Gestion de la surface d'attaque

Série de rapports de recherche Ivanti sur l'état de la cybersécurité

La surface d'attaque des entreprises s'amplifie rapidement. Une étude d'Ivanti examine l'étendue du problème et explore les stratégies à mettre en oeuvre pour une gestion complète de la surface d'attaque.

Télécharger le résumé exécutif

01

Expansion de la surface d'attaque

Les progrès technologiques et l'évolution de l'Everywhere Work contribuent à l'extension et à la complexification de la surface d'attaque des entreprises.

Problème actuel

Les entreprises supervisent un écosystème à croissance rapide, regroupant les périphériques, les outils et les actifs de leur réseau... qui tous se multiplient très vite. Pourtant, leur visibilité sur cet univers numérique en expansion reste limitée.

Plus de la moitié des professionnels IT interrogés par Ivanti déclarent être incertains quant à leur capacité à stopper un incident de sécurité dommageable dans les 12 mois à venir. Et plus de 1/3 disent qu'ils sont moins bien préparés à détecter les menaces et à répondre aux incidents qu'il y a un an.



50 %

des travailleurs de bureau disent utiliser des périphériques personnels au travail.

32 %

d'entre eux affirment que leur employeur ne le sait pas.

Pourquoi c'est important

Ce n'est pas seulement un problème de complexité : la prolifération des périphériques et des actifs entraîne la dispersion et l'inefficacité des équipes. Cet écosystème en pleine croissance génère des vulnérabilités et des expositions toujours plus variées, qui peuvent provoquer des fuites de données, des interruptions de service, un manque de conformité, une perte de réputation et bien plus encore.

C'est notamment pourquoi l'ASM (Gestion de la surface d'attaque) est désormais un volet essentiel des mesures de cybersécurité. D'ailleurs, les études menées par Ivanti montrent une augmentation des investissements en outils ASM.

Avec une stratégie ASM, les entreprises sont non seulement en mesure de découvrir et de surveiller en continu les menaces émergentes et les exploitations actives, mais aussi de prioriser et gérer les vulnérabilités à partir d'une approche basée sur les données.

À mesure que les attaques gagnent en sophistication, les entreprises doivent lutter contre ces menaces en se mettant à la place de leurs adversaires : Où l'attaque pourrait-elle commencer ? Quels systèmes pourraient être attaqués en premier ? Comment l'attaque se déroulerait-elle ?

 

Pourquoi l'ASM dès aujourd'hui ?

À mesure que les surfaces d'attaque deviennent plus vastes et plus complexes, les stratégies de sécurité doivent également évoluer et progresser.

Les outils traditionnels de découverte des actifs et d'évaluation des risques identifient et inventorient les actifs matériels et logiciels sur l'ensemble du réseau de l'entreprise.

Cela ne suffit plus. L'ASM va plus loin : non seulement elle identifie les actifs, mais elle évalue les risques associés aux actifs connus et inconnus sur la totalité d'un paysage numérique étendu, et recommande des actions en précisant l'ordre dans lequel les exécuter.



02

Données en silos

Étant donné l'énorme volume de données, structurées et non structurées, générées chaque jour dans tout l'écosystème numérique, il est facile de passer à côté des signaux critiques sur l'état de santé et la sécurité de l'entreprise.

Problème actuel

Les vastes surfaces d'attaque génèrent des flux massifs de données que les entreprises peinent à protéger, car ces données sont cloisonnées ou inaccessibles aux personnes qui en ont besoin pour assurer la protection de l'entreprise et augmenter les profits.

D'après les professionnels IT et de sécurité, quel est l'impact des silos de données sur leur travail ?

« 

J'ai souvent besoin d'accéder à des données stockées dans un autre système mais, n'ayant pas les droits d'accès pour obtenir ces informations, je dois passer par une autre personne qui y accède.

« 

Je n'ai pas toujours toutes les données nécessaires pour prendre la bonne décision, et je perds beaucoup de temps à obtenir les droits d'accès.

« 

Les informations dont je dispose sont incomplètes, alors je dois jouer aux devinettes.



