La gestion de l'exposition (Exposure Management) est une approche plus complète, plus pratique et plus proactive de l'amélioration de la posture de cybersécurité de votre entreprise. Les approches traditionnelles de la gestion des vulnérabilités ayant atteint leurs limites, les entreprises se tournent de plus en plus vers cette nouvelle approche pour protéger leur infrastructure numérique.
Explication du jargon IT
Gestion de l'exposition
- Qu'est-ce que la gestion de l'exposition ?
- En quoi la gestion de l'exposition diffère-t-elle de la gestion des vulnérabilités ?
- Quels sont les principes directeurs de la gestion de l'exposition ?
- Au-delà de la gestion traditionnelle des vulnérabilités
- Problèmes des approches traditionnelles
- Une approche plus complète
- Un toolkit pour une gestion efficace de l'exposition
- Implémentation de la gestion de l'exposition
- Le futur de la gestion de l'exposition
Qu'est-ce que la gestion de l'exposition ?
La gestion de l'exposition est une pratique qui consiste à identifier, évaluer et corriger, proactivement et de manière sélective, les expositions sur toute la surface d'attaque numérique de l'entreprise. Elle implique de comprendre les points d'accès et vecteurs d'attaque possibles, de prioriser les risques qu'ils représentent et d'implémenter des mesures pour se protéger des menaces les plus critiques. L'objectif final est de maintenir l'exposition réelle à un niveau de risque acceptable.
En quoi la gestion de l'exposition diffère-t-elle de la gestion des vulnérabilités ?
La gestion de l'exposition est plus globale. Elle repose sur une priorisation des expositions basée sur les risques, et sur la validation des expositions identifiées et priorisées pour fournir à l'entreprise une image complète de toute sa surface d'attaque numérique. Elle offre une visibilité totale sur les actifs (serveurs, postes client, périphériques mobiles et IoT et sites Web) et des points d'exposition qu'ils créent. On entend par là l'exposition des logiciels, les correctifs manquants, les erreurs de configuration, les informations d'authentification faibles ou compromises, etc.
Cette approche gère également le risque humain, via une formation régulière des collaborateurs afin de les sensibiliser et de les informer sur les menaces potentielles et les meilleures pratiques. Pour cela, des protocoles à suivre en cas d'incident de sécurité sont clairement établis : les collaborateurs sont incités à fournir des retours sur les mesures de sécurité et les vulnérabilités potentielles. Par ailleurs, des outils de sécurité conviviaux sont développés pour réduire l'erreur humaine.
Quels sont les principes directeurs de la gestion de l'exposition ?
- Obtention d'une visibilité à 100 % sur la totalité des actifs et expositions pour que l'entreprise puisse voir l'ensemble de sa surface d'attaque.
- Priorisation basée sur les risques pour cibler des ressources et les affecter aux expositions les plus critiques. Les éléments pris en compte sont notamment la gravité/l'exploitabilité de la menace, le contexte des menaces sur le terrain et l'impact potentiel sur l'entreprise.
- Utilisation de métriques basées sur les résultats pour évaluer l'efficacité des efforts de réduction du niveau de risque global.
- Collaboration renforcée entre les divers départements de l'entreprise, l'équipe Sécurité, l'équipe IT et les dirigeants via une approche des investissements de sécurité basée sur les données, qui optimise la sécurité et l'allocation des ressources.
Ce dernier principe est particulièrement important, alors voyons comment il s'applique en pratique.
D'abord, la Direction décide du niveau global de tolérance aux risques de l'entreprise. Chaque département de l'entreprise signale ensuite à l'équipe Sécurité les actifs et systèmes indispensables à ses activités. La Sécurité détermine alors comment orienter ses efforts en fonction de ces indications.
En aval, le département IT et les équipes de développement chargées de l'atténuation ou de la remédiation de l'exposition suivent les priorités définies par l'équipe Sécurité. La collaboration est primordiale sur ce point, car le département IT et les développeurs doivent comprendre pourquoi on leur demande d'agir... sinon, ils risquent de ne pas réagir assez rapidement.
Au-delà de la gestion traditionnelle des vulnérabilités
La gestion des vulnérabilités a constitué le socle de nombreux programmes de cybersécurité. Elle s'appuyait historiquement sur l'identification et la priorisation des expositions et des faiblesses en utilisant des systèmes de notation standardisés tels que le CVSS (Common Vulnerability Scoring System - Système de notation des vulnérabilités courantes).
Mais ce système a le défaut de ne fournir qu'une perspective réduite sur le niveau de risque. Malgré les efforts déployés, les équipes IT et Cybersécurité n'obtiennent pas le niveau de protection espéré. Voici les principales limitations inhérentes à la gestion des vulnérabilités :
- Étendue limitée : elle cible principalement les expositions des systèmes d'exploitation et des logiciels tiers, en négligeant les types de menaces liés à d'autres types d'actifs. Le résultat ? Des angles morts qui exposent les entreprises modernes à une plus large variété de menaces.
