Qu’est-ce que la gestion de la surface d’attaque ?

La gestion de la surface d’attaque, ou ASM (Attack Surface Management), consiste à identifier, surveiller et gérer en continu toutes les ressources internes et externes connectées à Internet pour détecter les expositions et les vecteurs d’attaque potentiels.

Le but de l’ASM est d’augmenter la visibilité et de limiter les risques. En misant sur une détection et une neutralisation proactives des vulnérabilités, les entreprises peuvent considérablement réduire les probabilités de cyberattaque tout en améliorant leur posture de sécurité globale.

Qu’est-ce qu’une surface d’attaque ?

La surface d’attaque est la somme de tous les points qu’un attaquant est susceptible d’exploiter pour accéder aux systèmes et données d’une entreprise. Elle englobe :

• Les applications : toute application logicielle accessible en dehors de l’entreprise (applis web, applis mobiles, API, etc.).
• Les sites web : tous les sites web hébergés par l’entreprise, y compris les sites publics, internes et d’e-commerce.
• Les réseaux : tout réseau que l’entreprise utilise pour connecter ses équipements et systèmes, y compris Internet, les réseaux cloud et les réseaux privés.
• Les équipements : tout équipement connecté aux réseaux de l’entreprise (ordinateurs portables, smartphones, serveurs, IoT, etc.).
• L’infrastructure cloud : toute infrastructure cloud qu’utilise l’entreprise, y compris les clouds privés, publics et hybrides.

De l’adoption du cloud à la prolifération des équipements connectés, différents facteurs contribuent à l’expansion constante de la surface d’attaque. Résultat : les équipes de sécurité ont de plus en plus de difficultés à suivre et à neutraliser l’ensemble des vulnérabilités.

Pourquoi l’ASM est-elle si importante ?

Il est impossible pour les entreprises de protéger des ressources dont elles ignorent l’existence. Partant de ce constat, la gestion de la surface d’attaque leur permet de gagner en visibilité et de limiter les risques qui pèsent sur cette surface interne, mais aussi externe, deux choses essentielles à l’heure où la migration vers le cloud bat son plein.

Pour diminuer le risque de cyberattaque et de compromission des données, les équipes doivent réduire le nombre de points d’entrée potentiels présents dans leurs systèmes et réseaux. Cette diminution leur permet de dresser un inventaire complet et actualisé de toutes les ressources connectées à Internet et des dangers qu’elles représentent.

Seulement voilà, les périmètres réseau sont aujourd’hui révolus et la vue traditionnelle de la surface d’attaque est devenue obsolète. La création d’un tel inventaire nécessite donc une nouvelle approche capable d’inclure l’ensemble des ressources exposées à Internet, qu’elles soient hébergées dans le cloud, dans des infrastructures on-prem ou à travers plusieurs sites.

Entre le multicloud, les clouds privés et publics, les ressources héritées de fusions-acquisitions (M&A) et l’accès des fournisseurs, sous-traitants et autres télétravailleurs, les méthodes manuelles ne permettent plus aux équipes IT d’assurer le suivi de tous les assets et des personnes qui en sont responsables.

Jusqu’à présent, ces inventaires résultaient de processus lents et manuels à intervalles espacés, à l’image des exercices Red Team et des tests d’intrusion. Le problème est qu’une infrastructure moderne, en particulier dans le cloud, peut changer en un instant. Un collaborateur muni d’une carte de paiement peut par exemple créer une instance cloud qui échappe aux processus de sécurité de l’entreprise. Cela constitue d’ailleurs l’un des principaux facteurs d’élargissement de la surface d’attaque.

D’un autre côté, la qualité des données de cet inventaire des assets a une incidence directe sur l’efficacité des processus de sécurité. De fait, les analyses de vulnérabilités qui surveillent uniquement les ressources connues font l’impasse sur les assets inconnus. Or, ces assets représentent une menace directe face à laquelle les équipes de sécurité n’ont aucun contrôle.

Une étude MIT Technology Review Insights révèle que 50 % des entreprises ont déjà subi une cyberattaque visant une ressource inconnue ou non gérée, et que 19 % s’attendent à une attaque imminente.

L’importance des facteurs vitesse et échelle d’Internet

Les attaquants privilégient les proies faciles. C’est pourquoi ils repèrent et ciblent systématiquement les assets inconnus. En effet, les groupes cyber ont eux aussi entrepris leur propre transformation numérique : ils peuvent désormais analyser toute la Toile en moins d’une heure pour y détecter les systèmes vulnérables. Par conséquent, les équipes de sécurité n’ont d’autre choix que d’accélérer le temps moyen d’inventaire (MTTI) pour consigner tous leurs assets avant que des acteurs malveillants ne les repèrent.

