Gestion de l'exposition :Repenser la cybersécurité en passant d'une approchesubjective à une approche objective

Série de rapports de recherche Ivanti sur la cybersécurité

La gestion de l'exposition fournit aux dirigeants d'entreprise et aux responsables de cybersécurité la méthodologie et les outils nécessaires pour prendre des décisions éclairées en matière de gestion des cyber-risques. Pourtant, son adoption reste freinée par des obstacles significatifs.

La prolifération numérique multiplie les vulnérabilités

Les surfaces d'attaque modernes englobent un écosystème d'actifs toujours plus vaste et complexe : infrastructure Cloud, périphériques IoT, supply chain, gestion des identités et permissions, etc. Pour protéger efficacement leurs actifs, les entreprises doivent impérativement comprendre et maîtriser cette complexité croissante.

La gestion des écosystèmes IT modernes représente un défi colossal pour les équipes IT et Sécurité, déjà surchargées par l'évolution incessante des cybermenaces et des attaques. En parallèle, elles doivent gérer la durée de vie et la complexité des logiciels utilisés dans l'entreprise.

Près de la moitié (48 %) des professionnels de sécurité signalent que leur entreprise utilise des logiciels en « fin de vie » (EOL). Ces logiciels qui ne bénéficient plus de correctifs de sécurité, de mises à jour ou de support technique, exposent les périphériques concernés à des vulnérabilités majeures, ouvrant la voie aux cyberattaques et aux violations de données.

De plus, 43 % n'ont pas identifié les systèmes/composants tiers les plus vulnérables de leur chaîne logicielle, autrement dit : ceux qui pourraient avoir un impact dévastateur en cas de compromission.

Cette situation est particulièrement inquiétante dans les secteurs fortement réglementés. Par exemple, dans le domaine de la santé, où chaque dysfonctionnement d’un système critique peut avoir des conséquences très graves et directement affecter les soins prodigués aux patients, 54 % des organisations utilisent des logiciels ayant déjà atteint leur fin de vie.

Il n'est donc pas étonnant que 40 % des professionnels de sécurité dans le monde estiment que leur infrastructure technologique est tellement complexe qu'ils ne peuvent pas appliquer les pratiques de sécurité élémentaires.

Quelle mesure prendre ?

« En gestion de l'exposition, le terme actif dépasse la simple notion de logiciels et de matériel. Il englobe l'ensemble des éléments, tangibles ou intangibles ayant une valeur business pour l'entreprise. Pour comprendre et gérer le manque de visibilité, les organisations doivent examiner leur surface d'attaque. Cela implique d'identifier et de prioriser les actifs à sécuriser, en tenant compte de deux facteurs clés : la probabilité que des acteurs malveillants exploitent une vulnérabilité et l’impact potentiel de chaque menace exploitée. »

Karl Triebes, Chief Product Officer chez Ivanti

How to gain attack surface visibility and assess risk, Karl Triebes, CPO, Ivanti

L'accessibilité des données est un frein majeur

Le manque d'accessibilité aux données a de nombreux impacts : les nouveaux investissements technologiques ne sont pas pleinement exploités et perdent de leur valeur, les vulnérabilités de sécurité sont plus difficiles à détecter et à gérer, et il devient difficile de prendre des décisions basées sur les données.

Notre étude révèle que de nombreuses entreprises rencontrent des difficultés pour accéder à leurs volumes massifs de données et ne sont donc pas en mesure de les exploiter. Les professionnels de sécurité signalent un manque de données ou des données incomplètes dans de nombreux domaines, avec diverses conséquences comme la complication de la détection du Shadow IT (45 %) ou la difficulté à identifier des vulnérabilités spécifiques à partir des données existantes (41 %). Ces défaillances augmentent les angles morts de sécurité de l'entreprise.

Plus de la moitié (55 %) des professionnels IT déclarent que les données de sécurité et IT de leur entreprise sont cloisonnées. Bien que ce chiffre ait diminué de 14 points depuis l'an dernier, reflétant des progrès notables, ce problème est loin d'être résolu.

Les entreprises modernes disposent de volumes de données sans précédent mais ne parviennent pas à les transformer en informations exploitables. Certaines entreprises se retrouvent même dans cette situation : alors que les données sont accessibles, les silos empêchent une approche globale de la détection des menaces et de la réponse aux incidents. Ainsi :

  • 53 % des professionnels de sécurité disent que les silos de données fragilisent la posture de sécurité de leur entreprise.
  • 62 % des professionnels de sécurité considèrent que les données en silos augmentent les délais de réponse de sécurité.

