux vulnérabilités connues. Éliminez le risque d'erreur humaine en automatisant les correctifs avec Ivanti Neurons for Patch Management, garantissant que les systèmes sont automatiquement mis à jour et sécurisés.

ITAM : votre première ligne de défense inattendue contre les cybermenaces

Tue, 16 Dec 2025 14:00:02 Z

Lorsque l’on parle de cybersécurité, on pense souvent aux pare-feux, aux systèmes de détection d’intrusion ou à la protection des terminaux de dernière génération. Pourtant, sous ces boucliers sophistiqués se trouve un socle essentiel (et souvent méconnu) : une gestion robuste des actifs IT (ITAM).

Pour les DSI qui accompagnent des entreprises de taille intermédiaire et de grands groupes dans un paysage numérique de plus en plus périlleux, l’ITAM apporte non seulement une visibilité opérationnelle, mais aussi une première ligne de défense puissante contre les cybermenaces.

Nous verrons ci-dessous comment une démarche ITAM complète apporte une visibilité essentielle sur l’environnement technologique de votre organisation, renforce vos défenses face à l’évolution des cybermenaces, soutient la conformité réglementaire et accélère les opérations de sécurité. Découvrez comment faire de l’ITAM un pilier de votre stratégie peut contribuer à prévenir des violations coûteuses et à bâtir une véritable cyberrésilience.

Les cyberattaques mondiales ont augmenté de 30 % sur un an, et les attaques par ransomware représentent désormais en moyenne 20 à 25 incidents majeurs par jour.

Pourquoi l’ITAM est essentiel : les défis de cybersécurité commencent par un manque de visibilité

Les cybermenaces exploitent presque toujours les faiblesses que les organisations ne voient pas. Shadow IT, appareils obsolètes, logiciels non autorisés et points d’accès non approuvés sont autant de vulnérabilités invisibles qui échappent aux dispositifs de sécurité traditionnels. Un inventaire complet des actifs n’est pas qu’une bonne pratique de gestion : c’est le point de départ d’une gestion efficace des cyberrisques.

Malgré 90 % des organisations affirmant disposer de solides capacités de détection, 57 % ont tout de même subi des incidents de sécurité majeurs en raison d’un manque de visibilité complète.

Prenons cet exemple : dans le Data Breach Investigations Report 2023, Verizon indiquait qu’une part importante des incidents d’intrusion provenait d’actifs négligés : des serveurs n’avaient pas été corrigés parce qu’ils avaient été oubliés, des terminaux avaient été provisionnés sans visibilité sur leur cycle de vie, etc.

Dans ce contexte, l’ITAM constitue un système d’alerte précoce d’une valeur inestimable. En fournissant une cartographie en temps réel, mise à jour en continu, de tous les actifs matériels, logiciels et cloud, il permet aux responsables IT d’identifier les risques avant les attaquants.

Les avantages de l’ITAM pour la cyberrésilience

Nous verrons ci-dessous comment les différents avantages d’un ITAM robuste se traduisent par une posture de sécurité renforcée pour votre organisation.

La gestion du cycle de vie élimine les maillons faibles

Les actifs ne présentent pas des risques uniquement au moment de leur acquisition. Le cycle de vie (de l’intégration, la maintenance et la mise à jour jusqu’au retrait final) multiplie les occasions de mauvaise gestion susceptibles d’ouvrir des portes aux cyberadversaires. Systèmes obsolètes sans support éditeur, logiciels en fin de vie exécutant encore des applications critiques, appareils mis hors service sans effacement des données : ces situations sont courantes dans les environnements complexes.

45 % des organisations manquent de confiance dans leur capacité à connaître toutes les applications utilisées, créant ainsi des angles morts exploités par les attaquants.

Un ITAM robuste garantit que chaque actif est suivi, évalué régulièrement et mis hors service de manière sécurisée, ce qui limite aussi bien les expositions accidentelles que les attaques sophistiquées ciblant les infrastructures héritées.

La conformité réglementaire démontre la maîtrise et évite les sanctions

Les DSI évoluent de plus en plus dans des environnements réglementaires qui exigent une maîtrise démontrable des actifs IT. Des référentiels tels que NIST, ISO 27001 et le RGPD mettent tous l’accent sur la visibilité des actifs comme condition préalable à un contrôle efficace des données sensibles et des infrastructures critiques. Une pratique ITAM mature répond directement à ces exigences en fournissant la documentation et la supervision démontrable nécessaires aux audits et aux demandes réglementaires.

Plus de 80 % des violations sont liées à des lacunes dans la gestion de la surface d’attaque, dues à des actifs exposés sur Internet et vulnérables ainsi qu’à de mauvaises pratiques d’inventaire des actifs.

Par exemple, dans le cadre du RGPD, la capacité à identifier et corriger rapidement les actifs vulnérables qui traitent des données personnelles n’est pas seulement une bonne pratique de sécurité : c’est une obligation légale.

Le partenariat ITAM-sécurité : bien plus qu’un simple suivi d’inventaire

Un véritable ITAM ne se limite pas à tenir des listes. La gestion intégrée des actifs alimente directement les outils d’opérations de sécurité en contexte. Les scanners de vulnérabilités s’appuient sur des inventaires précis pour détecter les expositions. La réponse aux incidents dépend de la capacité à savoir précisément quels systèmes sont concernés. L’application des politiques de sécurité repose sur une compréhension claire des rôles et des relations entre les actifs.

À titre d’exemple, une institution financière a vu son temps de réponse aux incidents réduit de moitié après avoir intégré les données ITAM à sa plateforme SIEM, permettant aux équipes de sécurité d’identifier immédiatement les actifs touchés et de les isoler lors d’une violation. La valeur apportée est ici mesurable et reproductible.

Une cyberdéfense résiliente repose sur une gestion robuste des actifs

L’IT Asset Management n’est pas une simple question d’hygiène opérationnelle. C’est un composant essentiel d’une stratégie de cybersécurité proactive et résiliente. Pour les DSI, investir dans une solution ITAM robuste peut faire toute la différence entre une sécurité de façade et une véritable réduction des risques.

Si vous souhaitez découvrir comment notre solution ITAM peut renforcer la posture de sécurité de votre organisation dès ses fondations, contactez notre équipe dès aujourd’hui et faites le premier pas vers une véritable cyberrésilience.

L’IA fantôme transforme-t-elle discrètement la posture de sécurité de votre environnement de travail ?

Mon, 15 Dec 2025 14:00:01 Z

Les outils d’IA ont connu une progression fulgurante sur le lieu de travail. Ce qui relevait autrefois de fonctions technologiques très spécialisées est désormais courant : le rapport Technology at Work 2025 d’Ivanti a révélé que 42 % des employés de bureau déclarent utiliser des outils d’IA générative, comme ChatGPT, au travail, soit 16 points de plus que l’année précédente.

Le revers de la médaille ? Ces gains de productivité se font en dehors des circuits officiels. Parmi les personnes ayant déclaré utiliser des outils d’IA générative, 46 % indiquent qu’une partie, voire la totalité, des outils qu’elles utilisent ne sont pas fournis par leur employeur. Et un salarié sur trois garde secrets vis-à-vis de son employeur les outils de productivité reposant sur l’IA qu’il utilise.

Les outils d’IA générative peuvent démultiplier la productivité. Mais ils représentent aussi un risque pour la sécurité des données, en particulier lorsqu’ils sont utilisés sans supervision de l’employeur.

Qu’est-ce que l’IA fantôme ?

L’utilisation non autorisée de l’IA n’est qu’une autre forme de shadow IT, c’est-à-dire l’utilisation de technologies sans l’approbation de l’IT.

Les risques introduits par l’IA fantôme sont similaires à ceux du shadow IT, avec toutefois une préoccupation supplémentaire : le volume considérable de données propriétaires dont l’IA générative a besoin pour être efficace. Les outils d’IA générative gratuits, ainsi que certains outils payants, peuvent utiliser les données d’une organisation ou les recherches de ses employés pour entraîner leur modèle, ce qui accroît le risque de fuite de données et de non-conformité.

La révélation récente selon laquelle les conversations ChatGPT partagées étaient explorables par les moteurs de recherche (même si OpenAI a rapidement fait marche arrière) devrait servir de signal d’alarme : sans contrôles appropriés, des tiers peuvent utiliser vos données d’une manière que vous n’approuvez pas. Certains outils gratuits, dont ChatGPT, peuvent être configurés pour respecter les politiques de sécurité, mais cela devient tout simplement impossible lorsque les employés les utilisent de façon dissimulée.

Les outils gratuits comme ChatGPT ne sont pas le seul risque d’IA fantôme. Une source inattendue se trouve en réalité dans les logiciels existants. Avec la course à l’ajout de fonctionnalités d’IA, des outils qui avaient peut-être été approuvés par l’IT auparavant peuvent désormais présenter de nouveaux risques. Et si les équipes de sécurité de l’information n’identifient pas et n’évaluent pas ces nouvelles fonctionnalités, celles-ci contournent de fait les processus de gestion des risques tiers.

Pourquoi une approche de l’IA axée en priorité sur les risques est essentielle

Qu’il s’agisse d’IA générative ou d’autres outils, le shadow IT résulte de l’absence d’un moyen défini et raisonnable de tester des outils ou de mener le travail à bien. Étant donné que l’IA n’est pas près de disparaître, les entreprises doivent aborder son adoption de manière proactive, car interdire les outils ne signifie pas que les employés ne tenteront pas de les utiliser pour gagner en productivité et faciliter leur travail.

Je consacre la majeure partie de mon temps à l’évaluation des risques, y compris ceux que posent les outils d’IA. Souvent, nous devons évaluer le risque au regard d’une opportunité d’améliorer l’activité : dans ce cas, les gains de productivité des employés et les effets indirects, comme la satisfaction des collaborateurs ou le fait de disposer de temps pour travailler sur des projets plus stratégiques.

En résumé, nous devons nous poser la question suivante : existe-t-il un moyen d’introduire les outils demandés par les employés et d’en tirer les bénéfices, tout en maintenant le risque à un niveau acceptable ?

C’est là qu’une approche axée en priorité sur les risques entre en jeu. Une approche de l’adoption de l’IA axée en priorité sur les risques se concentre sur les données qui doivent être intégrées à l’IA et sur la manière dont le tiers les traite. Cette approche est similaire à la gestion des risques fournisseurs : elle permet aux organisations d’utiliser des pratiques et processus établis, tout en les adaptant aux questions propres à l’IA.

Les principales questions à se poser sont les suivantes :

Nos données seront-elles utilisées pour entraîner le modèle d’IA ?
Pendant combien de temps nos données sont-elles conservées ?
Quelles protections existent pour réduire le risque d’exposition de nos données ?
Qui détient les droits sur la propriété intellectuelle générée à l’aide de l’IA ?

Limiter la prolifération des outils d’IA est un élément essentiel de ce travail. À mesure que davantage de fournisseurs proposent des outils d’IA spécialisés, et que vous intégrez plus de fournisseurs tout en donnant à leurs outils d’IA l’accès à vos données, votre risque augmente. Cela vaut également pour les outils existants qui introduisent soudainement l’IA sans modification de coût ni de contrat, ce qui complique la tenue d’un inventaire précis des outils d’IA.

Adopter un cadre de gouvernance de l’IA chez Ivanti

Chez Ivanti, nous luttons contre l’IA fantôme grâce à une approche axée en priorité sur les risques qui repose de bout en bout sur l’engagement des collaborateurs.

Faire sortir l’utilisation de l’IA de l’ombre

Même si nous n’encouragerions jamais l’IA fantôme, les employés qui y ont recours disposent de connaissances précieuses à partager sur la manière d’intégrer l’IA aux workflows. Ainsi, plutôt que d’interdire toute utilisation de l’IA, nous devons nous assurer que les employés disposent d’un parcours clair pour demander des outils d’IA à utiliser au travail et qu’il existe régulièrement des occasions de dialogue ouvert.

Favoriser un dialogue ouvert met les employés à l’aise pour discuter des outils qui les aident à réussir et signifie, au bout du compte, qu’ils les utiliseront, ou utiliseront des outils équivalents, en toute sécurité. Cela permet aux employés de devenir des partenaires actifs dans l’élaboration d’une gouvernance appropriée, plutôt que de chercher à contourner les restrictions.

Une approche mesurée de la mise en œuvre et de l’adoption de l’IA

Une fois qu’un outil est approuvé, il est important de veiller à sa bonne mise en œuvre et de comprendre à quelles données vous lui avez donné accès. C’est particulièrement important au regard des risques de gouvernance des données et de sécurité que les outils d’IA générative font peser sur les organisations. En examinant l’IA sous l’angle de la gouvernance des données, il est possible de traiter de nombreux aspects du risque lié à l’IA.

Chez Ivanti, nous adoptons une approche mesurée : nous dédions une équipe à la réalisation de tests contrôlés d’outils d’IA générative avec d’autres équipes. Nous mettons ensuite en place des boucles de retour d’information, et l’adoption se déploie progressivement afin d’éviter toute perturbation.

Mettre en place une boucle de retour d’information pour les outils d’IA

Nous devons nous poser régulièrement les questions suivantes :

Comment les employés d’Ivanti utilisent-ils l’IA ?
L’apprécient-ils ?
Quels retours ont-ils à partager ?
Comment pouvons-nous améliorer l’outil ?

Cette conversation continue garantit que nous utilisons l’IA de manière responsable tout en répondant aux besoins de productivité des employés.

Il ne s’agit pas de suivre la tendance de l’IA à tout prix. Il s’agit de savoir si cela en vaut la peine, pour l’entreprise comme pour les personnes qui l’utilisent. L’IA fantôme stimule la productivité d’une seule personne. Mais si l’on prend cette productivité et qu’on l’étend, on obtient une amélioration significative pour l’ensemble de l’entreprise.

Lutter de manière proactive contre l’IA fantôme

Le fil conducteur est le suivant : même si l’IA, et en particulier l’IA fantôme, présente de nouveaux risques préoccupants, elle est là pour durer. Les employés qui utilisent l’IA en dehors des canaux officiels ne sont pas mal intentionnés ; ils cherchent plutôt à apporter de la valeur à l’entreprise, même s’ils ne s’y prennent pas de la bonne manière.

Une approche proactive de l’adoption de l’IA axée en priorité sur les risques reconnaît cette réalité. Au lieu d’interdictions réactives qui ne font qu’encourager les contournements, nous devons impliquer les employés afin de comprendre les problèmes qu’ils cherchent à résoudre avec l’IA, pour pouvoir leur proposer des options sûres qui répondent à nos exigences en matière de sécurité et de confidentialité des données.

Pourquoi SELinux est essentiel à la sécurité des entreprises

Thu, 23 Oct 2025 14:03:35 Z

Lors de l’évaluation de produits de cybersécurité, il est facile de se concentrer sur des fonctionnalités visibles, telles que les tableaux de bord, les alertes et les intégrations. Mais la véritable robustesse se trouve souvent plus en profondeur, dans l’architecture elle-même. Security-Enhanced Linux (SELinux) est une capacité intégrée qui illustre des principes rigoureux de conception sécurisée.

Développé à l’origine par la National Security Agency (NSA) des États-Unis et mis à disposition de la communauté open source, SELinux est un cadre de contrôle d’accès obligatoire (MAC) intégré au noyau Linux. Il applique des règles strictes, pilotées par des politiques, qui régissent la façon dont les applications, les services et les utilisateurs interagissent avec les ressources système, constituant ainsi une défense puissante contre l’escalade de privilèges, les mouvements latéraux et les exploits zero-day.

Si le produit de cybersécurité que vous évaluez intègre SELinux, en particulier en mode enforcing, c’est un indicateur fort de maturité architecturale et de confinement proactif des menaces.

Qu’est-ce qui rend SELinux différent et plus efficace ?

SELinux associe à chaque processus et fichier un contexte de sécurité et utilise des politiques prédéfinies pour contrôler leurs interactions. Contrairement aux contrôles d’accès traditionnels qui reposent sur les autorisations des utilisateurs, SELinux applique des politiques de sécurité à tous les utilisateurs et processus, même à ceux disposant de privilèges root (administrateur).

C’est un point essentiel, car cela empêche les attaquants d’exploiter l’accès root pour se déplacer latéralement, exfiltrer des données ou désactiver les contrôles de sécurité. SELinux retire en quelque sorte à root son statut de « superpouvoir », en imposant des limites de sécurité définies par des politiques, et non par les privilèges.