Une étude Cortex Xpanse montre que les attaquants effectuent un scan de recensement des ressources vulnérables exposées à Internet une fois par heure, voire parfois tous les quarts d’heure, sitôt une CVE divulguée. Or, du côté des entreprises, il faut en moyenne 12 heures pour trouver des systèmes vulnérables, si tant est qu’elles disposent d’un inventaire précis des ressources sur leur réseau.

La gestion de la surface d’attaque doit prendre en compte tous les aspects possibles pour fournir un inventaire exhaustif et actualisé de l’ensemble des assets connectés au réseau de l’entreprise. Cela inclut les adresses IP, les domaines, les certificats, l’infrastructure cloud ou encore les systèmes physiques. L’ASM doit aussi permettre d’identifier en interne les équipes ou collaborateurs responsables de chaque asset.

Une solution ASM doit fonctionner à la cadence et à l’échelle de l’IoT pour pouvoir détecter, identifier et éliminer en permanence les risques que présentent les ressources connectées à l’Internet public, qu’elles soient hébergées sur site, dans le cloud, ou exploitées par des filiales ou des fournisseurs stratégiques.

L’ASM nécessite en outre des analyses exécutées de l’extérieur vers l’intérieur : elle ne doit pas reposer uniquement sur les journaux ou les inventaires d’autres produits de sécurité, car ils sont parfois incomplets. Ces scans externes, qui garantissent la prise en compte de tous les assets connus et inconnus, apportent ainsi des informations utiles aux processus de sécurité.

Dans son rapport 2021 Hype Cycle for Security Operations, Gartner explique comment l’adoption d’une perspective ASM externe permet aux entreprises de mieux surveiller leurs expositions en priorisant les enjeux les plus critiques – ce qui leur évite de devoir examiner le vaste champ des menaces en l’absence de tout repère, sans savoir quels dangers les concernent vraiment.

Types de surfaces d’attaque

Plusieurs catégories distinctes entrent dans le champ d’application de l’ASM, chacune portant sur des types d’assets spécifiques et leurs surfaces d’attaque correspondantes. Pour mieux protéger leurs ressources, les entreprises doivent impérativement se familiariser avec ces différentes surfaces d’attaque.

En voici une liste non exhaustive :

Explorez en détail les types, catégories et rôles de l’ASM : Quels sont les types et rôles de la gestion de la surface d’attaque ?

Assets connus

Les assets numériques connus sont les équipements, systèmes et applications dont les équipes de sécurité ont connaissance, et qui sont autorisés à se connecter au réseau de l’entreprise. Ils sont recensés dans l’inventaire de l’organisation et font l’objet d’une surveillance et d’évaluations de sécurité régulières.

Assets inconnus

À l’inverse, les assets numériques inconnus désignent les équipements, systèmes et applications qui échappent à la connaissance des équipes de sécurité et ne sont pas autorisés à se connecter au réseau. Ils peuvent inclure le Shadow IT, les appareils non autorisés, les ransomwares ou encore les applications non gérées. Les assets inconnus posent un risque de sécurité majeur, car ils peuvent affaiblir les défenses de l’entreprise.

Assets non autorisés

Tout comme les assets inconnus, les assets numériques non autorisés se connectent au réseau de l’entreprise sans en avoir la permission. Il s’agit cependant de ressources connues, qui n’ont pas été approuvées ou qui présentent un risque de sécurité.

Les assets inconnus, quant à eux, désignent les ressources non identifiées ou non détectées d’un réseau ou d’un système qui ont pu être précédemment autorisées, mais qui ont depuis été oubliées. Les acteurs malveillants peuvent ainsi les exploiter pour obtenir un accès non autorisé au réseau ou aux données de l’entreprise. Les assets non autorisés sont difficiles à détecter et à gérer, car ils ne figurent pas dans l’inventaire ni dans les contrôles de sécurité de l’organisation.

Fournisseurs

Les fournisseurs peuvent constituer un risque de sécurité important, car ils sont susceptibles d’introduire des vulnérabilités ou des faiblesses dans le réseau ou les données des entreprises. Par conséquent, les organisations doivent mettre en place une gestion et un suivi rigoureux de leurs relations avec les fournisseurs pour réduire le risque de cyberattaque.