- Mise en avant des mauvaises expositions : en se fiant au score CVSS, les équipes risquent de se concentrer sur les mauvaises expositions, car ce score mesure la gravité des vulnérabilités (la facilité avec laquelle elles pourraient être exploitées) mais pas leur risque (l'impact potentiel d'une exploitation). Ainsi, les entreprises risquent de corriger en priorité des expositions dont le score de gravité est élevé, même si elles présentent peu ou pas de risque, alors qu'elles ignorent des vulnérabilités dont le niveau de gravité est faible mais qui présentent un plus grand danger.
- Nombre trop élevé d'expositions : de plus, le score CVSS signale souvent de nombreuses expositions comme étant de niveau Critique, à la différence des systèmes de notation basés sur le risque. En conséquence, les équipes déploient beaucoup d'efforts pour des résultats minimes. De nombreuses expositions qui pourraient être exploitées ne le sont pas. Enfin, le CVSS note uniquement les CVE (Common Vulnerabilities and Exposures - Vulnérabilités et expositions courantes), alors que les entreprises doivent également gérer d'autres types de faiblesses, comme les erreurs de configuration. Trop compter sur le CVSS peut les amener à passer à côté de ces faiblesses. La National Vulnerability Database (NVD) contient des centaines de milliers de CVE auxquelles s'ajoutent chaque jour des dizaines (voire des centaines) de nouvelles vulnérabilités, on comprend pourquoi la gestion des vulnérabilités ne peut pas tout traiter.
- Métriques basées sur l'activité : la gestion traditionnelle des vulnérabilités évalue souvent la réussite d'après des métriques comme le MTTR (délai moyen de résolution des incidents) et le respect des SLA (Accords de niveau de service). Ces indicateurs montrent si l'atténuation ou la remédiation a été réalisée à temps, mais pas son impact sur le niveau de sécurité.
Problèmes des approches traditionnelles
De nombreuses failles se produisent en raison des faiblesses de la gestion des vulnérabilités précédemment évoquées. L'attaque du réseau de Target en 2013 était liée au vol d'informations d'authentification chez un fournisseur tiers, qui avait exposé 40 millions de comptes de carte bancaire. Plus récemment, des pirates ont attaqué les systèmes de distribution d'eau et de traitement des eaux usées aux États-Unis en exploitant une vulnérabilité des contrôleurs logiques programmables, un type de système technologique opérationnel.
D'après Verizon, l'utilisation des expositions comme point d'entrée initial a presque triplé entre 2023 et 2024. Elle représente 14 % de toutes les fuites de données, et est alimentée par d'autres attaques visant les correctifs manquants et les expositions Zero Day.
La même étude révèle que 95 % des professionnels IT et de sécurité pensent que l'IA va rendre les menaces de sécurité encore plus dangereuses. Pourtant, près de 1/3 n'ont mis en place aucune stratégie pour lutter contre les risques de l'IA générative.
En même temps, de nombreux dirigeants ne sont pas conscients de la vulnérabilité de leur entreprise. Une étude d'Ivanti montre que 55 % des professionnels IT et de sécurité pensent que les dirigeants non-IT ne comprennent pas la gestion des vulnérabilités. D'ailleurs, 47 % de ces dirigeants le confirment.
De plus, près de deux tiers des entreprises interrogées n'investissent pas encore dans des domaines critiques comme la gestion de la surface d'attaque externe (EASM). Toutefois, l'EASM est primordiale pour une gestion efficace de l'exposition parce qu'elle découvre, évalue et priorise en continu les expositions, offrant la visibilité nécessaire pour se protéger des cyberattaques. En identifiant et en évaluant les actifs tournés vers Internet, l'EASM aide l'entreprise à mieux appréhender son paysage d'exposition. Par exemple, les outils EASM peuvent révéler les applications de Shadow IT et les périphériques qui opèrent hors du périmètre de sécurité, créant de possibles vecteurs d'attaque, ou bien dévoiler les expositions des fournisseurs et vendeurs tiers.
Pour aller plus loin : Lire le rapport d'Ivanti sur l'état de la cybersécurité.
Une approche plus complète
En 2022, Gartner a publié un rapport qui soulignait la nécessité de mettre en place un programme CTEM (Continuous Threat Exposure Management - Gestion en continu de l'exposition aux menaces). Ce rapport définit une approche intégrée, itérative et proactive pour prioriser et corriger les expositions tout en améliorant en permanence le niveau de sécurité.
Il présente le concept selon lequel mettre en place une « assez bonne » cybersécurité est plus pragmatique et réalisable que chercher à atteindre une cybersécurité « parfaite ». Pour ce faire, il faut constamment identifier et prioriser les expositions qui sont le plus susceptibles de présenter un danger pour l'entreprise.