Ainsi, même si un attaquant obtient un accès privilégié (c’est-à-dire root), SELinux peut l’empêcher d’exécuter des actions non autorisées qui s’écartent de la politique prédéfinie. Ce niveau de sécurité va au-delà de la détection pour couvrir la prévention au niveau du système d’exploitation.

Fonctionnement de SELinux

SELinux fonctionne selon plusieurs modes :

Désactivé : non actif, aucune application de la sécurité.
Permissif : consigne les violations, mais ne les bloque pas ; utile pour les tests.
Enforcing : bloque activement les actions non autorisées sur la base de la politique.
Application stricte : désigne le mode enforcing associé à une politique stricte appliquée par défaut.

Les produits qui exécutent SELinux en mode enforcing strict offrent une protection en temps réel des processus et des ressources du système. La surface d’attaque est réduite au minimum, ce qui rend les déplacements des attaquants dans le système beaucoup plus difficiles. Chaque utilisateur, service et démon est soumis à un contrôle d’accès obligatoire fondé sur le moindre privilège. L’application stricte est généralement utilisée dans les environnements à haute sécurité (par exemple, administration publique, finance, défense), où aucun processus n’est approuvé par défaut et où chaque interaction doit être explicitement autorisée par une politique.

Même si vous ne configurerez pas SELinux vous-même, il est utile de comprendre comment des fournisseurs comme Ivanti l’utilisent pour renforcer la sécurité de leurs produits :

1. Démarrage en mode permissif : nous commençons par observer le comportement du système sous les politiques SELinux, sans rien bloquer.

2. Tests approfondis : nous consignons les violations, identifions les opérations légitimes et affinons les politiques afin d’éviter les faux positifs.

3. Développement de politiques personnalisées : les politiques sont adaptées à l’architecture du produit et à ses cas d’utilisation.

4. Validation en laboratoire en mode enforcing : avant la publication, nous testons SELinux en modes enforcing et application stricte dans des conditions simulées proches du réel.

Ce processus garantit que SELinux renforce la sécurité sans perturber les fonctionnalités, et que les utilisateurs bénéficient d’une protection optimale sans compromis sur les performances. En outre, le processus décrit ci-dessus s’applique à chaque version : à mesure que le logiciel évolue vers de nouvelles versions, la politique SELinux doit être testée, ajustée et reprise pour chaque nouvelle version du produit logiciel.

Ce processus prend du temps et exige d’importantes ressources de développement pour être correctement exécuté. Seuls les fournisseurs de sécurité les plus engagés et les plus proactifs configurent SELinux avec une application stricte.

Exemple concret : déploiement d’Oracle Linux

Oracle Linux prend en charge SELinux en mode enforcing et est largement utilisé pour sécuriser les environnements de bases de données Oracle et les charges de travail sur Oracle Cloud Infrastructure. SELinux contribue à isoler les processus, à appliquer le principe du moindre privilège et à protéger les données sensibles contre les accès non autorisés, même dans des déploiements d’entreprise complexes.

Pour les acheteurs, cela signifie que les produits conçus sur Oracle Linux avec SELinux activé, notamment Ivanti Connect Secure, sont déjà renforcés contre de nombreuses catégories d’attaques. (Vous trouverez plus d’informations dans le guide officiel d’Oracle.)

Une technologie de sécurité qui crée de la valeur métier

Lorsque SELinux est intégré à une solution de cybersécurité, cette technologie apporte des avantages stratégiques alignés sur les priorités des entreprises.

Préparation aux audits et à la conformité : SELinux consigne chaque tentative d’accès, réussie ou refusée, créant ainsi une piste d’audit détaillée. L’application de SELinux et la piste d’audit contribuent à répondre aux exigences réglementaires telles que le durcissement CIS niveaux 1/2, STIG, NIST-800 et d’autres réglementations qui imposent le renforcement des systèmes.
Contrôle d’accès granulaire : des règles précises sont appliquées au niveau des processus, limitant l’accès même pour les utilisateurs root. Cela réduit le risque d’escalade de privilèges et de menaces internes, ce qui est particulièrement important dans les environnements contenant des données sensibles ou des rôles utilisateurs complexes.
Surface d’attaque réduite : SELinux isole les processus et applique l’accès selon le principe du moindre privilège, ce qui empêche les mouvements latéraux au sein du système. Cette stratégie de confinement est essentielle pour limiter le rayon d’impact d’une compromission. SELinux bloque les actions non autorisées au niveau du système d’exploitation, ce qui rend plus difficile l’exploitation des vulnérabilités par les attaquants, y compris les zero-days.
Assurance de niveau entreprise : les fournisseurs comme Ivanti qui utilisent SELinux dans leurs produits démontrent un engagement fort envers les bonnes pratiques de sécurité. Cette approche soutient la gestion des risques, renforce la confiance et différencie clairement la solution sur un marché concurrentiel.
Stabilité opérationnelle : lorsque les politiques sont correctement ajustées, SELinux fonctionne discrètement en arrière-plan, en appliquant la sécurité sans impact sur les performances, ce qui est idéal pour les environnements critiques où la disponibilité est essentielle.

Conclusion sur la valeur de SELinux

Les acheteurs qui évaluent des produits de cybersécurité doivent aller au-delà des fonctionnalités visibles et se demander ce qui protège le système en son cœur. SELinux fait partie de ces technologies intégrées en profondeur qui appliquent discrètement une protection réelle, en bloquant les actions non autorisées (même celles provenant d’utilisateurs privilégiés) et en contenant les menaces avant qu’elles ne se propagent.

Sa présence dans un produit est le signe d’une architecture renforcée, d’un confinement proactif des menaces et d’un fournisseur qui prend l’intégrité du système au sérieux. Vous ne le configurerez pas vous-même, mais vous en bénéficierez chaque fois qu’un exploit échouera à s’implanter.

L’engagement d’Ivanti en matière de sécurité

Ivanti a été l’une des premières entreprises à adhérer à l’engagement « Secure by Design » de la CISA en 2024. Dans le cadre de cette initiative, Ivanti a fortement investi dans le renforcement du produit Connect Secure, la modernisation de son système d’exploitation et l’intégration de la sécurité à chaque couche du développement.

Au cœur de la philosophie de développement d’Ivanti se trouve notre cycle de développement logiciel sécurisé (Secure Software Development Lifecycle, SSDLC), qui permet de mettre en œuvre les sept éléments clés de la conception logicielle sécurisée : Security as Code (SaC), Secure by Default, Least Privilege, Separation of Duties (SoD), Minimize Attack Surface Area (ASA), Complete Mediation et Failing Securely. Par ailleurs, Ivanti applique également son propre standard strict de développement d’applications sécurisées, qui impose la conformité aux normes OWASP Application Security Verification Standards (ASVS). Ensemble, ces cadres rigoureux garantissent que chaque fonctionnalité produit est conçue et implémentée avec la sécurité comme considération première, offrant aux clients des solutions qui répondent aux références les plus élevées du secteur.

Découverte de la surface d'attaque : Comment identifier la surface d'attaque de votre entreprise

Mon, 18 Aug 2025 09:54:55 Z

Contrôler sa surface d'attaque, c'est comme entretenir son gazon. Si on ne tond pas après la pluie, il grandit rapidement. Avec une surface d'attaque, la situation devient vite incontrôlable, avec une augmentation des cyber-risques. Même s’il est illusoire d’éradiquer totalement le risque — l’environnement de threat intelligence ne cessant d’évoluer — il est possible, et surtout impératif, de garder le risque à un niveau maîtrisé, en ligne avec l'appétence au risque de votre entreprise.

Pourquoi la découverte de la surface d'attaque est-elle si importante ?

Pour gérer les cyber-risques, il faut avant tout savoir où l’on va : cela passe par une identification précise de sa surface d’attaque. Cela implique de recenser ce qui peut servir de porte d’entrée ou d’attaque — qu’il s’agisse de postes client, de vulnérabilités et d'autres vecteurs d'attaque.

Les grandes références du secteur abondent en ce sens : la première fonction du NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) version 1.1 est l'identification. Selon le NIST, les « activités liées à l'identification constituent les bases d'une utilisation efficace de ce cadre ». Même logique pour la liste Contrôles CIS v8, qui inclut les contrôles suivants :

Contrôle 1 — Inventaire et contrôle des actifs de l'entreprise
Contrôle 2— Inventaire et contrôle des actifs logiciels
Contrôle 7— Gestion continue des vulnérabilités

En clair : on ne protège bien que ce que l’on connaît. Mais comment faire l’inventaire de tous nos actifs ?

Comment démarrer la découverte de ma surface d'attaque ?

Il s’agit d’adopter l’œil du hacker : quelles ressources seraient facilement exploitables ?

La surface d'attaque se décline en trois volets : la surface d'attaque numérique, la surface d'attaque physique et la surface d'attaque humaine. Ce blog se concentre sur le volet numérique, même s'il aborde aussi brièvement les deux autres volets.

Votre surface d'attaque numérique couvre l'ensemble des actifs IT traditionnels, à savoir le matériel (postes clients et serveurs, notamment) et les applications logicielles, ainsi que les actifs tournés vers Internet, comme les applications Web, les adresses IP, les noms de domaine, les certificats SSL et les services Cloud.

La première étape consiste à dresser l'inventaire des éléments de votre surface d'attaque numérique et à identifier les problèmes de visibilité. Une classification peut être établie comme suit :

Connus connus : les cyberactifs identifiés comme faisant partie de votre surface d’attaque.
Les inconnus connus : les cyberactifs identifiés comme appartenant à votre surface d’attaque, mais sur lesquels vous manquez de visibilité et/ou de contrôle.
Les inconnus non connus : les cyberactifs dont vous ne savez pas s’ils font ou non partie de votre surface d’attaque.
N/A : les cyberactifs pour lesquels vous êtes certain à 100 % qu’ils ne font pas partie de votre surface d'attaque.

Pour ne rien oublier, utilisez notre Checklist Surface d'attaque personnalisable.

Outils et approches pour découvrir et gérer votre surface d'attaque

Une fois la classification effectuée, l’étape suivante consiste à choisir des outils adaptés afin d’affiner votre visibilité et de lever les angles morts. L’objectif : transformer les inconnus (connus ou non) en actifs maîtrisés.

La « gestion de la surface d'attaque » inclut des solutions plus spécifiques : CAASM (Gestion de la surface d'attaque des cyberactifs), EASM (Gestion de la surface d'attaque externe) et DRPS (Services de protection contre les risques numériques). À partir des résultats de ces outils, vous pouvez identifier plus facilement les vulnérabilités. Certains proposent même des fonctions de priorisation et de remédiation, ce qui permet de réagir rapidement en cas de menace et de limiter les risques.

Cependant, les organisations ont eu besoin de découvrir et de gérer leur surface d’attaque numérique bien avant l’apparition des solutions ASM. À défaut de solutions ASM, de nombreuses entreprises ont adopté — et continuent d’utiliser — d’autres méthodes pour répondre à ce besoin.

Approche	Description	Atouts	Limites
Outils de découverte des actifs	Inventaire des actifs matériels et logiciels qui se connectent à votre réseau.	Largements déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.	Comportent souvent des angles morts, comme le Shadow IT, les systèmes tiers et les applications métier.
BAS (Simulation de fuites de données et d'attaques)	Tests automatisés des vecteurs de menaces pour comprendre les vulnérabilités de sécurité et valider les contrôles de sécurité.	Génération de rapports sur les faiblesses de sécurité et priorisation de la remédiation basée sur les risques.	Traitent uniquement les attaques connues. Pas de remédiation.
CSPM (Gestion du niveau de sécurité du Cloud)	Suivi des changements de configurations Cloud.	Visibilité en temps réel sur les configurations Cloud.	Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
CMDB (Base de données de gestion des configurations)	Suivi des changements apportés aux systèmes.	Largement déployés dans les entreprises.	Ne signalent pas quand les configurations cessent d'être conformes ni l'impact potentiel des menaces émergentes.
Approche locale (manuelle)	Feuilles de calcul, scripts et processus manuels pour gérer la surface d'attaque.	Peu onéreux, voire gratuits (si l'on ne prend pas en compte les heures de travail des ingénieurs IT).	Chronophages et sujets aux erreurs. Ni évolutifs ni en temps réel.
ITAM (Gestion des actifs IT)	Suivi et surveillance du cycle de vie des actifs.	Largement déployés dans la plupart des entreprises. Mieux que les feuilles de calcul.	Traitent uniquement les actifs connus et gérés, en ignorant les actifs inconnus ou non gérés.
Tests d'intrusion (comme les outils de tests d'intrusion automatisés ou les tests d'intrusion en SaaS)	Simulation d'une cyberattaque en identifiant les vulnérabilités de votre réseau et de vos applications.	Exemples de postures de sécurité avec les priorités budgétaires associées.	Traitent uniquement la première phase de la chaîne de cyberdestruction : la reconnaissance. Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.
Red Teaming	Image complète de la posture de cybersécurité de l'entreprise en mettant en scène une simulation de cyberattaque visant les réseaux, les applications, les protections physiques et les collaborateurs.	Va plus loin que les tests d'intrusion, en se concentrant sur les autres phases de la chaîne de cyberdestruction. Va aussi au-delà de la surface d'attaque numérique, en examinant les surfaces d'attaque physique et humaine.	Des résultats ponctuels dont la qualité dépend de la compétence des testeurs qui réalisent la simulation.
Intelligence des menaces (Threat Intelligence)	Informations sur les menaces et autres problèmes de cybersécurité.	Informations sur les menaces et les vulnérabilités.	S'adressent aux entreprises dont le niveau de maturité en sécurité est élevé, et ayant du personnel qualifié et d'importantes ressources.
Outils de gestion des vulnérabilités (comme les scanners)	Identification et gestion des vulnérabilités de votre infrastructure et de vos applications.	Déjà déployés dans la plupart des entreprises.	Aucune visibilité des actifs inconnus. Énormes quantités de données.

Même si ces outils ne disposent pas de toutes les fonctions et de tous les avantages d'une solution ASM dédiée, ils ont quand même leur place dans les pratiques IT et de sécurité d'une entreprise.

En fait, les outils CAASM ne fonctionnent pas sans les données des outils de découverte des actifs, d'ITAM, de gestion des vulnérabilités et/ou de gestion des correctifs. De même, l'EASM complète les services d'intelligence des menaces et de tests de sécurité répertoriés ci-dessus.

Comment identifier la surface d'attaque physique de mon entreprise ?

Le premier élément important de la surface d’attaque physique d’une organisation recoupe en partie la surface d’attaque numérique. Il s’agit de la surface d’attaque des postes client, qui regroupe tous les équipements connectés au réseau : ordinateurs de bureau, ordinateurs portables, périphériques mobiles et périphériques IoT. Les outils et les techniques servant à découvrir la surface d'attaque numérique sont également pertinents pour cette catégorie.

Le second élément majeur concerne les bureaux, les centres de données et les autres locaux de l’entreprise. Là encore, certaines techniques utilisées pour la surface d’attaque numérique sont applicables, notamment dans le cadre des tests d’intrusion physique réalisés lors des exercices de red teaming.

Comment identifier la surface d'attaque humaine de mon entreprise ?

L'identification de votre surface d'attaque humaine commence par l'examen de votre organigramme. Toute personne associée à votre entreprise et ayant accès à ses informations sensibles (ou étant en capacité d'empêcher d'autres personnes d'accéder à ces informations) fait partie de votre surface d'attaque humaine. Cela inclut vos collaborateurs (à plein temps et à temps partiel), les membres du conseil d'administration, les sous-traitants, les partenaires, les fournisseurs, les prestataires et éditeurs de logiciels, les intérimaires, etc.

Le Red Teaming, pratique visant à identifier les éléments des surfaces d'attaque numérique et physique, peut aussi servir à identifier un composant majeur de la surface d'attaque humaine : la sensibilité des collaborateurs à l'ingénierie sociale.

En parallèle, l’analyse des affectations de droits et des accès réels reste indispensable pour ne pas se laisser surprendre par des privilèges mal accordés ou des comptes dormants.

J'ai identifié la surface d'attaque de mon entreprise. Et maintenant ?

La découverte de votre surface d'attaque n'est que la première étape vers votre objectif final : la remédiation des vulnérabilités qui présentent le plus de risque pour votre entreprise. Ce processus s'inscrit dans la gestion de l'exposition.

