Le jargon IT décrypté

Qu’est-ce que la gestion de la surface d’attaque ?

La gestion de la surface d’attaque (ASM) adopte le point de vue d’un attaquant et aide les équipes de sécurité à gagner en visibilité sur les actifs sur lesquels l’IT ne dispose pas de gouvernance ni de contrôle, comme le shadow IT, les systèmes tiers et les applications métier.

L’ASM associe personnes, processus, technologies et services afin de découvrir, inventorier et gérer en continu les actifs internes et externes d’une organisation. L’objectif ultime est de s’assurer que toutes les expositions identifiées sont traitées avant qu’elles ne puissent être exploitées par des acteurs malveillants. 

L’ASM couvre trois domaines : la gestion de la surface d’attaque des cyberactifs (CAASM), la gestion de la surface d’attaque externe (EASM) et les services de protection contre les risques numériques (DRPS). Chaque domaine se concentre sur un cas d’usage spécifique : les actifs et les vulnérabilités pour le CAASM, les actifs externes pour l’EASM et les actifs numériques pour les DRPS. 

À lire également : Série de rapports d’étude Ivanti sur l’état de la cybersécurité : gestion de la surface d’attaque 

Qu’est-ce que la gestion de la surface d’attaque des cyberactifs (CAASM) ? 

Le CAASM fournit une vue complète, à jour et consolidée des actifs internes et externes d’une organisation, tels que les endpoints, les services, les terminaux et les applications. 

Les produits CAASM y parviennent en collectant les données issues de sources internes existantes, telles que la découverte des actifs, la gestion des actifs IT, la sécurité des endpoints, la gestion des vulnérabilités et les outils de gestion des correctifs, ainsi que les systèmes de ticketing via des intégrations API. 

Il agrège, normalise et déduplique ensuite automatiquement les données collectées, puis les présente dans une interface utilisateur unique, ce qui évite aux équipes IT et sécurité de devoir collecter et rapprocher manuellement les données d’actifs. Les produits CAASM permettent également aux équipes d’interroger les données collectées, d’identifier les vulnérabilités de sécurité, de repérer les lacunes dans les contrôles de sécurité et de corriger les problèmes. 

Qu’est-ce que la gestion de la surface d’attaque externe ? 

Comme son nom l’indique, la gestion de la surface d’attaque externe se concentre sur une vision de l’extérieur vers l’intérieur de la surface d’attaque, en découvrant les actifs et systèmes exposés à Internet, ainsi que les vulnérabilités associées. 

Parmi les actifs que l’EASM découvre figurent les applications Web, les adresses IP, les noms de domaine, les certificats SSL et les services cloud. Les types de vulnérabilités identifiés par l’EASM incluent, sans s’y limiter, les serveurs exposés, les identifiants, les mauvaises configurations de services de cloud public, les divulgations sur le deep web et le dark web, ainsi que les vulnérabilités dans le code logiciel tiers. 

Outre la découverte des actifs, les produits EASM offrent généralement d’autres fonctionnalités, notamment : 

  • Analyse externe active des environnements cloud, IT, IoT et OT. 
  • Analyse des actifs afin de déterminer s’ils présentent un risque, sont vulnérables ou se comportent de manière anormale. 
  • Priorisation des actifs en fonction de facteurs tels que l’impact métier et la probabilité d’exploitation par un acteur malveillant. 
  • Workflows de remédiation et intégrations avec les systèmes de ticketing, les solutions SOAR (orchestration, automatisation et réponse de sécurité) et d’autres outils. 

Que sont les services de protection contre les risques numériques (DRPS) ? 

Les DRPS associent technologies et services pour protéger les actifs et données numériques contre les menaces externes. Ils étendent la détection et la surveillance au-delà du périmètre de l’entreprise — au Web ouvert, au deep web, aux réseaux sociaux et aux marketplaces d’applications — afin de rechercher les menaces qui pèsent sur les ressources numériques de l’entreprise, notamment les adresses IP et les actifs liés à la marque. 