Pourquoi c'est important

Les professionnels de la cybersécurité disent que les silos de données impactent leur capacité à agir rapidement et à bon escient.

82 %

affirment que les silos de données nuisent à leur productivité.

40 %

déclarent que les silos augmentent les temps de réponse aux incidents.

33 %

disent que, en raison du manque d'alignement avec les autres départements de l'entreprise, les parties prenantes ne peuvent pas se mettre d'accord sur la meilleure façon d'agir.

Autrement dit, les silos de données non seulement nuisent à l'efficacité mais ils limitent aussi les informations disponibles et augmentent les risques d'exposition. Toutefois, ce n'est pas une fatalité. Les outils CAASM (Gestion de la surface d'attaque des cyberactifs) peuvent résoudre les problèmes de données des entreprises, car ils intègrent données EASM (Gestion de la surface d'attaque externe) et données DRPS (Services de protection contre les risques numériques) afin d'offrir aux entreprises un accès sans précédent aux données.

 

Outils ASM : présentation

  • Gestion de la surface d'attaque externe (EASM) :  Surveiller et découvrir en continu les actifs en contact avec Internet, pour repérer les vulnérabilités que des pirates pourraient exploiter.
  • Services de protection contre les risques numériques (DRPS) : Surveiller un large éventail de risques pour l'ensemble des actifs et canaux numériques afin d'assurer la réputation de la marque, fournir une threat intelligence et prévenir les fuites de données. 
  • Gestion de la surface d'attaque des cyberactifs (CAASM) : Fournir une vue intégrée de tous les cyberactifs physiques et numériques sur l'ensemble du réseau de l'entreprise, pour offrir une source unique de vérité aux équipes IT et Sécurité, en incorporant des informations sur tous les actifs de l'entreprise, y compris leur propriétaire, les accès réseau et leur contexte commercial.



03

Priorisation

Les entreprises ont du mal à évaluer les risques, à prioriser leur réponse et à réagir aux menaces de façon cohérente.

Problème actuel

Les organisations peinent à prioriser les vulnérabilités à traiter, en raison de divers facteurs :

Facteurs externes : Évolution rapide du paysage des menaces ; volume et rythme des vulnérabilités et attaques plus élevés que jamais 

Facteurs internes : Mauvaise visibilité de la surface d'attaque, impossibilité d'évaluer la gravité des vulnérabilités existantes, difficultés à coordonner et à communiquer la réponse

Bien que 64 % des entreprises affirment avoir une méthodologie documentée pour prioriser l'application des correctifs de sécurité, un examen plus approfondi révèle une réalité troublante.


Les professionnels de la sécurité classent tous les types de vulnérabilité (exploitations actives, correctifs requis pour la mise en conformité, directives des dirigeants) comme étant « relativement urgents », si ce n'est « très urgents ». Et quand toutes les vulnérabilités sont prioritaires... aucune ne l'est plus.



Pourquoi c'est important

En raison du manque persistant de professionnels de sécurité qualifiés, les équipes doivent allouer les ressources efficacement pour garantir la sécurité de leur entreprise, c'est pourquoi la priorisation de la réponse aux risques de l'entreprise est si importante.

Comment procède-t-on ? L'ASM utilise des algorithmes et des méthodologies pour définir des scores de risque, qui priorisent les expositions en fonction de facteurs comme la probabilité d'une attaque, la dangerosité de la menace, l'impact négatif potentiel, etc.

Ce type de gestion des risques et d'optimisation est essentiel, en raison de la quantité de données internes et externes que les professionnels de sécurité doivent superviser et analyser. Résultat ? Moins d'interruptions de services et une amélioration globale de la posture de cybersécurité.

04

Risque fournisseur

Les fournisseurs et les distributeurs d'une entreprise constituent une extension de sa surface d'attaque, mais de nombreuses entreprises ne les perçoivent pas comme des points d'entrée ultraconnectés susceptibles d'être exploités par les pirates.

Problème actuel

Une étude menée en 2023 par Capterra révèle que 61 % des entreprises ont été touchées par des attaques visant leur supply chain logicielle au cours des 12 mois précédents. 