Comme nous l'avons dit, la découverte de la surface d'attaque est l'une des bases de votre stratégie de sécurité : vous ne pouvez pas protéger ce dont vous ignorez l'existence. La gestion de l'exposition intègre un autre pilier essentiel : la détermination de votre appétence au risque. Elle définit le niveau de risque que votre entreprise est prête à accepter pour atteindre ses objectifs. (Vous pouvez vous inspirer de ce modèle personnalisable.)

Maintenant que vous avez géré ces deux aspects fondamentaux, vous pouvez évaluer les vulnérabilités détectées dans votre surface d'attaque. Vous déterminez ainsi l'importance du danger qu'elles représentent pour votre entreprise, et si cela entre dans les limites de votre appétence au risque (ce processus est traité en détail dans notre guide Évaluer objectivement le cyber-risque).

Les vulnérabilités hors du champ de votre appétence au risque doivent être remédiées en priorité, ce qui vous permet de concentrer vos efforts de remédiation là où ils auront le plus d’impact.

Que signifie vraiment la cybersécurité proactive ? Mesures pour protéger votre organisation

Mon, 04 Aug 2025 19:26:10 Z

Le rapport 2025 d’Ivanti sur l’état de la cybersécurité a mis en évidence un constat sans grande surprise : les organisations font état d’un écart de préparation important (c’est-à-dire l’écart entre le niveau de menace perçu et leur degré de préparation) pour chaque vecteur de menace et chaque vulnérabilité sur lesquels nous les avons interrogées.

Si les équipes de sécurité consacrent à juste titre des ressources au renforcement de leur résilience afin de pouvoir répondre rapidement aux attaques et s’en remettre, combler ces écarts de préparation exige des mesures de cybersécurité proactive.

Cybersécurité réactive ou proactive : quelle est la différence ?

La cybersécurité proactive désigne les actions menées avant une cyberattaque pour améliorer votre posture de sécurité et réduire votre surface d’attaque ; la cybersécurité réactive intervient lorsqu’une attaque a déjà compromis vos systèmes, afin de la contenir et de minimiser les dommages qu’elle peut causer.

Ces deux approches ne s’excluent absolument pas. La sécurité proactive réduit les risques, mais ne les élimine pas. Le terme « réactive » peut avoir une connotation légèrement négative, mais les capacités qui vous permettent de répondre à une attaque, même lorsque vous avez considérablement réduit votre exposition aux risques, restent essentielles.

Exemples de mesures de cybersécurité proactive

La sécurité proactive est une philosophie, pas un plan prêt à l’emploi. Elle repose sur l’idée que prendre des mesures pour minimiser l’exposition bien avant qu’un risque ne se matérialise est la meilleure façon d’utiliser le temps et les ressources consacrés à la sécurité.

Cela étant, vous pouvez développer des capacités spécifiques pour adopter cette philosophie, notamment (mais certainement pas uniquement) l’analyse des vulnérabilités, la gestion de la surface d’attaque, la gestion des vulnérabilités, la validation des expositions, la gestion des correctifs, la gestion des configurations et la formation des utilisateurs.

Gestion de la surface d’attaque

La gestion de la surface d’attaque vise à comprendre l’ensemble des points d’entrée d’une organisation — numériques, physiques ou humains — que des pirates peuvent utiliser pour accéder à son environnement IT.

La surface d’attaque comprend les appareils (connus et inconnus), mais l’environnement ne se limite pas aux appareils. Les applications, les logiciels, les comptes de réseaux sociaux ainsi que les autres espaces ou actifs numériques utilisés par des personnes associées à l’entreprise en font également partie.

À lire également :Checklist de la surface d’attaque

Analyse des vulnérabilités

L’analyse des vulnérabilités correspond exactement à ce que son nom indique : des scanners spécialisés évaluent les réseaux et les actifs IT afin d’identifier les vulnérabilités exploitables, puis les signalent aux équipes de sécurité pour qu’elles les traitent. Comme il existe des milliers de vulnérabilités connues (et que de nouvelles apparaissent chaque jour), l’analyse des vulnérabilités est d’autant plus efficace lorsqu’elle est automatisée.

Les analyses externes des vulnérabilités examinent un réseau depuis l’extérieur, en cherchant à identifier les moyens par lesquels un pirate pourrait y pénétrer. Les analyses internes adoptent le point de vue d’une personne qui a déjà réussi à s’introduire dans le réseau et des vulnérabilités qu’elle pourrait exploiter de l’intérieur.

Gestion des vulnérabilités

L’analyse des vulnérabilités et la gestion de la surface d’attaque alimentent le cycle plus long et plus complet de gestion des vulnérabilités. Il s’agit d’un processus continu dans lequel les vulnérabilités sont identifiées et classées selon un certain niveau de priorité, avant que les équipes ne déterminent la meilleure façon de les résoudre.

Une approche courante de la gestion des vulnérabilités consiste à établir les priorités en fonction de la gravité, mais cette approche peut surestimer certaines vulnérabilités tout en en négligeant d’autres. Ajouter le contexte de la menace — cette vulnérabilité est-elle activement exploitée ? — et le contexte du risque — quel serait l’impact de l’exploitation de cette vulnérabilité pour mon organisation ? — permet d’obtenir une vision plus claire de la priorité réelle.

Validation des expositions

La validation des expositions teste la faisabilité d’une attaque et la robustesse de vos contre-mesures en exécutant des scénarios d’attaque. Cette approche est également appelée sécurité offensive. Les deux méthodes les plus courantes sont les tests d’intrusion et le red teaming.

Tests d’intrusion (ou pen tests) : des hackers éthiques tentent de pirater votre système, puis fournissent un retour sur ce qui a bien fonctionné et sur les domaines à améliorer. Les pen tests peuvent également être réalisés à l’aide d’outils automatisés.
Red teaming : comme les pen tests, cette approche consiste à faire réaliser par des hackers éthiques une cyberattaque planifiée dans le but de découvrir où vos défenses peuvent être améliorées. Le red teaming est une simulation fondée sur un scénario, tandis que les pen tests visent à rechercher autant de vulnérabilités différentes que possible.

La validation adversariale des expositions, ou AEV, émerge également comme pratique, en utilisant des logiciels pour réaliser en continu et de manière autonome des simulations d’attaque afin de démontrer l’existence d’expositions.

Gestion des correctifs

Une fois les vulnérabilités identifiées grâce à la gestion de la surface d’attaque et à l’analyse des vulnérabilités, hiérarchisées grâce à la gestion des vulnérabilités, puis validées grâce à la validation des expositions, la question devient : comment réagir ?La gestion des correctifs est l’un des moyens de répondre aux vulnérabilités et de les corriger, en particulier les vulnérabilités logicielles pour lesquelles des correctifs existent.

La gestion des correctifs se prête particulièrement bien à l’automatisation, notamment lorsqu’elle est associée à une gestion des vulnérabilités basée sur les risques. Les workflows qui passent automatiquement de la détection à la prise de décision, puis au déploiement, réduisent le délai moyen de remédiation et minimisent les erreurs humaines.

La gestion des correctifs présente toutefois un angle mort important : le shadow IT. Sans inventaire précis des logiciels utilisés par les employés, il est impossible de faire respecter la conformité des correctifs. C’est pourquoi la composante de découverte de la gestion de la surface d’attaque est si essentielle.

Gestion des configurations

La gestion des configurations, comme la gestion des correctifs, est un moyen de répondre aux vulnérabilités identifiées — dans ce cas, les vulnérabilités qui concernent les appareils eux-mêmes plutôt que les logiciels qui y sont exécutés. La configuration désigne les mesures de cybersécurité proactive définies au niveau de l’appareil, comme l’application de l’authentification multifacteur ou du chiffrement. Si ces mesures peuvent être appliquées individuellement par l’utilisateur final, elles sont plus efficacement imposées à l’aide d’un logiciel de gestion des terminaux.

Là encore, comme pour la gestion des correctifs, le shadow IT complique la situation. Les appareils inconnus et non gérés peuvent ne pas respecter les normes de sécurité de votre organisation — et il est impossible de le savoir. Comme pour la gestion des correctifs, la composante de découverte de la gestion de la surface d’attaque est essentielle. En identifiant des appareils auparavant inconnus et en les intégrant à la gestion, les équipes IT peuvent faire respecter la conformité.

Formation des utilisateurs

Votre surface d’attaque n’est pas uniquement numérique : elle comporte également une dimension humaine. Le phishing et d’autres formes d’ingénierie sociale exploitent les vulnérabilités humaines, souvent en les combinant à des expositions numériques (vulnérabilités logicielles, mauvaises configurations, etc.) pour lancer une attaque. Former les employés contribue à minimiser les expositions, tout comme la remédiation des vulnérabilités numériques.

Obtenir l’adhésion aux mesures de cybersécurité proactive

Obtenir l’adhésion aux mesures de cybersécurité proactive est, à certains égards, plus difficile que pour les mesures de cybersécurité réactive. La menace ne s’est pas encore matérialisée, il est donc plus difficile pour les parties prenantes hors sécurité de comprendre les compromis nécessaires, comme des interruptions temporaires de l’activité ou d’autres éléments susceptibles de freiner la productivité, au moins à court terme. La formation des utilisateurs prend du temps dans des emplois du temps déjà chargés. Le déploiement de correctifs peut mettre des applications hors ligne ou nécessiter du dépannage.

Pour obtenir et conserver l’adhésion à ce type de mesures, les équipes de sécurité doivent veiller à minimiser les perturbations que la remédiation peut entraîner (par exemple, en utilisant un déploiement par anneaux, qui déploie les mises à jour logicielles dans des « anneaux » de plus en plus larges, en identifiant les problèmes et en les corrigeant à chaque étape, avant d’étendre le déploiement à l’ensemble des utilisateurs).

Un exercice d’évaluation des risques peut également aider à rendre concrète, pour les autres parties prenantes, une menace qui ne s’est pas encore matérialisée. Une mesure objective de votre exposition et du coût des risques associés — en particulier si vous pouvez quantifier cette exposition en termes financiers — peut faire la différence entre une acceptation à contrecœur et un véritable soutien à la sécurité proactive.

À lire également :Évaluer objectivement le cyber-risque : guide des évaluations des risques fondées sur les données

Pourquoi la cybersécurité proactive est importante

Une stratégie de cybersécurité proactive n’est pas incompatible avec la sécurité réactive : une organisation saine dispose de capacités solides pour traiter les risques avant et après leur matérialisation. Mais les actions préventives amélioreront votre posture de risque et rendront les situations où un risque se matérialise moins fréquentes et plus espacées. Les mesures de cybersécurité proactive, comme la gestion de la surface d’attaque, l’application de correctifs, des configurations adaptées et la sensibilisation des utilisateurs, constituent des investissements évidents dans la sécurité à long terme de votre organisation.

Ignorer les attaques sur la chaîne logicielle peut coûter très cher

Mon, 05 May 2025 12:34:43 Z

Le rapport d'Ivanti sur l'état de la cybersécurité en 2025 révèle que seulement 1/3 des entreprises sont protégées contre les menaces sur la chaîne logicielle. Les pirates ciblent de plus en plus les dépendances aux tiers, transformant progressivement la chaîne logicielle en maillon faible.

Le risque croissant d'attaques sur la chaîne logicielle

Les surfaces d'attaque ne cessent de s'étendre, à toute vitesse, et l'un des vecteurs clés de cette expansion est la chaîne logicielle. Les entreprises modernes dépendent d'un grand nombre d'applications, d'outils et de dépendances logicielles dans leur infrastructure technologique. D'après un rapport de BetterCloud, en 2024, une entreprise utilise en moyenne 112 applications SaaS. Et cet enchevêtrement ne cesse de se compliquer. En moyenne, chaque application comporte 150 dépendances (dont 90 % sont indirectes), qui correspondent à l'immense majorité des vulnérabilités.

Les acteurs de la menace qui visent les dépendances aux tiers se sont multipliés ces dernières années : en 2024, 75 % des chaînes logicielles ont subi une attaque. Ces menaces sur la chaîne logicielle sont aussi plus sophistiquées, car les assaillants traquent la moindre faiblesse dans le code d'un fournisseur. Pour autant, les équipes de sécurité peinent à valider comme il se doit tous leurs composants logiciels.

Les études d'Ivanti montrent que, même si 84 % des dirigeants d'entreprise affirment que la surveillance de la chaîne logicielle est « très importante », presque la moitié (48 %) n'ont toujours pas identifié les composants les plus vulnérables de leur propre chaîne. Ce manquement à leur devoir de vigilance expose les entreprises à de graves risques financiers et réputationnels.

Attaques courantes sur la chaîne logicielle

D'après Gartner, 45 % des entreprises subiront une attaque sur leur chaîne logicielle d'ici 2025, dont les plus courantes comprennent notamment :

Les attaques sur le serveur en amont, les plus communes, consistent à cibler un système placé en amont des utilisateurs, comme un référentiel de code, et à y injecter une charge malveillante ou un malware. Ce dernier se répand alors vers les utilisateurs en aval, par exemple par une simple mise à jour logicielle.
Les attaques en milieu de flux se rapportent aux incidents où les agresseurs compromettent des systèmes intermédiaires, comme des outils de développement logiciel, au lieu de la base de code d'origine.
Les attaques de substitution ou la confusion de dépendance tentent de tromper un développeur ou un système afin qu'il télécharge une dépendance logicielle infectée depuis une source externe. Classiquement, le nom de ce logiciel malveillant ressemble à celui d'une bibliothèque interne approuvée. La version malfaisante est souvent intégrée au build logiciel à la place de la dépendance légitime.
Les attaques par certificat de signature de code se produisent lorsqu'un pirate injecte un logiciel malveillant dans les certificats numériques de signature de code censés valider la sécurité et l'authenticité des logiciels. Ces attaques se déclenchent lorsque l'acteur de la menace compromet l'environnement de développement par ingénierie sociale ou toute autre tactique.
Les attaques sur l'infrastructure CI/CD visent les pipelines de développement automatisés en y introduisant des malwares, par exemple en clonant des référentiels GitHub authentiques à des fins malveillantes.

Exemples récents d'attaques sur la chaîne logicielle

Il n'y a pas à chercher bien loin dans l'actualité pour y trouver des exemples concrets arrivés au point critique. Certains cas d'attaques sur la chaîne logicielle ont retenu l'attention du monde entier ces dernières années.

Attaque par ingénierie sociale sur Okta
- En octobre 2023, Okta, fournisseur de services de gestion des identités et des accès, a subi une grave fuite de données liée à son système de service client. L'attaque a été rendue possible suite à des opérations d'ingénierie sociale réussies ciblant les centres de support IT de quatre de ses clients. Les cybercriminels ont utilisé ces informations d'authentification d'administration pour lancer plusieurs attaques en aval. Résultat : ils ont pu accéder frauduleusement aux données des milliers de clients Okta, notamment 1Password, BeyondTrust et Cloudflare.
Attaque par ransomware sur Kaseya
- En juillet 2021, des pirates ont exploité six vulnérabilités Zero Day de l'outil de gestion à distance Kaseya. Ils s'en sont servis pour distribuer une charge malveillante de ransomware au travers d'une mise à jour logicielle qui a infecté des centaines de MSP (fournisseurs de services gérés) et leurs clients. Cette attaque a entraîné le blocage de près de 2 000 entreprises dans le monde et a fait les gros titres lorsque les assaillants ont réclamé une rançon énorme de 70 millions de dollars (qui n'a jamais été payée).
Attaque sur l'infrastructure CI/CD Codecov
- En janvier 2021, des acteurs malveillants ont infiltré l'outil très répandu de test de code Codecov, utilisé alors par plus de 29 000 clients. Ils ont obtenu un accès non autorisé au script Bash de mise en ligne du code de Codecov et y ont introduit un code malveillant, que les clients de Codecov ont ensuite utilisé dans leurs pipelines CI/CD. Codecov n'a pas détecté ni signalé cette attaque avant avril 2021. Les malfaiteurs ont donc potentiellement eu accès aux données sensibles des systèmes de milliers de clients pendant des mois.
- Chacune de ces attaques sur la chaîne logicielle a provoqué des dommages en cascade à grande échelle, à la fois chez le fournisseur visé, chez des milliers de ses clients et au-delà.

Les graves préjudices des attaques sur la chaîne logicielle

Il ne faut pas sous-estimer l'ampleur des dommages d'une attaque sur la chaîne logicielle. Chacune des attaques citées a entraîné des dommages financiers et réputationnels importants et a conduit de nombreuses entreprises à repenser leur approche de la sécurité fournisseur.