Cela peut inclure des évaluations de sécurité régulières, des exigences de sécurité contractuelles, ainsi qu’une surveillance et une gestion continues des risques. Dans le cadre de la gestion de la surface d’attaque, les fournisseurs peuvent être des éditeurs de logiciels, des fournisseurs de services cloud (CSP) et d’autres prestataires de services tiers.

Fonctions essentielles de l’ASM

Une solution de gestion de la surface d’attaque doit intégrer cinq fonctions fondamentales pour protéger les entreprises des vulnérabilités. Ces fonctions permettent aux équipes de sécurité d’obtenir une vue complète de leur surface d’attaque, d’en identifier les vulnérabilités et les faiblesses, de prioriser leurs efforts et de réduire le risque de cyberattaque et de compromission des données.

Découverte

Pendant la phase de découverte, les équipes de sécurité effectuent des analyses, examinent les journaux et utilisent d’autres outils pour détecter les assets connus et inconnus. L’objectif : identifier l’ensemble des ressources, systèmes, applications et points d’entrée présents dans le réseau.

Mapping

Une fois que tous ces assets sont identifiés, ils doivent être automatiquement rattachés aux unités opérationnelles et aux filiales correspondantes, puis intégrés aux outils SOC existants pour pouvoir identifier plus rapidement leurs propriétaires et rassembler toutes les informations nécessaires en cas de réponse à incident.

Contexte

La contextualisation aide les organisations à prioriser et à concentrer leurs efforts sur les domaines à risque et à plus fort impact. En ce sens, les ressources et les vulnérabilités découvertes doivent être contextualisées pour renforcer l’efficacité de l’ASM. Il s’agit d’analyser ces assets et leurs failles à la lumière du profil de risque, des exigences de conformité et des objectifs métiers de l’entreprise.

Priorisation

Les assets et les vulnérabilités doivent être classés par ordre d’importance selon le risque et l’impact potentiel, en tenant compte de plusieurs facteurs comme la probabilité d’une exploitation, l’incidence d’une éventuelle attaque et les difficultés de remédiation. Cette approche permet aux entreprises et à leurs équipes de sécurité de déployer leurs ressources en priorisant les vulnérabilités les plus critiques.

Remédiation

Les vulnérabilités ou les faiblesses détectées dans le réseau, les systèmes ou les applications doivent alors être rectifiées. La remédiation consiste donc à réduire voire à éliminer le risque qu’un acteur malveillant exploite ces failles pour exécuter une cyberattaque ou compromettre les données de l’organisation.

Ce processus prend une forme différente selon la nature et la sévérité des vulnérabilités. La remédiation peut impliquer le déploiement de correctifs ou la mise à jour de logiciels, la configuration des pare-feu ou d’autres contrôles de sécurité, la restriction des accès à certains assets, ou encore le décommissionnement de systèmes ou d’applications obsolètes. Elle doit s’inscrire dans une démarche continue pour éviter que les vulnérabilités ne réapparaissent.

Découvrez comment l’approche cyclique de l’ASM offre un framework dynamique pour aider les équipes de sécurité à détecter et à neutraliser les risques cyber de façon proactive : Qu’est-ce que le cycle de vie de l’ASM ?

Surface d’attaque vs surface de menace

« Surface d’attaque » et « surface de menace » sont des termes souvent considérés comme interchangeables. Ils désignent pourtant des concepts distincts, marqués par des nuances subtiles, mais cruciales. Pour maximiser la protection de leurs assets, il est important que les entreprises comprennent ces différences.

La surface d’attaque englobe toutes les vulnérabilités potentielles, et sa gestion vise à réduire le risque global. La surface de menace est plus distinctive : elle renvoie aux vulnérabilités ciblées par des menaces connues et implique leur priorisation en fonction de dangers spécifiques. La surface d’attaque est relativement statique, car elle évolue lentement au fil du temps. La surface de menace, en revanche, est dynamique : elle change rapidement au gré des menaces émergentes et des nouvelles tactiques d’attaque.

En combinant identification et neutralisation des vulnérabilités sur l’ensemble de la surface d’attaque avec une priorisation des menaces basée sur le risque, les entreprises peuvent nettement améliorer leur posture de sécurité et la protection de leurs ressources critiques.

Découvrez comment faire la distinction entre surface d’attaque et surface de menace pour renforcer votre stratégie de cybersécurité : Quelle est la différence entre surface d’attaque et surface de menace ?