La CTEM constitue un cadre de gestion des cyber-risques, dans le même ordre d'idée que le cadre Cybersecurity Framework (CSF) 2.0 du NIST (National Institute of Standards and Technology) ou les contrôles Center for Internet Security (CIS) version 8.1. Le processus défini vise à identifier, évaluer, valider et éliminer les expositions en continu. La gestion de l'exposition a un sens plus large. Elle fait référence à la pratique globale de gestion de l'exposition dans tous les actifs d'une entreprise.
Pour aller plus loin : Comment les solutions Ivanti s'adaptent au NIST CSF 2.0
De nombreux fournisseurs alignent leurs outils de gestion de l'exposition sur les normes CTEM, offrant des modules spécifiques pour chaque étape du processus.
Voici les éléments qui différencient la gestion des expositions de la gestion des vulnérabilités :
- Étendue plus large : en traitant une variété d'expositions qui ne se limite pas aux seules expositions logicielles, la gestion des expositions ratisse plus large. Elle en repère aussi d'autres, comme les informations d'authentification trop faibles ou une implémentation inefficace de la DLP (Protection contre les pertes de données). Elle inclut également les actifs susceptibles de présenter des risques, comme les actifs mal configurés, les environnements Cloud non sécurisés et les périphériques IoT. En les surveillant et en les analysant tous, l'entreprise obtient une image plus claire et plus réaliste de sa posture de risque globale.
- Priorisation basée sur les risques : la gestion de l'exposition priorise les expositions en fonction de leur impact potentiel sur l'entreprise, en évaluant des facteurs comme la criticité pour l'entreprise, l'exploitabilité et la probabilité d'une attaque. Cela garantit que les ressources sont allouées de façon à remédier en priorité aux risques les plus critiques.
- Métriques basées sur les résultats : la gestion de l'exposition permet de changer de perspective – on passe de métriques basées sur les activités à des métriques basées sur les résultats. Elles mesurent l'efficacité réelle des mesures de cybersécurité pour améliorer la posture de risque de l'entreprise, en fournissant des informations décisionnelles qui permettent d'optimiser les ressources et les défenses.
Pour aller plus loin : Comment les solutions Ivanti s'adaptent aux contrôles CIS version 8.1
Un toolkit pour une gestion efficace de l'exposition
La gestion de l'exposition nécessite une approche multicouche qui fait appel à toute une variété d'outils et de techniques. Le choix de ces derniers dépendra de la taille, du secteur d'activité et de la tolérance au risque de chaque entreprise.
On les regroupe en deux catégories principales : évaluation de l'exposition et validation de l'exposition.
Outils d'évaluation de l'exposition
- EASM (Gestion de la surface d'attaque externe) : ces outils se concentrent spécifiquement sur la surface d'attaque externe :
- Identification des actifs externes : ils identifient tous les actifs tournés vers Internet, y compris les sites Web, les applications et les ressources Cloud.
- Détection des expositions : ils détectent tout un éventail d'expositions susceptibles d'être exploitées dans les actifs externes.
- Analyse du trajet d'attaque : certaines solutions avancées peuvent simuler les trajets d'attaque potentiels pour mettre en lumière la façon dont les pirates pourraient exploiter les expositions.
- Surveillance Web approfondie : pour analyser le Deep Web et le Dark Web afin d'identifier les actifs exposés ou les fuites d'informations d'authentification qui pourraient être exploitées pour une attaque.
- CAASM (Gestion de la surface d'attaque des cyberactifs) : dans le passé, les outils CAASM fournissaient une vue unifiée de l'ensemble de l'écosystème IT (une « source unique de vérité » pour tous les actifs internes et externes) afin d'offrir une image unifiée de toute la surface d'attaque. Aujourd'hui, les fonctions CAASM sont de plus en plus souvent intégrées aux solutions EASM, si bien qu'il est inutile d'utiliser des outils CAASM distincts.
- RVBM (Gestion des vulnérabilités basée sur les risques) : les outils RBVM vont au-delà de la gestion traditionnelle des vulnérabilités, car ils priorisent les expositions d'après divers critères :
- Exploitabilité : indique si la vulnérabilité est activement exploitée ou non.
- Impact sur l'entreprise : impact qu'aurait sur l'entreprise l'exploitation de cette vulnérabilité.
Plateformes de validation de l'exposition
Elles sont indispensables pour garantir l'exactitude de la priorisation des expositions :
- Simulation de fuites de données et d'attaques : ces outils simulent des scénarios d'attaque sur le terrain pour tester l'efficacité des contrôles de sécurité et repérer les éventuelles faiblesses.