Impact financier

Cybersecurity Ventures prévoit que le coût annuel mondial des attaques sur la chaîne logicielle des entreprises va atteindre l'énorme somme de 138 milliards de dollars d'ici 2031 (contre 60 milliards en 2025). Les pertes sont diverses : perte d'exploitation, coûts de remédiation et frais juridiques, et les amendes éventuelles pour non-conformité. Après sa fuite de données de 2023, Okta a vu le cours de ses actions chuter de 11 %. Après une autre fuite de données majeure en 2022, l'entreprise a ensuite été poursuivie en justice par ses actionnaires, à qui elle a dû payer 60 millions de dollars.

Impact opérationnel

Lors d'une attaque sur la chaîne logicielle, des milliers de clients peuvent subir des perturbations ou l'arrêt de leurs systèmes, ce qui stoppe les opérations critiques et provoque des retards qui affectent ensuite d'autres fournisseurs. Citons deux exemples parmi les établissements touchés par les conséquences de l'attaque Kaseya. En Suède, un grand distributeur alimentaire a été contraint de fermer 800 magasins pendant un week-end entier et les chemins de fer nationaux ont aussi subi des perturbations. À l'autre bout du monde, 11 écoles et plus de 100 crèches en Nouvelle-Zélande ont également dû cesser toute opération en ligne et revenir au papier et crayon jusqu'à ce que l'incident soit résolu.

Perte de réputation

Un préjudice réputationnel public peut nuire à la confiance des clients et des actionnaires envers l'entreprise. La fidélité des fournisseurs et des clients, fruit d'années de travail, peut s'écorner. En mars 2023, le logiciel leader des communications d'entreprise 3CX a été compromis lorsque des pirates ont injecté un code malveillant dans l'application. Les données sensibles de plus de 600 000 clients ont été potentiellement exposées et l'entreprise a subi des mois durant l'attention négative des médias et des critiques publiques.

Où s'arrête la responsabilité ? Dette technique et responsabilité partagée

Les menaces sur la chaîne logicielle devraient se multiplier et s'aggraver. Il est donc impératif pour les entreprises de définir clairement les responsabilités et d'appliquer strictement les meilleures pratiques de sécurité à leurs fournisseurs tiers et à la sécurité de leur chaîne logicielle.

Qui est responsable de la sécurité des logiciels ?

Actuellement, de nombreuses entreprises n'ont aucun processus strict ni standardisé pour évaluer la sécurité des fournisseurs tiers. En outre, de nombreux clients et fournisseurs divergent sur l'entité responsable de la gestion de la sécurité des logiciels tiers.

Le rapport sur l'état de la cybersécurité en 2025 s'appuie sur des entreprises présentant différents niveaux de maturité en cybersécurité. Nous avons utilisé les résultats pour développer notre échelle de maturité de la cybersécurité. Cette échelle s'étend des entreprises les moins matures (niveaux 1 et 2) à celles disposant des capacités les plus avancées (niveau 4).

Cette étude fait ressortir que les entreprises les moins matures sont le plus souvent convaincues que le fournisseur de logiciel est seul responsable de la cybersécurité. Cependant, les entreprises les mieux préparées à la cybersécurité sont d'avis que les responsabilités sont partagées entre le fournisseur de logiciels et le client.

Comment se protéger des menaces sur la chaîne logicielle

La sécurité de la chaîne logicielle constitue un pilier essentiel d'une stratégie de cybersécurité exhaustive et proactive.

Pour renforcer la chaîne logicielle et la protéger des attaques, les entreprises doivent traiter tous les fournisseurs et composants tiers comme une extension de leur surface d'attaque globale. Nous vous proposons ici nos principales recommandations pour mieux prévenir les attaques sur la chaîne logicielle, et mieux détecter et traiter les menaces qui la visent.

1. Gestion rigoureuse des fournisseurs et évaluation des risques

Exercez votre devoir de vigilance avant de choisir un fournisseur de logiciels. Privilégiez ceux qui respectent les normes industrielles et ont publié leur stratégie de divulgation des vulnérabilités. Pour limiter les risques, le client et le fournisseur doivent réaliser régulièrement des audits, faire des revues de code et des évaluations proactives.

Notre étude montre que plus une entreprise est avancée en matière de cybersécurité, plus elle est susceptible d'exercer son devoir de vigilance dans l'évaluation de la cybersécurité de ses fournisseurs tiers. Elle va notamment :

Incorporer des questionnaires d'évaluation de la sécurité (SAQ) dans son évaluation.
Tenir compte des certifications de sécurité du fournisseur, comme ISO 27001 et SOC 2.
Passer en revue les normes de conformité propres au secteur.
S'assurer que le fournisseur dispose de plans et de processus de réponse aux incidents pour gérer les failles de sécurité.
Demander une nomenclature logicielle (SBOM) pour mieux comprendre les composants Open Source et tiers utilisés dans ses logiciels.

2. Surveillance en continu et remédiation proactive sur toutes les dépendances

Le secret, c'est d'utiliser des outils et processus automatisés de détection des menaces pour surveiller et évaluer tous vos composants logiciels. On oublie souvent les dépendances – surtout dans les composants logiciels Open Source –, qui représentent un risque majeur de vulnérabilités si elles ne sont pas régulièrement surveillées et mises à jour.

Les outils IA et d'automatisation peuvent fournir des informations en temps réel sur les périphériques, les applications et les performances réseau afin de remonter les problèmes potentiels. Les solutions de remédiation automatisée et d'autoréparation constituent des méthodes efficaces pour résoudre ces remontées pratiquement sans aucune intervention humaine.

3. Échanges réguliers avec les fournisseurs tiers

Le partage des responsabilités en matière de sécurité de la chaîne logicielle repose sur des échanges fréquents et ouverts entre les clients et les fournisseurs tiers. Les équipes Sécurité et IT doivent rester informées des mises à jour logicielles, des correctifs apportés aux vulnérabilités connues et de toute menace de sécurité émergente.

En savoir plus sur la sécurité de la chaîne logicielle

Vous voulez en savoir plus ? Lisez notre Rapport sur l'état de la cybersécurité en 2025 pour obtenir des conseils éclairés sur les menaces de cybersécurité les plus pressantes aujourd'hui et sur les stratégies de gestion proactive des risques.

Comment mettre en oeuvre une démarche d'évaluation quantitative des risques

Tue, 15 Apr 2025 13:50:58 Z

L'évaluation quantitative des risques offre une approche objective de l'analyse des risques. Cependant, comprendre les risques ne suffit pas. Cet article explique comment interpréter les résultats et comment les traduire en décisions pertinentes dans un environnement réel.

(Bien que l'article n'explique pas comment réaliser une analyse quantitative des risques, vous trouverez les détails de ce processus dans notre guide d'évaluation des risques axée sur les données.)

Comprendre la quantification des risques

Pour commencer, qu'est-ce que l'évaluation quantitative des risques ?

Qu'est-ce que la quantification des risques ?

L'évaluation quantitative des risques (parfois abrégée QRA) attribue une valeur monétaire à chaque cyber-risque selon son impact potentiel et sa probabilité de survenance. Elle pose la question suivante : Que nous coûtera un incident si cet actif est exposé via cette vulnérabilité ? Contrairement aux méthodes qualitatives qui classent les risques par gravité, l'approche quantitative fournit une image objective.

Pourquoi est-ce important ? L'évaluation qualitative des cyber-risques laisse souvent une large place à l'interprétation. En traduisant les risques en termes financiers (avec des données chiffrées en euros), on permet aux dirigeants extérieurs au département Sécurité de comprendre ce qu'est réellement un risque « élevé », en contexte.

Comment la quantification des risques s'inscrit-elle dans la stratégie de cybersécurité globale ?

La quantification des risques est un outil essentiel pour gérer l'exposition, mais ce n'est pas l'objectif final. Le but est plutôt de créer de bonnes bases pour prendre des décisions pertinentes sur la façon d'atténuer ces risques.

Supposons par exemple que vous souhaitiez présenter l'exposition aux risques posée par un fournisseur, vous allez dire « Ce fournisseur expose potentiellement l'entreprise à 1,5 million d'euros de dommages potentiels, car il utilise des communications Cloud non chiffrées ». Il devient alors bien plus facile de décider de la réponse apportée. Nous en reparlerons plus loin dans cet article.

Interprétation de l'analyse quantitative des risques : concepts clés

Pour interpréter correctement les résultats, il est crucial de maîtriser les concepts essentiels de l'analyse quantitative des risques :

Valeur des actifs (AV) : estimation monétaire de l'importance d'un actif.
Facteur d'exposition (EF) : pourcentage de la valeur de l'actif susceptible d'être compromis si le risque se matérialise.
Taux d'occurrence annualisé (ARO) : fréquence prévisible avec laquelle un risque pourrait survenir au cours d’une année. (Ce chiffre peut être inférieur à 1 pour les risques qui se manifestent moins d'une fois par an.)

Ces éléments servent à calculer des métriques fondamentales :

La perte simple estimée (SLE) : la perte financière lors d'un événement unique. Cette valeur se calcule avec la formule AV x EF.
La perte annuelle estimée (ALE) : les pertes financières annuelles que l'entreprise subirait si le risque se concrétisait. Cette valeur se calcule avec la formule SLE x ARO.
ALE résiduelle : les pertes financières annuelles si le risque se concrétisait après que des mesures d'atténuation aient été appliquées. Ces mesures réduisent l'EF, l'ARO ou les deux, mais le calcul reste identique.

Quelle est la métrique à prendre en compte pour l'analyse des risques ? C'est tout simplement l'ALE. Cet indicateur vous permettra de choisir la réponse adaptée aux risques. Toutefois, ce n'est pas un chiffre magique, car étant basé sur des estimations, il porte une part d'incertitude.

Les valeurs AV, EF et ARO sont toutes des estimations. Elles sont toutefois très proches de la réalité parce qu'elles reposent sur des études minutieuses. Le niveau de confiance que vous devez avoir en ces estimations est généralement représenté par un niveau de confiance (ex. : 80 %) suivi d'une liste d'inconnues.

Le moment de vérité : la réponse aux risques

Jusqu'ici, nous avons parlé de la façon d'interpréter une évaluation quantitative des risques. Il ne faut pas oublier que votre but ultime est de décider de la réponse que vous allez apporter face à un risque.

Les réponses aux risques peuvent être classées en quatre catégories : évitement, acceptation, transfert ou atténuation.

L'évitement

Pour éviter le risque, il faut éliminer totalement l'exposition. C'est la seule réponse qui réduit vraiment le risque à zéro. En pratique, cela implique d'arrêter le processus ou le système qui présente un risque.

L'évitement est une solution radicale, rarement applicable. Par exemple, vous pouvez éliminer entièrement le risque d'hameçonnage en cessant tout échange par e-mail externe. Si vous travaillez dans la sécurité nationale, cela peut effectivement valoir la peine. Pour les autres, cela entraînerait un arrêt brutal des activités de l'entreprise.

Votre analyse des risques peut encourager cette réponse dans deux situations : l'ALE est tellement extrême qu'aucune stratégie d'atténuation ne peut la réduire à un niveau acceptable, ou bien il existe une alternative 1:1 au processus ou au système qui présente un risque, et elle réduirait l'EF ou l'ARO à zéro.

L'acceptation

Accepter le risque c'est choisir de ne rien faire. Cela semble déraisonnable de prime abord, mais c'est une option à envisager sérieusement.

Il existe une situation très simple où la meilleure option consiste à accepter le risque : c'est le cas lorsque le coût de l'atténuation est supérieur à l'ALE résiduelle (ALE après atténuation). Les dépenses nécessaires pour protéger l'entreprise dépassent alors ce qu'elle risque de perdre.

Toutefois, l'acceptation peut se justifier dans des situations plus nuancées. C'est notamment le cas lorsqu'on prend en compte le coût d'opportunité de l'atténuation du risque, qu'il soit étroitement concentré sur l'équipe Sécurité ou qu'il concerne toute l'entreprise.

Aucune équipe de sécurité ne dispose de ressources illimitées. L'acceptation est un choix raisonnable (bien qu'inconfortable) si atténuer le risque implique de détourner des ressources qui pourraient servir à corriger une exposition plus inquiétante. C'est d'autant plus vrai lorsque la stratégie d'atténuation repose sur des processus manuels et chronophages. Il convient alors de se demander si des tâches plus importantes sont mises de côté pour apporter une réponse.

Il faut aussi s'intéresser au coût d'opportunité plus global : quelles opportunités l'entreprise devrait-elle sacrifier pour atténuer ou éviter le risque ? Autrement dit, l'acceptation devient pertinente si la valeur de l'opportunité dépasse l'ALE. Supposons par exemple que vous ouvriez un centre de données à l'étranger pour fournir des services Cloud sur un nouveau marché. Cela créera de nouveaux risques de sécurité, mais en contrepartie, ce centre de données constituera un avantage certain pour l'entreprise.

Le transfert

Transférer le risque signifie en confier la charge à une autre partie prenante, généralement l'assurance cybersécurité. En général, transférer le risque à l'assurance est une option lorsque cette assurance coûte moins cher que votre ALE... mais prenez garde à plusieurs choses.

D'abord, l'assurance couvre uniquement le coût financier d'un incident de sécurité. Cependant, les incidents de sécurité engendrent aussi des coûts juridiques et une perte de réputation. Si vous avez tenu compte de ces dommages pour calculer l'ALE et que vous leur avez attribué une valeur monétaire (dans l'idéal, c'est ce qu'il faut faire), vous devrez alors ventiler ce montant pour prendre uniquement en compte les coûts financiers immédiats. Transférer le risque s'avère judicieux si le risque financier est élevé, mais que les risques juridiques et réputationnels sont faibles.

Ensuite, l'assurance va sûrement vous imposer de mettre en place des contrôles de sécurité, et elle risque de ne plus vous couvrir en cas d'incidents récurrents. Vous devez par conséquent ajouter le coût de ces contrôles au coût de l'assurance, ce qui peut changer votre calcul. Cela signifie également que le transfert du risque à l'assurance ne peut être qu'une mesure temporaire pour les risques à fort ARO.

L'atténuation

L'atténuation est la réponse la plus proactive. Elle consiste à réduire votre exposition en appliquant des contrôles de sécurité, des correctifs de vulnérabilités, des corrections en cas d'erreur de configuration, etc.

L'atténuation ne supprime pas l'exposition. La seule façon d'y parvenir est d'éviter totalement le risque. Mais l'atténuation diminue les risques, car vous prenez des mesures pour réduire l'EF, l'ARO ou les deux. Vous pouvez alors calculer une nouvelle ALE, appelée ALE résiduelle.

En général, l'atténuation est la meilleure option si la différence entre l'ALE d'origine et l'ALE résiduelle dépasse le coût de l'atténuation.

Prise en compte de l'appétence au risque (ou comment gérer les cas limites)

Certains scénarios ne s’inscrivent pas dans ces catégories de manière évidente. Cela peut se produire dans des situations ambiguës, notamment lorsque la marge entre deux options est très mince ou bien lorsque le niveau d'incertitude est très élevé. Dans ces cas limites, l'appétence au risque peut servir de boussole en offrant un cadre qui vous aidera à interpréter cette analyse.

(Si votre entreprise n'a pas encore documenté son appétence au risque, vous pouvez utiliser comme point de départ ce modèle de déclaration d'appétence au risque personnalisable.)

L'appétence au risque est le niveau de risque qu'une entreprise est prête à accepter pour atteindre ses objectifs. Une appétence au risque élevée reflète une volonté d'accepter des risques plus importants dans le but d'en tirer des bénéfices supérieurs, tandis qu'une faible appétence au risque traduit une préférence pour la prudence. L'appétence au risque a plusieurs dimensions : vous pouvez accepter un risque opérationnel élevé mais avoir une faible appétence au risque de non-conformité.

Dans chacune de ces dimensions (risques de sécurité, risque de non-conformité, risque pour l'innovation, etc.), vous devez tenir compte de plusieurs facteurs essentiels :

La capacité de risque est le niveau maximal de risque que l'entreprise peut supporter. Elle dépend généralement des ressources financières, des capacités opérationnelles et des contraintes réglementaires.
La tolérance aux risques représente l'écart acceptable par rapport aux objectifs.
Les seuils de risque définissent les limites acceptables au-delà desquelles un changement de stratégie est nécessaire.

Le seuil qui sépare la tolérance de la capacité, ou même les différents degrés de tolérance, vous aide à clarifier les zones d'incertitude, là où la réponse la plus appropriée au risque n'est pas immédiatement évidente.