Et pourtant, les recherches Ivanti montrent que moins de la moitié des entreprises (46 %) ont identifié les systèmes/composants tiers vulnérables dans leur supply chain logicielle... même si 39 % prévoient de le faire dans l'année à venir.



Pourquoi c'est important

La surface d'attaque de vos fournisseurs et partenaires est une extension de la surface d'attaque de votre entreprise. Une seule faille dans votre supply chain logicielle peut avoir un impact dramatique, sur votre chiffre d'affaires et votre réputation, et augmenter vos risques de conformité et de responsabilité. À titre d'exemple, l'énorme fuite de données de Target, il y a dix ans, a été causée par des pirates qui avaient mis la main sur des informations d'authentification volées à un fournisseur tiers, un fabricant de systèmes de réfrigération et CVC, un point d'entrée inattendu pour une faille aussi dommageable. Le détaillant a révélé plus tard que cet événement lui a coûté plus de 162 millions de dollars en 2013 et 2014, ce qui équivaut à 213 millions de dollars aujourd'hui. 

Pour prévenir ce type d'attaque, l'ASM surveille les actifs en contact avec Internet. Vous avez donc une meilleure compréhension du profil de risques global de votre entreprise, y compris les risques introduits par votre supply chain. L'ASM peut ainsi jouer un rôle primordial dans l'évaluation des nouveaux fournisseurs, vendeurs, partenaires et même des cibles de rachat.

Un rapport Gartner® de 2023 conclut que « malgré une augmentation spectaculaire des attaques visant la supply chain logicielle, aucune évaluation de sécurité n'est effectuée dans le cadre des activités de gestion des risques liés aux fournisseurs ou à l'approvisionnement. Les entreprises sont par conséquent vulnérables aux attaques. »

05

Mesures à prendre

Des experts expliquent comment les entreprises peuvent avoir une meilleure perception de la dimension réelle des vulnérabilités de leur surface d'attaque et fournissent des recommandations pour gérer ce risque.

Définir des priorités, harmoniser les données et exploiter l'automatisation

Dans le paysage numérique actuel, la définition de ce qu'on appelle un actif évolue. On ne parle plus seulement de périphériques physiques. La multitude de nouveaux types d'actifs transforme les réseaux fermés en systèmes ouverts fonctionnant sur des protocoles IP. Les entreprises de toutes tailles sont concernées par ce changement qui a considérablement élargi leur « rayon d'impact ». Elles se retrouvent exposées à davantage de risques liés aux erreurs de configuration et à l'exposition Internet. 

Je vous recommande de suivre le principe DEER : Découvrir, Enumérer les Expositions, y Remédier. 

Le véritable défi du principe DEER réside dans l'énorme volume de données que les entreprises doivent manipuler et exploiter. En moyenne, chaque entreprise reçoit des données provenant de 60 à 70 sources de données différentes. Pour gérer efficacement toutes ces données, une entreprise doit faire preuve des 5 éléments suivants :

  1. Capacité à recevoir les données.  
  2. Capacité à standardiser les données.  
  3. Capacité à étiqueter les données.  
  4. Capacité à prioriser les données en fonction des intentions du pirate.  
  5. Compréhension des priorités de l'entreprise. 

Après avoir mis en place une priorisation claire, vous devez élaborer une stratégie de remédiation robuste. Chacune des étapes peut être envisagée comme un Shift Left (centré sur le développeur) ou un Shift Right (centré sur la sécurité).

Vient ensuite l'automatisation, qui fait intervenir la gestion des services. Développez des workflows automatisés qui assureront la gestion des périphériques et simplifieront la rédaction de tickets pour les équipes Développement, Opérations et Sécurité. Créez ensuite des workflows automatisés pour garantir une remédiation avec un minimum d'intervention humaine.