- « Red teaming » automatisé en continu : ces outils fournissent en permanence des exercices de Red Teaming qui simulent le comportement des pirates afin de tester les défenses en continu.
- PTaaS (Tests d'intrusion en tant que service) : le PTaaS permet à une entreprise de recruter des intervenants externes pour mener des tests d'intrusion afin d'évaluer en profondeur la posture de sécurité.
Implémentation de la gestion de l'exposition
Passer d'une approche de gestion des vulnérabilités à une approche de gestion de l'exposition nécessite de mettre en oeuvre une stratégie détaillée. Voici les principales étapes à inclure :
- Créer un cadre de collaboration : la gestion traditionnelle des vulnérabilités fonctionne souvent en silo — l'équipe Sécurité est seule responsable de l'identification et de la priorisation. Elle transmet ensuite le dossier, au-delà de la barrière du silo, au département IT qui se charge de l'application des correctifs. Mais la gestion de l'exposition se nourrit de la collaboration. Il est donc important de commencer par intervenir sur les 3 aspects suivants :
- Collaboration entre départements : votre équipe Sécurité doit travailler avec les différents départements pour connaître leurs systèmes et données critiques. Par exemple, comprendre les besoins liés à l'e-commerce vous aide à prioriser les expositions qui pourraient l'affecter, en améliorant l'évaluation des risques par la prise en compte de l'impact commercial.
- Meilleure communication : établissez une communication efficace avec les opérateurs et développeurs IT qui sont chargés d'éliminer les expositions à l'aide de correctifs et de modifications de code. Expliquez clairement la nécessité des corrections en mettant en avant leur impact sur les objectifs commerciaux.
- Engagement de la Direction : il est essentiel de mettre en place des métriques qui vont au-delà des niveaux d'activité de base (SLA et MTTR). Des métriques avancées présentées dans des tableaux de bord permettent d'évaluer précisément le niveau de risque. Ainsi, les membres du Conseil d'administration, même s'ils n'ont aucune expertise en sécurité, peuvent apprécier les efforts déployés et mesurer le ROI.
- Définition de la tolérance au risque : l'entreprise doit commencer par définir sa tolérance au risque. C'est une décision commerciale — il faut trouver le juste équilibre entre les investissements en matière de contrôles de sécurité et le niveau acceptable de risque résiduel. Vous devez prendre en compte le coût que représentent l'application des correctifs, la révision du code, la correction des erreurs de configuration, l'implémentation d'autres mesures de sécurité et les perturbations potentielles des activités. Tout cela doit être comparé aux dommages financiers et réputationnels potentiels d'une fuite de données. Il n'existe aucun calculateur standard pour déterminer la tolérance au risque. C'est une tâche dynamique mais nécessaire qui implique à la fois la Sécurité (qui fournit des données pour orienter la décision) et la Direction.
- Domaine d'application : identifiez les actifs et les expositions qui doivent être évalués. Cela peut impliquer de collaborer avec les différents départements de l'entreprise pour comprendre leurs systèmes et données critiques.
- Outils d'évaluation : exploitez les scanners de vulnérabilité que vous possédez déjà. Cependant, pour obtenir une image plus exhaustive, pensez à incorporer des outils supplémentaires, comme des solutions EASM capables d'identifier les actifs tournés vers Internet et leurs expositions potentielles.
- Définition de priorités : intégrez la RBVM pour prioriser les expositions en combinant différents critères, comme la gravité des vulnérabilités, leur exploitabilité et l'impact potentiel sur l'entreprise. Vous vous assurez ainsi de traiter en premier les risques les plus critiques.
- Validation : pour éviter tout parti pris, pensez à utiliser différents outils ou pratiques de validation pour garantir l'exactitude de la priorisation définie par la RBVM.
- Amélioration continue : la gestion de l'exposition est une mesure corrective continue, et non ponctuelle. Évaluez et ajustez régulièrement vos efforts pour garder un temps d'avance sur l'évolution des menaces.
Le futur de la gestion de l'exposition
Le futur de la gestion de l'exposition se caractérise par le passage de stratégies réactives à des stratégies proactives. L'IA et l'automatisation seront indispensables pour prévoir les vulnérabilités, automatiser les efforts de remédiation et assurer une intégration transparente avec les plateformes d'intelligence des menaces. En interne, les entreprises vont renforcer la collaboration, et implémenter de nouveaux outils et processus en vue de prendre des décisions plus efficaces et plus pertinentes.
Cette approche globale va s'étendre à la sécurité de la chaîne logicielle dont on connaît l'importance. En outre, la gestion de l'exposition va devenir encore plus déterminante pour assurer la mise en conformité dans un contexte de réglementations changeantes.
En intégrant tous ces éléments dans un programme cohérent de gestion de l'exposition, les entreprises renforceront sensiblement leur posture de sécurité, à un moment où c'est un enjeu crucial.