Transformer les résultats en actions efficaces

L'évaluation quantitative des risques n'est pas une fin en soi. Elle n'a de sens que si elle débouche sur des actions efficaces. Que vous choisissiez d'éviter le risque, de l'accepter, de le transférer ou de l'atténuer, l'objectif est le même : trouver le juste équilibre entre les risques de sécurité et les priorités stratégiques de l'entreprise pour transformer les résultats obtenus en actions.

Comment les responsables IT peuvent évaluer les allégations de sécurité « Secure by Design » des éditeurs de logiciels

Mon, 24 Feb 2025 16:49:33 Z

Réédité avec la permission de CIO.com

Ce n'est un secret pour personne : les cybermenaces se multiplient. Le coût de la cybercriminalité aux États-Unis a augmenté de 22 % l'an dernier pour dépasser les 12,5 milliards de dollars, d'après la plateforme de plainte pour cybermalveillance du FBI (Internet Crime Complaint Center). L'un des problèmes concerne les vulnérabilités logicielles persistantes dues aux approches traditionnelles de codage et de sécurité. Pour combattre ces risques, un effort concerté vise à créer des logiciels sécurisés dès leur conception. Par exemple, l'agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a défini une série de mesures permettant aux fournisseurs de prouver qu'ils adoptent les principes du Secure by Design.

Cependant, en l'absence de normes et de métriques contraignantes, il est difficile pour les responsables IT et Sécurité de savoir si et comment les fournisseurs mettent en pratique cette approche Secure by Design. Voici certaines des mesures que vous pouvez prendre.

Incorporer les pratiques Secure by Design dans l'évaluation des risques

L'évaluation des risques fournisseur est un processus standard : l'entreprise identifie et jauge les dangers associés aux produits et aux opérations d'un fournisseur. Selon Michael Riemer, Field Chief Information Security Officer chez Ivanti, les responsables IT et Sécurité peuvent s'en servir pour privilégier les principes et les pratiques Secure by Design.

« Pour nous, en tant qu'éditeur de logiciels, cela signifie assumer la pleine responsabilité de nos propres produits, explique M. Riemer. Il s'agit d'appréhender l'ensemble de l'architecture de la solution et de tenir compte de la sécurité dans toutes ses facettes, notamment la conception de l'architecture, le stockage, la connectivité, l'usage, etc. »

Dans le cadre de l'évaluation des risques, les entreprises doivent aussi envisager de demander un rapport SOC 2 Type 2. Une telle évaluation apporte des garanties supplémentaires sur les mesures prises par un fournisseur pour protéger les données et les informations des clients. Elle comprend un audit de cybersécurité tiers qui évalue dans le temps le fonctionnement des contrôles et pratiques de sécurité internes de l'éditeur.

Chaque fournisseur doit notamment pouvoir répondre aux questions suivantes :

À quelle fréquence effectuez-vous des tests d'intrusion ?
Quels types de tests d'intrusion menez-vous ?
L'analyse du code est-elle à la fois statique et dynamique ?

Évaluer les pratiques de codage

Traditionnellement, le codage est séquentiel : une équipe travaille sur un module, qu'elle transmet à la suivante, etc. Mais c'est ainsi qu'on conserve les faiblesses de conception dans le code source, d'après M. Riemer d'Ivanti. En restructurant vos effectifs en équipes POD (Product-Oriented Delivery), chacune avec son propre architecte de sécurité, il est possible d'éliminer en amont les faiblesses. Chez Ivanti, cela a marqué un tournant, selon M. Riemer. Les fournisseurs doivent pouvoir démontrer ces changements organisationnels et ces nouvelles pratiques.

Évaluer la transparence du Secure by Design

Les fournisseurs doivent pouvoir divulguer au grand jour leurs objectifs de Secure by Design et montrer qu'ils publient ou publieront régulièrement leurs métriques. Leurs clients, quant à eux, doivent être en mesure de suivre leurs progrès dans les modules logiciels.

« Nous avons établi des objectifs précis, défini des valeurs de référence et des métriques, et nous publierons chaque trimestre l'évolution de ces indicateurs à partir d'octobre 2024, poursuit M. Riemer. Nous devons rendre compte de nos progrès dans notre démarche Secure by Design. Ces métriques montreront les modules logiciels analysés, ainsi que la profondeur des analyses menées pour identifier et rectifier des pratiques de codage pas assez rigoureuses. »

Conclusion

Avec les principes du Secure by Design, les dirigeants d'entreprise et les responsables IT sont à même d'évaluer les progrès de leurs fournisseurs de logiciels dans la production d'un code plus sécurisé dès la conception. Le Secure by Design leur permet de limiter les risques pour leur entreprise.

La nécessaire alliance des DSI et RSSI pour améliorer la productivité et la sécurité des collaborateurs

Mon, 24 Feb 2025 16:49:29 Z

Réédité avec l'autorisation de CIO.com

Trop d'entreprises peinent encore à s'adapter aux exigences du travail flexible sans sacrifier la cybersécurité de l'entreprise. L'une des principales raisons, c'est que les DSI et les RSSI (responsables de la sécurité des systèmes d'information) n'ont pas toujours la même vision d'un cadre de travail motivant et sécurisé.

Les nécessités du travail flexible entraînent des changements, à la fois pour les équipes ITOps (opérations IT) et les équipes SecOps (opérations de sécurité). Pourtant, en pratique, IT et Sécurité travaillent souvent isolément, sans partager leurs connaissances, données, objectifs, priorités et pratiques. Les deux groupes se concentrant chacun sur ses propres priorités, les données sur la productivité et la sécurité des professionnels de l'information restent cloisonnées.

« D'après nos clients, pour les collaborateurs des équipes IT et Sécurité, il existe un alignement théorique, mais souvent uniquement parmi les cadres dirigeants, rapporte Corinna Fulton, Vice President Solutions Marketing chez Ivanti. Il ne se transmet pas aux deux services concernés dans les modèles de leadership, les processus, etc. Et, souvent, DSI et RSSI ne voient même pas cette disparité. »

Ce manque d'alignement des directions entraîne une mauvaise appréhension de l'expérience collaborateur. Le rapport d'Ivanti sur l'Everywhere Work en 2024 montre que 40 % des employés de bureau et 49 % des professionnels IT sont prêts à changer d'emploi pour gagner en flexibilité dans leur travail, ce qui prouve combien c'est important, surtout pour les plus jeunes. En outre, seuls 57 % des collaborateurs de bureau rapportent pouvoir facilement accéder à leurs outils s'ils devaient travailler de chez eux du jour au lendemain, alors que 90 % des dirigeants interrogés pensent que leurs collaborateurs disposent des outils dont ils ont besoin pour être productifs. Les responsables IT et Sécurité ont, à l'évidence, beaucoup à faire pour satisfaire les attentes de travail flexible des collaborateurs et des dirigeants de l'entreprise.

Sinon, leur manque d'alignement peut à la longue entraîner des mécontentements, des risques sécuritaires et une productivité médiocre. « En fin de compte, c'est le chiffre d'affaires qui en subit les conséquences, dit Mme Fulton. Ce que ni le DSI ni le RSSI ne souhaitent. »

Comment créer un partenariat efficace

Pour conjuguer les efforts de l'IT et de la Sécurité et mettre en place les conditions nécessaires aux performances et au travail flexible et sécurisé, les DSI et RSSI peuvent commencer par six actions :

Identifier les risques réels liés au travail flexible. En fonction de la tolérance au risque de l'entreprise, DSI et RSSI doivent préciser le niveau de risque acceptable, les moyens de le réduire au minimum et les possibles mesures d'atténuation communes. Cet accord servira de cadre pour aligner les objectifs de l'IT et de la Sécurité, selon Mme Fulton.
Établir un socle commun de normes et de métriques concrètes. Celles-ci peuvent servir à évaluer les risques du travail flexible. L'exemple de base est le « délai de résolution » qui mesure la durée entre l'identification d'un risque, par l'équipe Sécurité, et celui de sa résolution complète, par l'équipe IT. La mise en commun permet une réponse coordonnée et efficace.
Inventorier l'infrastructure de travail flexible. La gestion des actifs IT a changé : autrefois simple inventaire, elle est désormais un moteur de productivité et de sécurité, poursuit Mme Fulton. Quand vous savez ce que vous détenez, vous pouvez en connaître les vulnérabilités et agir pour réduire celles-ci.
Décloisonner les données. Une visibilité transversale des principales sources de données est vitale pour donner aux équipes IT et Sécurité accès au même ensemble de données sur la productivité et la sécurité des collaborateurs et les doter d'un cadre commun de compréhension. Lancez un programme en plusieurs phases pour accéder à ces données indispensables, mais cloisonnées.
Créer une feuille de route IT/Sécurité commune. Déterminez comment et quand implémenter les priorités et objectifs communs. Communiquez ensuite ces informations aux deux équipes pour les éclairer et garantir que tout le monde vise les mêmes objectifs.
Réfléchir aux conséquences sur les collaborateurs. Tenez compte de l'effet des stratégies IT et de sécurité sur les professionnels IT : coordonnez-les avec les besoins et les préférences des utilisateurs finaux pour optimiser la productivité de ceux-ci et la sécurité de l'entreprise.

Conclusion

Les DSI et les RSSI peuvent surmonter les obstacles à la productivité et à la sécurité par des mesures concrètes qui tracent le cadre stratégique et organisationnel de la collaboration entre leurs structures.

Comprendre l'appétence au risque – Une composante essentielle de la gestion de l'exposition

Mon, 10 Feb 2025 14:44:03 Z

Le risque est inhérent à toute entreprise. Le facteur différenciateur entre les entreprises est la façon de le comprendre et de le gérer.

Défis opérationnels, volatilité des marchés, évolutions réglementaires ou bouleversements technologiques, les entreprises naviguent dans un environnement marqué par des incertitudes constantes, susceptibles d’engendrer des opportunités ou des pertes significatives.

Pour faire face à cette réalité, les entreprises doivent établir un cadre permettant de déterminer le niveau de risque qu'elles sont prêtes à assumer pour atteindre leurs objectifs stratégiques. C’est ici qu’entre en jeu le concept d'« appétence au risque ».

Mais pour bien définir cette appétence, l'entreprise doit identifier et comprendre tous les risques qui la menacent. De plus, pour les équipes Sécurité, la définition de l'appétence au risque de l'entreprise est une étape essentielle pour bien gérer l'exposition.

Qu'est-ce que l'appétence au risque ?

L’appétence au risque désigne le niveau de risque qu’une entreprise accepte de prendre pour atteindre ses objectifs. Elle agit comme une boussole, définissant les limites entre un risque calculé et un risque excessif. Une appétence au risque élevée implique une ouverture à prendre des risques importants avec l’espoir de bénéfices conséquents, tandis qu'une faible appétence privilégie une approche prudente, en minimisant les risques pour maintenir la stabilité.

Prenons l'exemple d'une startup technologique qui veut investir dans la recherche et le développement. Elle peut adopter une appétence au risque plus élevée pour favoriser une innovation disruptive malgré les incertitudes associées. À l’inverse, un grand groupe établi visera une croissance progressive, en évitant des projets trop risqués qui pourraient nuire à sa réputation ou son positionnement sur le marché.

Une approche quantitative et qualitative

L’appétence au risque ne se réduit pas à un chiffre. C’est une mesure dynamique, influencée par des facteurs tels que le secteur d’activité, la taille de l’entreprise, sa santé financière et l’environnement économique.

Elle combine à la fois des aspects quantitatifs et qualitatifs.

D'un côté, l'entreprise peut disposer d'éléments mesurables, comme le montant des pertes qu'elle est prête à tolérer, son taux d'endettement et le type de ROI (Retour sur investissement) qu'elle espère. Elle peut aussi tenir compte d'aspects subjectifs, comme l'effet potentiel sur sa réputation, des considérations éthiques et la façon dont ses décisions s'alignent sur ses valeurs.

Les 5 bénéfices clés de l'appétence au risque

Pour réussir, toute entreprise doit pouvoir prendre des risques calculés. Cependant, si l'appétence au risque n'est pas clairement définie, des prises de décision incohérentes, trop conservatrices ou excessivement risquées peuvent s'en suivre. La conséquence ? Des pertes d'opportunités ou de marchés. Voici pourquoi il est indispensable de définir l'appétence au risque :

Aligner stratégie et gestion des risques

Définir clairement l'appétence au risque crée un cadre stratégique qui aligne les pratiques de gestion des risques et les objectifs globaux de l'entreprise. Si l'entreprise sait quel niveau de risque elle est prête à accepter, elle peut cibler les opportunités qui correspondent à son appétence au risque tout en évitant celles trop dangereuses.

Faciliter la prise de décision

Définir l'appétence au risque permet aux managers et aux dirigeants de prendre des décisions éclairées, car ils comprennent mieux ce qui constitue un risque acceptable. Cela permet aussi de déterminer les attentes à la fois concernant la prise de risque et les comportements d'évitement du risque, dans toute l'entreprise. Les managers peuvent ainsi évaluer le rapport risques/bénéfices dans différents scénarios.

Renforcer la confiance des parties prenantes

Une appétence au risque bien définie rassure les investisseurs, les régulateurs, les collaborateurs et autres parties prenantes, car ils voient que l'entreprise priorise la gestion des risques. Cela prouve également une approche méthodique et fiable, qui vise l'équilibre entre risques et bénéfices, ce qui renforce la confiance des parties prenantes.

Assurer la cohérence

Lorsque tout le monde partage la même compréhension du risque acceptable, les efforts convergent. Ainsi, ils ont moins de risque de travailler à contre-courant ou même les uns contre les autres. Par exemple, le département juridique peut refuser la « Grande idée » de l'équipe Marketing si les deux services ne partagent pas la même notion du risque acceptable.

Superviser efficacement les risques

Lorsque l'entreprise définit son appétence au risque, elle peut mettre en place des systèmes pour surveiller le niveau de risque dans toutes ses activités, du département Finances au département Opérations. Ainsi, elle détecte très tôt les problèmes potentiels et garantit que ses activités restent dans les limites de ce qu'elle considère comme sûr ou du moins, acceptable. Définir et surveiller les indicateurs clés de risque (KRI) permet d'alerter les personnes concernées avant que les limites fixées ne soient franchies.

Comment une entreprise définit-elle son appétence au risque ?

En général, l'entreprise passe par la rédaction d'une déclaration d'appétence au risque (RAS). Les premières sections de la RAS présentent les objectifs stratégiques de l'entreprise et les risques qu'ils impliquent.

Une entreprise peut, par exemple, souhaiter devenir leader des fournisseurs de logiciels dans son secteur. Elle doit répertorier les objectifs stratégiques qui lui permettront d'y parvenir, ainsi que les risques associés. Par exemple, Ivanti travaille dans le secteur de la fourniture de solutions Cloud de gestion des services IT et de la sécurité. Par conséquent, nous sommes tenus de rédiger une déclaration d'appétence au risque qui catalogue tous les risques qu'implique ce secteur d'activité, et qui explique comment nous allons les gérer.

Voici un exemple qui pourrait figurer dans la déclaration d'appétence au risque d'un fournisseur de logiciels :

Appétence générale au risque

[Nom d'entreprise] adopte une approche équilibrée du risque. Elle reconnaît que tous les risques ne sont pas égaux, et qu'il faut accepter un certain niveau de risque pour atteindre les objectifs stratégiques fixés.

Risque lié à l'innovation Notre appétence au risque est élevée lorsqu'il s'agit d'investir dans des technologies de pointe et des solutions innovantes susceptibles d'offrir un avantage concurrentiel à nos produits. Nous reconnaissons que cela implique d'accepter un certain degré d'incertitude, notamment en matière de R&D et de développement produit.

Risque opérationnel Dans ce domaine, notre appétence au risque est faible à modérée. Tout en visant l'excellence opérationnelle, nous priorisons des initiatives qui optimisent l'efficacité et la qualité de service sans jamais compromettre nos standards.

Risque lié à la sécurité Notre appétence au risque est très faible en matière de menaces et de failles de sécurité. La sécurité réseau et la protection des données sont notre priorité absolue. Nous investissons d'ailleurs massivement pour protéger nos systèmes et les données de nos clients.

Risque lié à la conformité Notre appétence au risque est faible en matière de non-conformité aux obligations légales et réglementaires. Nous considérons qu'il est primordial de garantir l'application des lois, normes et meilleures pratiques en vigueur pour toutes les opérations.