Il ne sera pas facile de régler le problème. Les professionnels IT estiment qu'il faudra en moyenne 5 ans pour y parvenir. C'est beaucoup trop long pour les entreprises qui veulent tirer parti des solutions d'IA générative et de l'automatisation. Ces solutions essentielles pour des enjeux critiques comme la gestion automatisée des vulnérabilités ou une threat intelligence proactive, sont très gourmandes en données.

L'amélioration de l'accessibilité et de la visibilité des données reste un enjeu primordial pour les entreprises qui veulent tranformer leurs données en informations décisionnelles et en tirer des actions concrètes. Correctement exploitées, les données d'entreprise constituent la moelle épinière des systèmes d'IA et des workflows automatisés. Elles alimentent une prise de décision éclairée et génèrent des gains d'efficacité opérationnelle — des facteurs indispensables pour une approche plus stratégique de la sécurité.

Quelle mesure prendre ?

« Comment rendre les données accessibles et les tranformer en décisions de sécurité pertinentes ? Les entreprises doivent éliminer les silos qui séparent l'IT et la Sécurité. Cela passe notamment par l'adoption d'une plateforme capable d'intégrer et de corréler les données issues de tous les départements de l'entreprise. En parallèle, les équipes de sécurité peuvent adopter des solutions d'IA pour analyser les gros volumes de données, en tirer des insights précieux et les utiliser pour améliorer les prises de décision et la communication au sein de l'entreprise. »

Daren Goeson, SVP Product Management, SUEM chez Ivanti

Convert security data into insights, Daren Goeson SVP Product Management, SUEM, Ivanti

Repenser le cadre de tolérance aux risques

Angles morts, complexité technologique, prolifération numérique.... Autant de facteurs qui obligent les entreprises à repenser leur approche traditionnelle de gestion des vulnérabilités. Il faut commencer par définir le cadre de gestion des risques de l'entreprise et quantifier le niveau d'exposition.

Pour réussir cette transition vers une approche de gestion de l'exposition, les RSSI (ou CISO) et les PDG doivent collaborer pour établir un cadre de tolérance aux risques capable de trouver le juste équilibre entre la posture de risque actuelle de l'entreprise et son appétence au risque.

Posture de risque :

État actuel de la gestion des risques dans l'entreprise, reflet de son exposition réelle et de ses défenses.

 

Appétence au risque :

Niveau de risque qu'une entreprise est prête à accepter pour atteindre ses objectifs.

Trop souvent, ces deux notions (posture et appétence) ne sont pas alignées. Les responsables de sécurité priviligient naturellement la protection. Les dirigeants d'entreprise, de leur côté, sont plutôt enclins à renoncer à un certain degré de protection afin de favoriser la croissance et l'innovation.

Il n'y a pas de recette miracle. L'équilibre découle d'une décision concertée entre PDG et RSSI.

Bien que la grande majorité des entreprises (83 %) disent disposer d'un cadre qui définit leur tolérance aux risques, beaucoup admettent ne pas suivre scrupuleusement ce cadre.

En tout, 51 % des entreprises reconnaissent ne pas appliquer le cadre de tolérance aux risques. Même si la situation est meilleure dans les grands groupes, elle est loin d'être idéale. En effet, 43 % des entreprises de 10 000 collaborateurs ou plus disent qu'elles n'appliquent pas scrupuleusement leur cadre de tolérance aux risques.

Une partie du problème réside peut-être dans le fait que les entreprises ont du mal à mesurer leur exposition.

Les professionnels de sécurité disent être confrontés à d'importants obstacles lorsqu'il s'agit de mesurer et de gérer l'exposition aux risques. En effet, 49 % n'ont pas accès aux données qui leur permettraient de mesurer et gérer le risque correctement. Et 51 % confient ne pas disposer des ressources humaines nécessaires pour relever ce défi.

Quelle mesure prendre ?

« Pour appliquer plus scrupuleusement leur cadre de tolérance aux risques, les entreprises doivent établir un inventaire aussi exhaustif que possible de leur surface d'attaque, et attribuer une valeur monétaire aux actifs pour calculer les risques en termes financiers chaque fois que cela est possible. Grâce à la centralisation des données, les parties prenantes obtiennent une vue complète de la surface d'attaque de l'entreprise. De plus, la gestion de l'exposition permet de mettre en place des métriques réalistes, en cohérence avec l'appétence au risque de l'entreprise et ses objectifs business. »

Mike Riemer, Senior Vice President, Network Security Group (NSG) et Field CISO chez Ivanti

How to define and measure risk tolerance, Mike Riemer, Field CISO, Ivanti

Gestion de l'exposition : Une approche contextuelle des risques

Avec la gestion de l'exposition, la cybersécurité devient une fonction stratégique de l'entreprise. Grâce à la contextualisation des vulnérabilités, il est possible de mettre en perspective les décisions de sécurité et les décisions business.