À mesure que les organisations développent leurs activités en ligne, il est essentiel que les équipes de sécurité adoptent ces capacités et regardent au-delà des menaces présentes au sein du réseau d’entreprise. Les DRPS identifient les menaces et fournissent des renseignements exploitables sur les acteurs de la menace, ainsi que sur les outils, tactiques et processus qu’ils exploitent. 

Quelle est la différence entre le CAASM, l’EASM et les DRPS ? 

Le CAASM, l’EASM et les DRPS sont tous des composants de l’ASM, et ils se concentrent sur la gestion des actifs de sécurité et la priorisation des problèmes. Ces similitudes peuvent créer une confusion quant aux différences entre ces solutions. 

Ce tableau résume les différences entre le CAASM, l’EASM et les DRPS. 

Fonctionnalité / Capacité CAASM EASM DRPS 
Domaine d’intervention Actifs et vulnérabilités Actifs externes Risque numérique 
Actifs applicables 
  • Endpoints 
  • Serveurs 
  • Terminaux 
  • Applications 
  • Applications Web 
  • IP 
  • Noms de domaine 
  • Certificats SSL 
  • Services cloud 
  • Adresses IP 
  • Domaines 
  • Actifs liés à la marque 
Composition 
  • Technologie 
  • Technologie
  • Services 
  • Processus 
  • Technologie
  • Services 
Capacités 
  • Collecter, agréger, normaliser, dédupliquer et présenter les données. 
  • Interroger les données collectées. 
  • Identifier les vulnérabilités de sécurité. 
  • Repérer les lacunes dans les contrôles de sécurité. 
  • Corriger les problèmes. 
  • Découvrir les actifs. 
  • Utiliser l’analyse externe active des environnements cloud, IT, IoT et OT. 
  • Analyser les actifs. 
  • Prioriser les actifs. 
  • Exploiter des workflows de remédiation. 
  • S’intégrer aux systèmes de ticketing tiers, aux solutions SOAR et à d’autres outils. 
  • Détecter et surveiller les menaces en dehors du périmètre de l’entreprise. 
  • Obtenir des renseignements exploitables sur les acteurs de la menace. 
  • Atténuer les menaces actives. 
  • Mener les activités nécessaires pour déjouer les menaces futures et protéger les actifs numériques. 
Sources de données 

Collecte passive de données via des intégrations API avec les outils internes existants : 

  • Découverte des actifs. 
  • ITAM. 
  • Sécurité des endpoints. 
  • Gestion des vulnérabilités. 
  • Gestion des correctifs. 
  • Systèmes de ticketing. 

Les outils CAASM collectent aussi couramment des données à partir d’outils DRPS et EASM. 

  • Analyses actives à l’échelle d’Internet effectuées par l’EASM. 
  • DNS passif. 
  • WHOIS. 

Surveillance de : 

  • Web ouvert. 
  • Deep web. 
  • Dark web. 
  • Réseaux sociaux. 
  • Marketplaces d’applications. 

Pourquoi la gestion de la surface d’attaque est-elle importante ? 

Les principaux référentiels de sécurité s’accordent à dire que comprendre votre surface d’attaque est essentiel pour une posture de sécurité solide. Le NIST CSF et les CIS Controls l’incluent tous deux comme une capacité fondamentale. 

La gestion de la surface d’attaque est si importante parce que, sans visibilité sur l’ensemble de votre surface d’attaque, vous ne savez pas quelles vulnérabilités exposent votre organisation. Cela vous donne à son tour une vision insuffisante de la posture de risque de votre organisation : vous n’avez donc aucun moyen de savoir si vous restez dans les limites de votre appétence au risque, ni comment orienter vos efforts pour traiter les expositions présentant le risque le plus élevé. 

Alors que les surfaces d’attaque évoluent et s’étendent très rapidement, la gestion de la surface d’attaque ne peut que devenir plus critique. Les équipes de sécurité ne peuvent tout simplement pas se permettre d’avancer à l’aveugle.

À lire également : Découverte de la surface d’attaque : comment identifier la surface d’attaque de votre organisation