Appétence générale au risque [Nom d'entreprise] adopte une approche équilibrée du risque. Elle reconnaît que tous les risques ne sont pas égaux, et qu'il faut accepter un certain niveau de risque pour atteindre les objectifs stratégiques fixés.
Risque lié à l'innovation	Notre appétence au risque est élevée lorsqu'il s'agit d'investir dans des technologies de pointe et des solutions innovantes susceptibles d'offrir un avantage concurrentiel à nos produits. Nous reconnaissons que cela implique d'accepter un certain degré d'incertitude, notamment en matière de R&D et de développement produit.
Risque opérationnel	Dans ce domaine, notre appétence au risque est faible à modérée. Tout en visant l'excellence opérationnelle, nous priorisons des initiatives qui optimisent l'efficacité et la qualité de service sans jamais compromettre nos standards.
Risque lié à la sécurité	Notre appétence au risque est très faible en matière de menaces et de failles de sécurité. La sécurité réseau et la protection des données sont notre priorité absolue. Nous investissons d'ailleurs massivement pour protéger nos systèmes et les données de nos clients.
Risque lié à la conformité	Notre appétence au risque est faible en matière de non-conformité aux obligations légales et réglementaires. Nous considérons qu'il est primordial de garantir l'application des lois, normes et meilleures pratiques en vigueur pour toutes les opérations.

La RAS doit définir les risques qui auraient le plus d'impact sur l'entreprise, et non pas les risques quotidiens qui font simplement partie de ses activités. Il faut tenir compte de plusieurs scénarios de risque. Par exemple, une stratégie spécifique peut entraîner des risques pour la chaîne d'approvisionnement, notamment les conséquences de dépendre d'un seul fournisseur ou les dangers d'exposition réglementaire si un fournisseur ne gère pas correctement les données client.

La déclaration RAS doit aussi fixer le niveau de risque financier que l'entreprise est prête à courir. Si ses objectifs incluent la sortie d'un nouveau produit ou service, il existe toujours un risque d'échec sur le marché.

Composants de l'appétence au risque

Voici les facteurs clés à prendre en compte pour définir l'appétence au risque :

Capacité de risque

C'est le niveau maximal de risque que l'entreprise peut supporter. Il dépend des ressources financières, des capacités opérationnelles et des contraintes réglementaires. Mais attention : la capacité diffère de l’appétence si l’entreprise choisit volontairement de prendre moins de risques qu’elle ne le pourrait.

Tolérance au risque

Alors que la capacité de risque est le niveau de risque que l'entreprise peut supporter, la tolérance au risque correspond à l'écart acceptable par rapport à l'objectif. On peut même définir une tolérance distincte pour chaque domaine. Par exemple, une entreprise peut être flexible sur le lancement d’un produit mais stricte sur la sécurité des données client.

Seuils de risque

Nous avons mentionné plus haut la surveillance des risques et les KRI, qui évitent à l'entreprise de franchir le seuil de risque, à savoir la « ligne rouge » qui représente trop de risque. Franchir un seuil de risque peut exiger un changement de plan, un renforcement des mesures de sécurité ou même un arrêt total des activités.

Pour aller plus loin : Rapport d'étude Ivanti Vers une vision commune : La gestion des cyber-risques par le ComEx

Pourquoi l'appétence au risque est-elle importante dans la gestion de l'exposition ?

Dans le passé, l'atténuation des risques numériques était une tâche bien plus simple qu'elle ne l'est aujourd'hui. En effet, la surface d'attaque des entreprises s'est énormément étendue au fil du temps. L'ajout de nouveaux périphériques et applications, utilisés par les collaborateurs dans une multitude de lieux, a transformé l'environnement de travail et élargi le paysage des menaces numériques.

C'est ce qui explique notamment pourquoi l'étude Ivanti conclut que plus de la moitié des professionnels IT doutent de leur capacité à stopper un incident de sécurité dommageable au cours des 12 prochains mois. Encore plus alarmant, 1/3 d'entre eux estiment qu'ils sont moins bien préparés à détecter les menaces et à répondre aux incidents qu'il y a un an.

Pendant longtemps, la gestion des vulnérabilités traditionnelle consistait à remédier aux vulnérabilités et autres CVE des logiciels et du matériel en effectuant des analyses ponctuelles. Mais ce modèle basé sur une approche réactive est dépassé face à l'évolution rapide des cybermenaces : c’est là qu’intervient la gestion moderne de l’exposition.

La gestion moderne de l'exposition consiste à détecter et éliminer en continu, proactivement, les risques et vulnérabilités sur l'ensemble de la surface d'attaque numérique, qu'ils soient dus à l'exposition des actifs IT, au manque de sécurité des postes client et des applications, aux ressources Cloud ou à d'autres facteurs. Pourquoi la gestion de l'exposition et l'appétence au risque sont-elles aussi étroitement liées ?

Évaluation de l'exposition en fonction des niveaux de risque acceptables : la gestion de l'exposition implique la quantification du niveau de risque associé à différentes expositions. En définissant le risque acceptable, l'entreprise peut comparer l'impact possible des différents risques avec son appétence au risque.
Déploiement de ressources basé sur les risques : les entreprises doivent prioriser les expositions qui représentent la plus grande menace pour leurs stratégies... une évaluation qui n'est possible que si elles connaissent précisément leur appétence au risque. Cette priorisation leur permet de concentrer leurs efforts sur l'atténuation des risques les plus critiques, souvent à l'aide d'un outil RBVM (Gestion des vulnérabilités basée sur les risques) avancé.
Ajustement de l'appétence au risque : face à l'évolution de l'environnement commercial ou l'émergence de nouveaux risques, il peut être nécessaire d'ajuster l'appétence au risque. Les données et insights que les entreprises obtiennent grâce à leurs pratiques de gestion de l'exposition les aident à prendre des décisions éclairées concernant ce type d'ajustement.
Garantie de conformité : des normes et réglementations précises imposent des exigences en matière de gestion des risques. Ces cadres réglementaires influencent directement l’appétence au risque d’une entreprise, qui doit s’assurer qu’elle reste conforme pour éviter sanctions ou pertes d’opportunités commerciales.

Pour aller plus loin : Rapport d'étude Ivanti Gestion de la surface d'attaque

La gestion de l'exposition, un changement de mentalité dans la gestion des risques

La gestion de l’exposition moderne ne se limite pas à éviter les risques à tout prix. Elle se concentre sur la création d’une tolérance calculée, adaptée aux objectifs stratégiques de l’organisation. Prenons un exemple simple : une entreprise de commerce en ligne pourrait être prête à courir un risque de cybersécurité légèrement accru pendant le Black Friday, car les bénéfices générés pendant cette période dépasseraient les impacts potentiels d’une attaque mineure.

Au lieu de considérer chaque risque comme une crise qu'il faut résoudre immédiatement, les entreprises doivent prioriser les risques en fonction de leurs besoins. Dans ce cadre, la plupart des risques ne sont pas graves : tout est une question de réaction à ces risques, de contrôle et d'atténuation pour les ramener à un niveau acceptable.

Meilleures pratiques de cybersécurité IA : un double défi

Thu, 17 Oct 2024 12:28:03 Z

L’intelligence artificielle montre déjà son potentiel pour transformer pratiquement tous les aspects de la sécurité… pour le meilleur comme pour le pire.

L’IA illustre parfaitement la proverbiale épée à double tranchant : un outil formidable pour créer de robustes cyberdéfenses, mais aussi une arme redoutable pour mettre celles-ci à bas.

Pourquoi la sécurité basée sur l’IA ou cyber IA est-elle importante ?

Les entreprises doivent à la fois comprendre les promesses de l’IA en cybersécurité et les problèmes sous-jacents. L’omniprésence de toutes les formes d’IA dans les entreprises du monde entier les force à s’interroger. Le sujet inquiète, car les acteurs malveillants s’en sont déjà saisis.

D'après McKinsey, un peu partout dans le monde et dans presque tous les secteurs, les entreprises ont massivement adopté l'IA – jusqu’ à 72 % s’en servent en 2024, contre environ 50 % les années précédentes. Mais leur complexité et leur énorme consommation font des systèmes IA une cible de choix pour les cyberattaques. Par exemple, des pirates peuvent discrètement manipuler les données d’entrée des systèmes IA afin de produire des résultats faux ou préjudiciables.

Une IA compromise peut avoir des conséquences catastrophiques : fuites de données, pertes financières, atteinte à la réputation et même blessures corporelles. Les possibilités d’utilisation abusive sont immenses, ce qui souligne l’impérieuse nécessité de mettre en place de robustes mesures de sécurité.

Selon une étude du World Economic Forum près de la moitié des dirigeants s'inquiète surtout de l’augmentation du niveau de risque des menaces comme l’hameçonnage qu’amène l’IA.
Le rapport d’Ivanti « Rapport 2024 sur la cybersecurité » confirme ces inquiétudes.

Malgré ces risques, le même rapport d’Ivanti montre que les professionnels IT et de sécurité sont majoritairement optimistes quant à l’impact de la cybersécurité basée sur l’IA. Près de la moitié (46 %) pensent que c’est un net avantage, tandis que 44 % pensent que son impact ne sera ni positif ni négatif.

En savoir plus : « État de la cybersécurité en 2024 : Points d'inflexion »

Cybermenaces IA potentielles

L’IA introduit de nouveaux vecteurs d’attaque qui exigent des défenses spécifiques. Citons-en quelques-uns :

Piratage de sites : les travaux de recherche montrent que le grand modèle de langage (LLM) OpenAI peut être utilisé comme agent de piratage pour attaquer des sites Web en autonomie. Les cyberescrocs n’ont besoin d’aucune compétence technique, il leur suffit de savoir écrire des instructions à l’IA pour qu’elle se charge « du sale travail ».
Empoisonnement de données : les pirates peuvent manipuler les données d’entraînement des modèles d’IA pour fausser leur fonctionnement. Ils peuvent ainsi injecter de faux points de données qui guident le modèle dans l’apprentissage de schémas incorrects ou qui donnent la priorité à des menaces inexistantes, ou encore qui modifient subtilement les points de données existants pour orienter le modèle d’IA vers des résultats favorables à l’attaquant.
Techniques d’évitement : l’IA peut servir à développer des techniques pour passer sous le radar des systèmes de sécurité, par exemple en créant des e-mails ou des malwares perçus comme inoffensifs par les humains, mais qui exploitent des vulnérabilités ou contournent les filtres de sécurité.
Ingénierie sociale sophistiquée : comme elle sait analyser de gros volumes de données, l’IA peut définir des cibles selon des critères, comme un historique de comportements vulnérables ou une tendance à tomber dans certains pièges. Elle peut alors automatiser et personnaliser une attaque grâce à des informations grappillées sur les réseaux sociaux ou des interactions précédentes, qui lui feront gagner en crédibilité et aideront à mieux tromper le destinataire. En outre, l’IA générative peut rédiger des messages d’hameçonnage sans faute de grammaire ni d’usage, d’apparence légitime.
Attaques par déni de service (DDoS) : l’IA peut servir à orchestrer des attaques DDoS à grande échelle, plus difficiles à parer. En analysant les configurations réseau, elle peut en détecter les vulnérabilités et gérer plus efficacement les botnets pour noyer un système sous le trafic.
Deepfakes : l’IA peut imiter de manière très convaincante l’apparence ou la voix de quelqu’un, ce qui ouvre la voie à des attaques par usurpation d’identité. Elle peut par exemple prendre la voix d’un haut dirigeant pour piéger ses collaborateurs et leur faire virer de l’argent sur des comptes frauduleux, partager des informations sensibles comme des mots de passe ou des codes d’accès, ou approuver des factures ou des transactions non autorisées. Si une entreprise utilise la reconnaissance vocale dans ses systèmes de sécurité, un deepfake bien conçu peut tromper ces garde-fous et ouvrir l’accès à des zones ou des données sécurisées. Une entreprise de Hong Kong s’est fait voler 26 millions de dollars par ce moyen.

L’une des menaces à bas bruit de l’IA est la complaisance. La dépendance excessive aux systèmes d’IA peut conduire à un relâchement dans leur surveillance et leur mise à jour. Pour protéger une entreprise des problèmes d’IA, la surveillance continue et la formation comptent parmi les mesures clés, et ce, que l’IA soit déployée pour la cybersécurité ou d’autres opérations. S’assurer que l’IA fonctionne au mieux des intérêts de l’entreprise exige une vigilance constante.

Voir : L'IA générative pour les équipes InfoSec et les pirates : ce que les équipes de sécurité doivent savoir.

Avantages de la cyber IA

Les solutions de cybersécurité intégrant l’IA bénéficient surtout aux entreprises sur les points suivants :

Une meilleure détection des menaces

L’IA excelle à identifier les schémas au sein d’énormes volumes de données afin d’y détecter les anomalies symptomatiques d’une attaque, avec une précision inédite. Là où des analystes humains seraient dépassés par le volume des données ou des alertes, l’IA détecte et répond en amont.

Meilleure réponse aux incidents

L’IA est capable d’automatiser les tâches de réponse aux incidents de routine. Elle réduit ainsi les délais de réponse et évite l’erreur humaine. En analysant l’historique, l’IA peut aussi prédire les vecteurs d’attaque potentiels pour que l’entreprise puisse renforcer ses défenses.

Évaluation et hiérarchisation des risques

L’IA peut évaluer le niveau de sécurité d’une entreprise, en identifiant les vulnérabilités et en priorisant les efforts de remédiation en fonction du niveau de risque. Cela permet d’optimiser l’allocation des ressources et de se concentrer sur les points critiques.

Remarques sur la sécurité des différents types d'IA

Les problèmes de sécurité associés à la CyberIA varient en fonction du type d'IA déployée.

En cas de déploiement d’une IA générative, il faut protéger en priorité les données d’entraînement, afin d’empêcher l’empoisonnement du modèle et de protéger les secrets commerciaux et industriels.

Dans le cas d’une IA faible, au périmètre limité comme les chatbots de support client, les systèmes de recommandation (comme celui de Netflix), les logiciels de reconnaissance d’images, et les robots de chaîne de montage ou chirurgicaux, l’entreprise doit donner la priorité à la sécurité des données, à la robustesse aux attaques adverses ou par exemples contradictoires et à l’explicabilité.

Une IA autonome forte, aussi appelée « AGI » ou « intelligence artificielle générale », est une projection et n’existe pas encore. Mais si elle se concrétise un jour, les entreprises devront se concentrer sur la protection des mécanismes de contrôle et la gestion des risques existentiels et éthiques.

Voir : Comment transformer l'ITSM avec l'IA générative

Derniers développements en cyber IA

L’évolution rapide de l’IA entraîne des progrès correspondants dans ses applications en cybersécurité, notamment ::

Modélisation des menaces de l'IA générative : les outils de cybersécurité intégrant l’IA peuvent simuler des scénarios d’attaque qui aident les entreprises à repérer et à corriger en amont les vulnérabilités.
Chasse aux menaces assistée par IA : l’IA peut analyser le trafic réseau et les journaux système pour y détecter les activités malveillantes et les menaces potentielles.
Réponse automatique aux incidents : les solutions de cybersécurité avec IA peuvent automatiser les tâches de routine de réponse aux incidents, comme l’isolement des systèmes infectés et la contention des menaces.
IA pour l'évaluation des vulnérabilités : l’IA peut analyser le code logiciel pour y détecter d’éventuelles vulnérabilités et permettre aux développeurs de créer des applications plus sécurisées.

Formation à la cyber IA

Investir dans la formation à la cybersécurité intégrant l’IA est indispensable pour apprendre à vos équipes à utiliser ces outils. De nombreuses plateformes en ligne et universités proposent des cours sur les différents aspects de la sécurité IA, des connaissances de base aux sujets les plus avancés.

Les grands fournisseurs en cybersécurité proposent un large éventail de cours et de formations pour faire monter votre équipe en compétences afin qu’elle tire le meilleur parti de votre plateforme.

Meilleures pratiques de cyber IA

Mettre l’IA en action pour la cybersécurité passe par une stratégie globale.

1. Définir des stratégies de gouvernance et de confidentialité des données

Dès le tout début du processus d’adoption, mettez en place des stratégies robustes de gouvernance des données couvrant l’anonymisation des données, le chiffrement, etc. Impliquez toutes les parties prenantes.

2. Imposer la transparence de l’IA

Développez ou utilisez sous licence des modèles d’IA capables d’expliquer clairement leurs décisions, au lieu d’utiliser des boîtes noires. Ainsi, les professionnels de la sécurité pourront comprendre comment l’IA arrive à ses conclusions et identifier les biais ou erreurs potentiels. Ces modèles transparents sont issus d’outils Fiddler AI, DarwinAI, H2O.ai et IBM Watson comme AI Fairness 360 et AI Explainability 360.