La gestion de l'exposition crée un cadre global au sein duquel les entreprises peuvent évaluer à la fois leurs opportunités commerciales et leurs besoins de sécurité.

En offrant une vue d’ensemble claire et objective, avec une représentation complète et contextualisée de la surface d’attaque, ce cadre permet aux organisations d’évaluer le niveau de risque des différents composants de leur écosystème technologique. Ainsi, elles peuvent déterminer si ces risques sont en adéquation avec leur posture de risque. Grâce à cette capacité d’analyse du risque par rapport à l'appétence au risque, les entreprises sont en mesure d'identifier et de hiérarchiser les expositions à traiter en priorité.

Cependant, bien que les avantages de la gestion de l’exposition soient prometteurs, son adoption reste à un stade précoce. L'étude d'Ivanti montre que le concept de gestion de l'exposition est bien compris. Ainsi, 49 % des professionnels de sécurité disent que les dirigeants de leur entreprise ont une bonne compréhension des principes de la gestion de l'exposition.

Pourtant, peu d'entreprises prennent les mesures nécessaires pour adopter cette pratique : 22 % seulement des professionnels de sécurité disent que leur entreprise prévoit d'augmenter son investissement en gestion de l'exposition en 2025.

Aujourd'hui, 73 % des professionnels de sécurité affirment que leur entreprise quantifie les cyber-risques pour orienter la prise de décision des dirigeants. Cela représente indéniablement une avancée. Cependant, notre étude révèle un manque d'alignement notable entre les équipes Sécurité et les dirigeants concernant les priorités à prendre en compte pour le calcul des risques.
Alors que les professionnels de la sécurité mettent en avant l’« impact opérationnel » comme facteur clé dans la quantification des cyber-risques, les dirigeants privilégient davantage l’« impact financier ».

Ce problème n’est pas qu'un simple manque d'alignement, mais reflète une véritable dissonance qui perdure depuis longtemps. La cybersécurité reste principalement gérée par des spécialistes, qui ont du mal à se faire comprendre par la direction. Les dirigeants, bien qu’ils reconnaissent pleinement l’importance cruciale de la cybersécurité, ne disposent souvent ni des outils ni des connaissances nécessaires pour surmonter ce fossé.

Actuellement, seuls 40 % des professionnels de sécurité estiment que les responsables sécurité sont « très efficaces » pour expliquer les risques. La gestion de l'exposition offre aux responsables de sécurité une structure qui permet une communication plus efficace avec les dirigeants, notamment ceux n'ayant pas une connaissance pointue de la cybersécurité.

Quelle mesure prendre ?

« Une déclaration d'appétence au risque (RAS) doit identifier les risques qui auraient le plus d'impact sur l'entreprise, en tenant compte du niveau de risque financier qu'elle est prête à accepter. Par exemple, cela peut inclure les conséquences liées à une dépendance envers un fournisseur unique ou les risques d'exposition réglementaire en cas de mauvaise gestion des données clients par un partenaire. Pour les équipes Sécurité, la gestion de l'exposition offre une opportunité majeure : celle de briser les silos organisationnels et de s'affirmer comme un véritable acteur stratégique au service de l'entreprise. Pour y parvenir, elles doivent exploiter les données et les analyses afin de traduire les risques en termes commerciaux clairs et mieux communiquer avec le reste de l'entreprise. »

Mike Riemer, Senior Vice President, Network Security Group (NSG) et Field CISO chez Ivanti

How to evaluate enterprise risk appetite, Mike Riemer, Field CISO, Ivanti

Méthodologie

Ce rapport est basé sur l'étude d'Ivanti Rapport 2025 sur l'état de la cybersécurité : Le changement de paradigme. Pour cette étude, Ivanti a interrogé plus de 2 400 cadres dirigeants et professionnels de cybersécurité en octobre 2024. L'étude a été administrée par Ravn Research et les panélistes ont été recrutés par MSI Advanced Customer Insights. Les résultats de l'enquête ne sont pas pondérés.