Dr. Srinivas Mukkamale

Dr Srinivas Mukkamala
Chief Product Officer chez Ivanti

Identifier les vulnérabilités de la supply chain et les intégrer au calcul

Les entreprises doivent davantage s'impliquer dans la sécurité de la supply chain et des fournisseurs. Pour cela, elles doivent envisager d'appliquer les quatre directives suivantes : 

  1. Définissez des exigences de sécurité fournisseur claires, alignées sur les stratégies de l'entreprise et respectant les réglementations du secteur, comme le RGPD et l'HIPAA. Ces normes doivent être communiquées clairement à tous les vendeurs et fournisseurs. 
  2. Effectuez une évaluation complète des risques de votre écosystème de fournisseurs afin de déterminer dans quelle mesure chacun d'eux répond aux exigences de sécurité actuelles. Menez des audits et des contrôles de conformité réguliers pour garantir que les exigences sont respectées en permanence. 
  3. Assurez-vous que vos fournisseurs sont bien intégrés dans votre plan de réponse aux incidents (IRP), surtout s'ils ont accès aux systèmes et données de votre entreprise. Cela garantit qu'il existe un processus prédéfini de gestion des incidents impliquant les fournisseurs. 
  4. Assurez-vous que des mesures de sécurité sont bien incorporées à vos accords contractuels avec vos fournisseurs, pour qu'ils assument leurs responsabilités et pour garantir une entente mutuelle concernant le rôle de chacun dans le maintien de la sécurité. 

Et surtout, votre approche envers les fournisseurs doit être collaborative, et encourager une communication régulière concernant les menaces potentielles et la façon d'améliorer ensemble les mesures de sécurité.

Daren Goesson

Daren Goeson 
Senior Vice President of Product Management SUEM chez Ivanti

Rappel utile : une gestion sophistiquée de la surface d'attaque est surtout dynamique

Les entreprises doivent comprendre les risques externes émergents, et plus particulièrement ceux qui sont propres à leur secteur et à leur marché, et savoir comment ils s'articulent avec les vulnérabilités internes.  

Il est impossible d'évaluer les risques sans tenir du compte du contexte. Supposons par exemple que votre équipe de sécurité identifie une vulnérabilité classée « 5 » (de niveau moyen) dans le logiciel d'un fournisseur. Cela peu sembler peu préoccupant. Toutefois, un pirate qui repérerait cette vulnérabilité pourrait se dire « elle est seulement de niveau 5, mais si je l'associe à cette autre vulnérabilité, j'obtiens un accès RPE (Élévation des privilèges à distance). » 

Les logiciels et la priorisation de gestion de la surface d'attaque doivent tenir compte de la nature dynamique de chaque vulnérabilité et de chaque découverte. Lorsque les vulnérabilités évoluent et se transforment, ou lorsqu'elles sont liées aux ransomwares ou sont exploitées, la solution ASM détermine la façon d'orienter et de changer la priorisation de façon dynamique. 

L'état de nos logiciels change tous les jours, mais certains de ces changements ne sont pas implémentés en interne. D'autres personnes peuvent influencer et modifier notre surface d'attaque en exploitant un défaut mineur... et cela devient soudain la priorité numéro 1. Ainsi, une bonne gestion de la surface d'attaque est une gestion très dynamique et connectée aux tendances qui réévalue en continu les risques en fonction des dernières données.

Rex McMillan

Rex McMillan
Vice President of Product Management chez Ivanti

Méthodologie

Ce rapport repose en partie sur deux enquêtes menées par Ivanti fin 2023 et en 2024 : Rapport « 2024 Everywhere Work : Permettre une plus grande flexibilité du travail » et « Rapport 2024 sur l'état de la cybersécurité : Point d'inflexion ». Pour ces deux enquêtes, nous avons interrogé au total 15 000 dirigeants, professionnels IT et collaborateurs de bureau. Le rapport cite aussi les recherches de sources tierces.


 

Gartner,« Mitigate Enterprise Software Supply Chain Security Risks », par Dale Gardner, 31 octobre 2023 - GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans d'autres pays, et elle est utilisée ici avec sa permission. Tous droits réservés.

Merci!

Télécharger le résumé exécutif Télécharger

Téléchargez le résumé exécutif

Obtenez les principales conclusions et les résultats de l'enquête, tableaux et graphiques y compris, dans un format de type présentation.