3. Insister sur une gestion rigoureuse des données

Les modèles d’IA dépendent de la qualité des données qui servent à leur entraînement. Veillez à utiliser des données diverses, exactes et à jour pour que votre IA puisse apprendre et identifier les menaces efficacement.
Imposez des mesures de sécurité robustes pour protéger les données d’entraînement et de fonctionnement du modèle d’IA, car certaines informations sont sensibles. Une faille pourrait exposer celles-ci, compromettre l’efficacité de l’IA ou introduire des vulnérabilités.
Prêtez attention aux biais possibles dans vos données d’entraînement. Un préjugé peut conduire l’IA à prioriser certains types de menaces ou à en ignorer d’autres. Surveillez et corrigez régulièrement les biais pour garantir que votre IA prend des décisions objectives.

En savoir plus : De l'importance d'avoir des données exactes pour tirer le meilleur parti de l'IA

4. Fournir aux modèles d'IA un entraînement par exemples contradictoires

Au cours de la phase d’entraînement, exposez vos modèles d’IA à des entrées malveillantes pour qu’ils reconnaissent et contrent les attaques contradictoires comme l’empoisonnement des données.

5. Implémenter une surveillance en continu

Mettez en place des systèmes de surveillance constante et de détection permanente des menaces pour identifier les biais et la dégradation des performances.
Utilisez des systèmes de détection des anomalies pour identifier tout comportement inhabituel dans vos modèles d’IA ou dans les flux de trafic réseau, afin de repérer les attaques potentielles par IA, notamment les tentatives de manipulation des données ou d’exploitation des vulnérabilités.
Actualisez régulièrement l’entraînement de vos modèles de cybersécurité IA avec de nouvelles données, et mettez les algorithmes à jour pour assurer leur efficacité contre les menaces qui ne cessent d’évoluer.

6. Garder l’humain dans la boucle

L’IA n’est pas infaillible. Maintenez une supervision humaine, avec des professionnels de la sécurité qui vérifient et valident les résultats de l’IA pour repérer ses éventuels biais, les faux positifs ou les résultats manipulés que l’IA pourrait générer.

7. Organiser des tests et des audits réguliers

Contrôlez régulièrement vos modèles d’IA à la recherche de vulnérabilités. Comme n’importe quel logiciel, les produits de cybersécurité intégrant l’IA peuvent comporter des faiblesses, que les pirates pourraient exploiter. Il est indispensable de leur appliquer rapidement des correctifs.
Les modèles d’IA peuvent produire de faux positifs et signaler des menaces inexistantes. Adoptez des stratégies pour limiter les faux positifs et éviter de submerger les équipes de sécurité d’alertes inutiles.
Testez fréquemment vos modèles d’IA pour identifier les éventuelles faiblesses exploitables. Les tests d’intrusion spécialement conçus pour les systèmes intégrant l’IA sont précieux.

8. Établir un plan de réponse aux incidents

Créez un plan complet de réponse aux incidents pour gérer efficacement les incidents de sécurité liés à l’IA.

9. Insister sur la formation et la sensibilisation des collaborateurs

Informez vos collaborateurs des risques associés à l’IA, et des ressorts de l’ingénierie sociale utilisés pour les manipuler et leur faire compromettre les systèmes IA ou la sécurité des données.
Organisez des exercices de Red Team (équipe d’attaque) qui simulent des offensives basées sur l’IA afin de tester votre niveau de sécurité et de détecter les points faibles que des pirates pourraient exploiter.
Collaborez avec des experts du secteur et des chercheurs en sécurité pour garder un temps d’avance sur les dernières menaces à base d’IA et les meilleures pratiques permettant de les contrer.

10. Mettre en place une gestion des risques liés à l’IA chez les tiers

Évaluez soigneusement les pratiques de sécurité des tiers fournisseurs d’IA. Est-ce qu’ils partagent les données avec d’autres parties ou utilisent des jeux de données publics ? Est-ce qu’ils appliquent les principes de sécurité dès la conception Secure by Design ?

11. Autres meilleures pratiques

Intégrez votre solution d’IA dans des flux de renseignement sur les menaces pour qu’elle incorpore ces données en temps réel et garde un temps d’avance sur les nouveaux vecteurs d’attaque.
Vérifiez que votre solution d’IA est conforme aux normes et réglementations en vigueur dans votre domaine. Certains secteurs ont des obligations strictes. Par exemple, dans les secteurs de l’automobile ou de la fabrication, l’IA doit respecter les normes ISO 26262 de sécurité fonctionnelle automobile, le RGPD (Règlement général de protection des données) pour la confidentialité des données, et les consignes du NIST (National Institute of Standards and Technology). Dans le secteur de la santé, l’IA doit respecter les normes HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis, le RGPD en Europe, et les réglementations de la FDA pour les dispositifs médicaux basés sur l’IA.
Suivez des mesures comme le taux de détection de menaces, les faux positifs et les délais de réponse. Vous connaîtrez ainsi l’efficacité de votre IA et les points à améliorer.

Trouver le bon équilibre pour réussir

Pour toutes les entreprises qui se lancent dans ces nouveaux territoires de la cybersécurité intégrant l’IA, la voie à suivre est une approche équilibrée. Exploitez les nombreux atouts de l’IA, mais restez vigilant quant à ses limitations et ses vulnérabilités potentielles.

Comme toute technologie, l’IA n’est ni bonne ni mauvaise par nature, mais elle est utilisée aussi bien par des acteurs honnêtes que d’autres, malhonnêtes. Considérez l’IA comme tout autre outil : sachez apprécier son aide, mais méfiez-vous de son potentiel de nuisance.

Lire : Position d'Ivanti concernant l'intelligence artificielle

Comment l'EASM découvre les vulnérabilités de votre surface d'attaque

Fri, 11 Oct 2024 13:26:38 Z

À de rares exceptions près, toutes les entreprises, quelle que soit leur taille, dépendent d'Internet. Impossible pour elles de faire l'impasse sur la gestion et la protection de la surface d'attaque qu'elles présentent au monde.

Qu'est-ce que la surface d'attaque externe ? Il s'agit de tous les points d'entrée – les sites et applications Web, les API, jusqu'aux points d'accès distant et aux services Cloud – qu'une personne non autorisée pourrait utiliser pour accéder à l'environnement IT de l'entreprise.

L'ampleur de la surface d'attaque dépend de la nature de l'entreprise et de l'étendue de son empreinte numérique. Le passage au Cloud et la profusion des nouveaux points de contact numériques ont décuplé la surface d'attaque externe de la plupart des entreprises.

La gestion de la surface d'attaque externe ou EASM (External attack surface management) est primordiale pour renforcer la sécurité de l'entreprise et réduire ses risques. Or sans visibilité, pas de protection : les outils EASM identifient, classent et surveillent tous les actifs de l'entreprise connectés à Internet pour bien appréhender la surface d'attaque externet.

Ainsi, ils fournissent aux équipes Cybersécurité le renseignement nécessaire pour combler les failles de sécurité et anticiper les actions de protection contre les menaces.

En savoir plus : Qu'est-ce qu'une surface d'attaque ?

Pourquoi adopter l'EASM ?

De plus en plus d'entreprises se tournent vers les solutions EASM. Leurs motivations sont multiples, mais certains fiascos retentissants n'y sont pas étrangers.

Prenons un exemple. L'attaque WannaCry de 2017 a exploité la vulnérabilité EternalBlue de Microsoft Windows : les fichiers d'environ 230 000 ordinateurs dans le monde entier sont chiffrés ; les pirates réclament des rançons en Bitcoins à leurs principales victimes comme Telefónica. Une gestion de la surface d'attaque externe digne de ce nom aurait pu identifier et corriger cette faille pour éviter de telles violations de sécurité.

Bref tour d'horizon des arguments en faveur de l'adoption de l'EASM :

Multiplication des menaces de cybersécurité : la situation a bien évolué depuis WannaCry. Les menaces sont omniprésentes et plus sophistiquées, et les cybercriminels s'adaptent et exploitent les vulnérabilités du contrôle d'accès. Les solutions EASM aident les entreprises à réduire ces risques grâce à une surveillance en continu qui permet de répondre en amont à toute activité suspecte.
Environnements IT de plus en plus complexes : systèmes sur site, services Cloud, périphériques mobiles et même, depuis la pandémie, les équipements personnels (BYOD)… la sécurisation des actifs d'environnements aussi divers dans le respect de la conformité s'avère complexe sans une solution EASM de découverte rapide et fiable.
Obligations de conformité réglementaire : ces exigences, principalement centrées sur la confidentialité et la sécurité des données, deviennent draconiennes. Il est difficile de se mettre en conformité avec la réglementation – RGPD, HIPAA – et d'autres règles – PCI DSS – qui imposent des contrôles d'accès stricts, et la découverte et l'inventaire des actifs. Les solutions EASM fournissent des outils qui facilitent le travail des chargés d'audit.
Augmentation du risque tiers : de nombreuses entreprises recourent à des fournisseurs et prestataires externes, créant par là des risques de sécurité supplémentaires. Les solutions EASM permettent d'évaluer et de gérer la posture de sécurité des tiers, de surveiller leur surface d'attaque externe, et de garantir la conformité avec les normes et réglementations de sécurité.
Hameçonnage et attaques par ingénierie sociale : les pirates emploient souvent ces techniques pour exploiter les vulnérabilités externes. Les solutions EASM permettent aux entreprises de surveiller les domaines d'hameçonnage, d'identifier les usurpations de sites Web, et de détecter les attaques potentielles visant leurs collaborateurs et leurs clients.

En savoir plus : 8 meilleures pratiques pour réduire la surface d'attaque de votre entreprise

L'essence de l'EASM

La gestion de la surface d'attaque externe repose sur l'anticipation des menaces, alors que les mesures de sécurité classiques viennent en réaction aux violations. L'EASM vise à bloquer en amont les accès non autorisés à l'aide d'outils avancés pour analyser en continu la surface d'attaque externe à la recherche de vulnérabilités.

La démarche de l'EASM se distingue de l'intégration d'un produit de sécurité réseau ou client, qui se déploie dans les environnements dont la majeure partie est connue. Avec la gestion de la surface d'attaque externe, c'est le contraire : le principal cas d'usage consiste à découvrir et à en savoir plus sur ce qui n'est pas connu.

L'EASM est un processus continu. L'empreinte numérique d'une entreprise évolue sans cesse, avec l'ajout de nouveaux services et la mise au rebut des anciens et de par la nature dynamique des actifs tournés vers Internet. De plus, la surface d'attaque externe fluctue, ce qui appelle des mises à jour permanentes de la gestion et de la sécurité.

Comment l'EASM réduit votre surface d'attaque

La première étape consiste à identifier les actifs tournés vers l'extérieur. Par exemple, une solution EASM performante explore Internet pour les trouver dès qu'un utilisateur entre un nom de domaine germe.

Notez que l'on parle bien d'exploration, pas d'analyse. Cette dernière nécessite en effet une connexion et une authentification pour découvrir les actifs. Dans le cas de l'EASM, l'outil cible tous les actifs et les données disponibles publiquement.

Lorsque vous utilisez ce domaine germe en entrée, l'outil EASM effectue une découverte latérale et des sous-domaines, à l'aide de sources ouvertes, comme DNS, WHOIS, les journaux CT (Certificate Transparency), les communiqués de presse, les publications sur les réseaux sociaux, les articles de presse, les billets de blog et l'IP ASN. Vous obtenez ainsi un inventaire exhaustif des actifs exposés à l'Internet public, quels que soient le réseau, le fournisseur Cloud ou le compte hébergeur.

Ce graphique montre trois grandes catégories d'actifs, triées par visibilité et exposition.

La zone de sécurité, en bas à gauche, correspond aux situations où une entreprise sait qu'un actif existe, sans savoir s'il est vraiment exposé. On y trouve les domaines et sous-domaines officiels, les certificats valides, etc.
La zone suivante est plus trouble : elle correspond aux cas où l'entreprise peut savoir qu'un actif existe mais pas s'il est exposé, comme pour les IP sur liste de blocage ou les instances SSH exposées.
La zone de danger indique les situations où l'entreprise n'est pas consciente de l'existence d'un actif et n'a donc aucune idée de son exposition. On y trouve les environnements de développement et les actifs fantômes ou Shadow IT.

Une bonne solution EASM assure une visibilité rapide et complète de tous ces actifs et renseigne sur leur vulnérabilité potentielle. Elle est capable de repérer les vulnérabilités connues (CVE) publiées dans la base NVD, ainsi que les ports ouverts, de nombreuses versions des logiciels, les erreurs courantes de configuration, les informations d'authentification par défaut utilisées telles quelles, les clés secrètes, les ASN, les frameworks de programmation, etc.

Si l'éditeur de la solution de gestion de la surface d'attaque externe gère une base de données de renseignement sur les menaces, celle-ci servira à déterminer les expositions critiques qui représentent le plus grand danger pour l'entreprise, et à les signaler à l'utilisateur.

En savoir plus : Comment identifier la surface d'attaque de votre entreprise

Avantages de l'EASM

L'implémentation d'une stratégie et d'une solution EASM efficaces offre de nombreux avantages :

Cybersécurité renforcée

La gestion de la surface d'attaque externe réduit sensiblement les risques de fuites de données, préservant ainsi les informations sensibles et la confiance des clients. L'entreprise évite ainsi les coûts et la perte de réputation associés à ces fuites.

Meilleure conformité

Face à l'accumulation de normes réglementaires et sectorielles (PCI, HIPAA, RGPD, etc.), les éclairages que l'EASM fournit permettent de détecter tout défaut de conformité. Par exemple, connaître la géolocalisation des actifs permet à l'entreprise de garantir le respect des réglementations en vigueur dans la région concernée.

Opérations de sécurité rationalisées

L'EASM peut rationaliser et optimiser les opérations de sécurité : la vue d'ensemble claire et concise des vulnérabilités externes de l'entreprise permet de mieux cibler des opérations de sécurité plus efficaces.

Gestion des risques tiers

Les entreprises travaillent souvent avec tout un écosystème de tiers – fournisseurs, partenaires, sous-traitants et consultants. Une solution EASM peut fournir des informations sur les risques liés à la supply chain pour toute menace dans le contexte de la sécurité propre de l'entreprise.

Meilleure évaluation des fournisseurs

Avant d'intégrer un fournisseur, la solution EASM sert à se renseigner discrètement sur les risques de cybersécurité auxquels ce partenaire est exposé. L'extension de ce cas d'usage permet de remplir ses obligations de vigilance dans le cadre des fusions et acquisitions.

Voir la solution en action : Ivanti Neurons for EASM

5 façons de sécuriser votre parcours Cloud

Mon, 16 Sep 2024 13:57:41 Z

L'adoption du Cloud est primordiale pour les entreprises qui cherchent des méthodes de stockage et de gestion des applications et des données complexes qui soient à la fois flexibles et non liées à un périphérique local et à un emplacement unique.

La migration vers le Cloud offre des avantages attrayants, notamment :

Réduction des coûts car les investissements matériels immédiats ne sont pas très onéreux.
Réduction des coûts de maintenance de routine.
Prise en charge du modèle SaaS « payez ce que vous consommez » (Pay-as-you-go).
Possibilité pour les entreprises d'augmenter ou de réduire l'allocation de ressources en fonction de la demande.
Optimisation des dépenses d'infrastructure.

Adoption impulsée par les avantages du Cloud

Pour les équipes IT surchargées, l'adoption du Cloud augmente la flexibilité et l'agilité, ce qui accélère le déploiement des applications et des services. Elle offre aussi de solides fonctions de sécurité, des mises à jour automatiques et des options de récupération après sinistre, qui garantissent l'intégrité des données et la continuité des activités.

Le Cloud encourage la collaboration et le télétravail, car il permet d'accéder aux données et aux applications depuis n'importe quel endroit, un véritable vecteur d'innovation et de productivité. On pense que la migration vers le Cloud d'entreprise va continuer à augmenter régulièrement tout au long de l'année. D'après IDC, les dépenses mondiales liées aux services Cloud publics vont atteindre 805 milliards de dollars en 2024 et le double d'ici 2028.

L'adoption du Cloud s'accélère en raison de l'obsolescence croissante des solutions on-premises et de la recherche d'une sécurité renforcée. Cette tendance ne se limite pas aux entreprises privées. Le Gouvernement des États-Unis a implémenté la stratégie « Cloud Smart » pour fournir aux diverses agences fédérales des conseils pratiques pour pleinement exploiter les technologies Cloud tout en garantissant une implémentation sécurisée et efficace. De plus, la directive Executive Order 14028 impose certaines exigences : utilisation de services Cloud sécurisés, architecture Zero Trust, authentification multifacteur et chiffrement pour améliorer la cybersécurité. Ces projets sont conçus pour moderniser l'infrastructure IT, améliorer la qualité de service et garantir la sécurité des données et des systèmes du gouvernement fédéral.

Principaux moteurs de la migration vers le Cloud

En raison de son évolutivité, de sa flexibilité et de son faible coût, le Cloud est particulièrement bien adapté à certaines applications, notamment :

Applis Web : l'infrastructure Cloud permet un changement d'échelle dynamique, ce qui en fait la solution idéale pour les applications Web sujettes à des volumes de trafic variables.
SaaS et services de streaming : les plateformes omniprésentes comme Netflix et Spotify utilisent le Cloud pour offrir du contenu à la demande de façon transparente à leurs millions d'utilisateurs.
Outils de collaboration : les applications comme Google Workspace et Microsoft 365 permettent une collaboration en temps réel et le travail à distance.
Développement et test de logiciels : les développeurs peuvent rapidement créer ou détruire des environnements, ce qui favorise les pratiques de développement agiles.
Récupération après sinistre : les solutions de récupération après sinistre basées dans le Cloud permettent une récupération rapide et économique, comparativement aux méthodes traditionnelles.
Stockage et sauvegarde des données : les services Cloud constituent des solutions de stockage fiables et évolutives, qui garantissent que les données sont accessibles et sécurisées.
Analyses Big Data : le Cloud permet d'accéder à la puissance de calcul nécessaire pour traiter et analyser efficacement des jeux de données très volumineux.

Migration vers le Cloud : défis de sécurité et solutions

La migration vers le Cloud offre de nombreux avantages... mais présente aussi des problèmes de sécurité. Il est essentiel de trouver le bon équilibre entre sécurité et accessibilité dans le Cloud, pour protéger les applications et données essentielles à l'entreprise tout en garantissant une expérience utilisateur optimale.

Les entreprises peuvent mettre en place les 5 stratégies suivantes pour équilibrer sécurité renforcée et exigences d'accessibilité :

1. Adopter une approche Zero Trust de la sécurité

Ce modèle considère que les menaces peuvent être externes et internes, et exige une vérification stricte et une authentification constante pour chaque demande d'accès. Correctement implémenté, le Zero Trust assure un accès transparent sans compromettre la sécurité.

2. Utiliser le contrôle d'accès basé sur les rôles

Cela limite l'accès aux ressources Cloud en fonction des rôles utilisateur définis, pour réduire le risque d'accès non autorisé et simplifier la gestion des accès.

3. Automatiser les processus de sécurité

L'automatisation applique des stratégies de sécurité de façon cohérente pour une réponse instantanée aux menaces. L'automatisation élimine également les processus manuels, très longs et sujets aux erreurs. Cela allège la charge de travail des équipes Sécurité, qui peuvent se concentrer sur des tâches plus stratégiques.

4. Implémenter l'authentification multifacteur (MFA)

Le MFA ajoute un niveau de sécurité, car il exige que les utilisateurs fournissent au moins deux éléments de vérification pour accéder aux ressources Cloud protégées. Les solutions MFA modernes, comme l'authentification biométrique, peuvent être rapides et conviviales.

5. Déployer une surveillance et une réponse aux incidents en continu

Les équipes de sécurité sont ainsi en mesure de détecter les incidents et d'y répondre en temps réel. Les alertes et les réponses automatisées peuvent bloquer les menaces et éviter les temps d'attente, tout en limitant les perturbations pour les utilisateurs.

Malgré son adoption croissante, l'informatique Cloud n'est pas toujours préférable à une solution on-premise dans certains cas d'usage. Par exemple, les secteurs d'activité comme le secteur bancaire et les assurances ont des exigences strictes et spécifiques pour la sécurité des données. Ces entreprises préfèrent souvent les solutions on-premises pour garder le contrôle complet de leurs données. Les entreprises qui nécessitent une latence de données extrêmement faible, notamment celles qui utilisent des supercalculateurs ou du matériel spécifique, peuvent aussi trouver les solutions on-premises plus pratiques. Et, en cas d'inquiétudes concernant la dépendance à Internet, on préfère les déploiements sur site, car ils sont rarement perturbés par les coupures Internet.

Finalement, la décision de migrer vers le Cloud dépend de vos besoins et de votre contexte spécifiques. Vous pouvez préférer une infrastructure et des logiciels on-premise si vous avez besoin d'un contrôle physique et d'un isolement. Cependant, si vous avez besoin de flexibilité, d'évolutivité et d'un déploiement sécurisé « partout », le Cloud est fait pour vous.

En savoir plus sur les solutions de migration vers le Cloud

Ivanti Neurons for Zero Trust Access (ZTA) associe l'accès par moindres privilèges, les contrôles d'accès basé sur les rôles, le chiffrement, et l'analyse du comportement des utilisateurs et des entités à la recherche d'anomalies, pour offrir une solution unifiée qui protège les applications Cloud, les données et les périphériques de l'entreprise des accès non autorisés et des menaces nuisibles.

Vous pouvez combiner ZTA avec les autres solutions de sécurité compatibles Cloud de la plateforme Ivanti Neurons, notamment Neurons for Risk-Based Vulnerability Management (RBVM) et l'authentification multifacteur (MFA). Vous offrez ainsi à votre entreprise un accès sécurisé aux applis privées, Cloud et SaaS partout et à tout moment.

La sécurité par défaut, le complément indispensable du Secure by Design

Fri, 13 Sep 2024 12:00:00 Z

Les systèmes de cybersécurité traditionnels, développés pour la plupart il y a plus de 10 ans, n'ont pas été conçus pour faire face à la nouvelle génération de pirates et aux vulnérabilités actuelles. À cela s'ajoute leur dépendance à la configuration humaine, talon d'Achille de nombreux logiciels.

Le concept de « sécurité par défaut », complément indispensable des principes du Secure by Design définis par la CISA (U.S. Cybersecurity & Infrastructure Security Agency) a été inventé pour répondre à ce défi.

Le Secure by Design repose sur des principes qui intègrent la sécurité tout au long de la conception et du développement des logiciels. La sécurité par défaut garantit qu'un produit Zero Day est intrinsèquement sécurisé dès son installation. Aucune configuration complexe n'est nécessaire, parce que les principales fonctions de sécurité (comme la connexion sécurisée et l'autorisation) sont préconfigurées.

Les menaces évoluent... et s'accélèrent

Jusqu'à récemment, la plupart des systèmes avaient une « zone d'impact » limitée. Protégés par des pare-feux, ils étaient confinés, si bien que seule une poignée de personnes dans l'entreprise pouvait y accéder. Ils ne constituaient pas encore un terrain de jeu ouvert pour des pirates à la recherche de la moindre défaillance. Il n'était pas possible d'automatiser des assauts et le processus d'attaque dans son ensemble (trouver une vulnérabilité, en faire une arme en concevant une exploitation et déployer l'attaque proprement dite) prenait des semaines, souvent même des mois.

Cela limitait non seulement la vitesse des attaques, mais aussi leur échelle. Les pirates devaient cibler les entreprises une par une, en trouvant le moyen de contourner des contrôles spécifiques. Le rythme global des attaques était faible et, quand elles se produisaient, l'impact était relativement restreint en raison du temps et des efforts que cela impliquait pour les pirates.

Infos connexes : Les 8 meilleures pratiques pour réduire la surface d'attaque d'une entreprise

Parler d'« évolution du paysage des cybermenaces » est presque un euphémisme, car l'évolution naturelle ou même technique n'a jamais été aussi rapide. En quelques années seulement, c'est devenu une arène de combat numérique mettant en danger les entreprises mal protégées.

En effet, les pirates ont su tirer profit de trois développements clés :

Les pirates modernes peuvent rapidement transformer des vulnérabilités en arme, d'autant que les outils d'intelligence artificielle leur simplifient la tâche. Il fut un temps où les délais de divulgation étaient longs, mais cette époque est révolue. Les outils d'analyse automatisés et les kits d'exploitation disponibles sur le Dark Web permettent aux pirates, même les moins férus de technologie, de s'adonner à la cybermalveillance. Les attaques Zero Day deviennent de plus en plus inquiétantes, car les pirates sont plus agiles et exploitent les vulnérabilités avant la publication des correctifs.
L'adoption du Cloud a élargi la surface d'attaque, car le Cloud distribué complique la sécurisation et la surveillance des données. Le modèle de partage des responsabilités de sécurité entre les fournisseurs de Cloud et les utilisateurs peut provoquer des vulnérabilités en cas de mauvaise configuration ou de mauvaise compréhension. De plus, les fonctionnalités de communication des applications Cloud reposent souvent sur des API, ce qui peut créer des vulnérabilités si la sécurisation est insuffisante.
Les mesures de sécurité traditionnelles, comme les pare-feux et l'antivirus, ne sont pas capables de suivre l'évolution des menaces. Il est possible de contourner les pare-feux grâce à l'ingénierie sociale, alors même que l'antivirus se démène pour détecter les toutes nouvelles menaces Zero Day. À l'ère du Cloud, l'approche de sécurité basée sur un périmètre est dépassée. Il est évident que les principes du Secure by Design doivent être implémentés dans toute l'infrastructure IT.

Les acteurs malveillants traquent vos points faibles et sont prêts à lancer des attaques dès l'instant où vous activez un produit. C'est pourquoi chaque produit doit comporter des défenses Zero Day robustes dès le moment où il est activé et connecté au réseau d'une entreprise.

Infos connexes : Les principes « Secure by Design » sont plus importants que jamais

Les 3 piliers de la sécurité par défaut

La sécurité par défaut repose sur trois piliers fondamentaux.

Déployer une sécurité « Shift Left »

Le « Shift Left » vise à repérer les vulnérabilités très tôt dans le processus de développement. Les développeurs doivent écrire du code sécurisé, en évitant les pièges courants identifiés notamment par le Top 10 des OWASP (Vulnérabilités de sécurité des applications Web) et le Top 25 des CWE (Faiblesses logicielles courantes).

On peut effectuer un parallèle avec la médecine préventive, où les pratiques de bien-être et les vaccins protègent une personne des maladies. En se concentrant dès le départ sur les pratiques de codage sécurisé, les développeurs injectent immunité et résilience directement dans le logiciel.

Imposer les configurations sécurisées

Quand un être humain configure son nouveau logiciel, les pirates sont à la fête. Pour éliminer les erreurs dues à une mauvaise configuration, les éditeurs de logiciels doivent imposer des configurations sécurisées par défaut. Cela inclut l'authentification multifacteur (MFA) et la connexion avec authentification unique (SSO). Il faut aussi éviter les informations d'authentification (mots de passe et jetons) codées en dur, ainsi que les configurations par défaut où figurent des vulnérabilités que les pirates connaissent déjà.

L'obligation d'utiliser des configurations sécurisées garantit une sécurité cohérente dans tous les déploiements, quelles que soient l'expérience et l'expertise technique de l'utilisateur. Cela simplifie aussi l'expérience des utilisateurs, car ils n'ont pas besoin de prendre des décisions concernant la configuration.

Sécuriser la chaîne d'approvisionnement logicielle

Le développement logiciel moderne s'effectue de façon comparable à une chaîne de montage dans l'industrie automobile ou aérospatiale. Il dépend énormément des bibliothèques tierces et du code open source. Avec la sécurité par défaut, les développeurs doivent faire très attention à la sécurité de ces composants afin de ne pas introduire de vulnérabilités.

Infos connexes : L'engagement « Secure by Design » : pour un futur numérique plus sûr

Mesurer la sécurité par défaut

Aujourd'hui, les outils d'instrumentation et de télémétrie permettent aux éditeurs de surveiller les performances des fonctions de sécurité par défaut. Si le produit s'exécute "on-premise", l'activation de la télémétrie nécessite d'envoyer des données en dehors du réseau (ce qui revient à "percer des trous dans le pare-feu"). Si le produit s'exécute dans le Cloud, la télémétrie peut facilement renvoyer des données au fournisseur.

Dans les deux cas, c'est une question de consentement mutuel : l'utilisateur du logiciel doit activer la télémétrie par défaut pour que l'éditeur puisse surveiller le comportement du logiciel et vérifier si ses contrôles de sécurité intégrés sont bien implémentés. Cela signifie également que l'utilisateur n'a pas besoin d'intervenir pour activer les fonctions de sécurité. L'éditeur peut le faire à distance si le client y consent.

Garder un temps d'avance sur les menaces changeantes

Même les professionnels de cybersécurité les mieux intentionnés et les plus investis sont dépendants des données et analyses dont ils disposent. Par exemple, les listes traditionnelles de vulnérabilités comme le Top 10 OWASP et le Top 25 CWE sont indispensables pour la sensibilisation à la sécurité, mais elles ont leurs limites :

Les mises à jour de ces listes laissent toujours une période de vulnérabilité, entre la découverte et l'atténuation des menaces. Les pirates exploitent cette faiblesse en ciblant les vulnérabilités « aberrantes », pas encore répertoriées.
Les listes traditionnelles se concentrent sur les vulnérabilités connues, ce qui laisse les entreprises vulnérables aux « inconnues connues », c'est-à-dire aux faiblesses potentiellement exploitables mais qui n'ont pas encore été identifiées.

Ceci dit, l'IA et le Machine Learning promettent de révolutionner la sécurité par défaut en comblant ces failles :

Les algorithmes de Machine Learning peuvent analyser d'énormes volumes de données de sécurité pour identifier des schémas et prédire les vulnérabilités potentielles, y compris celles qui ne figurent pas encore sur les listes traditionnelles.
En analysant les tendances d'exploitation et le comportement des logiciels, le Machine Learning identifie les vulnérabilités « inconnues connues » qui sont le plus susceptibles d'être exploitées, même si elles ne sont pas encore documentées.

Ajout de l'IA au cycle SDLC

L'IA et le Machine Learning peuvent aussi révolutionner la façon dont les principes de sécurité par défaut sont incorporés aux cycles de développement des logiciels :

Détection automatisée des vulnérabilités : les outils d'IA peuvent analyser le code en continu à la recherche de vulnérabilités (connues ou inconnues) afin qu'elles puissent être traitées très tôt dans le cycle SDLC.
Modélisation de sécurité proactive : en analysant les schémas d'attaque, l'IA peut prédire les menaces. Cela permet une modélisation proactive de la sécurité en vue de créer des logiciels avec des défenses intégrées contre ces menaces.
Assistance intelligente aux développeurs : après avoir analysé le code, l'IA peut recommander des pratiques de codage en temps réel aux équipes de développement.

Sécurité par défaut via les logiciels à autoréparation

Les développeurs qui se soucient de la sécurité par défaut ont souvent pour objectif de créer des logiciels capables d'identifier proactivement les vulnérabilités par eux-mêmes, et de les corriger. Ce concept s'inspire des algorithmes génétiques utilisés dans la fabrication (les systèmes s'auto-optimisent et s'améliorent eux-mêmes au fil du temps).

Cela transforme la « sécurité par défaut », qui n'est plus un concept statique mais bien une capacité d'autoréparation dynamique autorégulée, intégrée au logiciel d'entreprise. Ce logiciel est ainsi capable de remédier à ses propres vulnérabilités, de bloquer les menaces et même de signaler les nouvelles attaques à ses développeurs.

Infos connexes : Démo pratique : protéger tous les postes clients avec des contremesures UEM sécurisées

Une avancée majeure

J'ai récemment rédigé un article mentionnant la nécessité d'un « partenariat entre privé et public, où entreprises et gouvernements s'allient pour résoudre le problème de la sécurité numérique ». L'élaboration des principes du Secure by Design, ainsi que les efforts de la CISA et des dirigeants du secteur pour les promouvoir constituent une avancée majeure vers cette collaboration. Il est urgent que nous puissions nous protéger des cybermenaces.

Cependant, il incombe toujours aux éditeurs de logiciels et développeurs d'appliquer ces mesures de sécurité. Les pratiques de sécurité par défaut leur permettent de développer et distribuer des logiciels plus sécurisés, un atout non négligeable dans la lutte contre les cybermenaces.