Principaux types d’attaquants

Dans le jargon de l’ASM, les attaquants désignent des individus, groupes ou entités qui menacent la sécurité de vos ressources IT (données, applications, équipements, infrastructure réseau, équipes, etc.). En voici quelques exemples :

Hackers et cybercriminels

Les hackers « black hat » sont des individus ou des groupes malveillants qui exploitent les vulnérabilités des logiciels et des opérations IT pour en obtenir un avantage ou pour nuire aux victimes. Les cybercriminels sont des individus – ou de plus en plus souvent des groupes – qui se livrent à des activités telles que l’usurpation d’identité, la fraude financière ou la distribution de malwares à des fins lucratives.

Groupes étatiques

Les groupes étatiques sont des entités spécialisées dans le cyberespionnage, les cyberconflits et d’autres activités malveillantes guidées par un intérêt politique, économique ou militaire. Dans ses rapports de conseil et de présentation des menaces, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis met régulièrement en avant des groupes opérant pour le compte de la Chine, la Russie, la Corée du Nord et l’Iran.

Acteurs internes

Le terme « acteurs internes » fait référence à des collaborateurs, prestataires ou partenaires commerciaux qui connaissent les systèmes d’une organisation de l’intérieur et sont susceptibles d’utiliser leurs accès à des fins personnelles ou autres, y compris par vengeance.

Hacktivistes

Les hacktivistes sont des individus ou des groupes motivés par des convictions sociales, politiques ou idéologiques. Ils détournent des systèmes pour promouvoir leur engagement ou protester contre certaines actions ou organisations.

Vecteurs d’attaque couramment exploités

Les vecteurs d’attaque correspondent aux chemins ou méthodes qu’empruntent les attaquants pour exploiter les vulnérabilités et accéder aux systèmes et données d’une entreprise. Autrement dit, il s’agit du moyen utilisé par un acteur malveillant pour atteindre sa cible. En voici quelques exemples :

Phishing

Les attaques de phishing impliquent l’envoi d’e-mails ou de SMS frauduleux imitant une source légitime, comme une banque, une administration ou une personne de confiance. Ces messages incitent les destinataires à cliquer sur des pièces jointes ou des liens malveillants qui permettent aux attaquants d’installer des malwares, de dérober des informations sensibles ou de compromettre des comptes d’utilisateurs.

Malware

Les malwares sont des logiciels malveillants conçus pour perturber ou bloquer des systèmes informatiques. Les attaquants y ont souvent recours pour obtenir des accès non autorisés, voler des données ou endommager des systèmes. Les virus, les vers, les ransomwares et les spywares sont parmi les plus courants.

Ingénierie sociale

L’ingénierie sociale consiste à manipuler des personnes pour qu’elles révèlent des informations sensibles ou effectuent des actions qui mettent leur sécurité en danger. L’usurpation, le pretexting et l’alarmisme font partie des techniques souvent utilisées par les attaquants pour piéger leurs victimes.

Vulnérabilités des applications web

Les attaquants ciblent fréquemment les applications web en raison de leur généralisation et des vulnérabilités [injections SQL, scripts intersites (XSS), mécanismes d’authentification non sécurisés…] dont elles peuvent faire l’objet. Les attaquants exploitent ces failles pour dérober des données, obtenir des accès non autorisés, voire perturber le fonctionnement de sites web.

Attaques réseau

Les attaquants visent l’infrastructure réseau des entreprises pour perturber le trafic, obtenir un accès non autorisé aux systèmes ou s’emparer de données sensibles. Les attaques par déni de service (DoS), les attaques par interception (MitM, Man-in-the-Middle) et les scans réseau sont des techniques couramment utilisées.

Exploits zero-day

Les exploits zero-day ciblent des vulnérabilités logicielles dont les éditeurs ou développeurs n’ont pas connaissance. Ces failles sont très dangereuses, car il n’existe aucun patch ni aucune mise à jour pour les corriger. Les attaquants utilisent les exploits zero-day pour accéder aux systèmes et dérober des informations sensibles avant que ces vulnérabilités ne soient révélées publiquement.

Mauvaises configurations cloud

On parle de mauvaise configuration cloud lorsque des services ou applications cloud ne sont pas configurés de manière sécurisée, ce qui les rend vulnérables aux attaques. Les exemples les plus courants sont les compartiments de stockage non sécurisés, les ports ouverts et les contrôles d’accès trop permissifs. Les attaquants peuvent exploiter ces erreurs pour accéder à des données sensibles ou perturber le fonctionnement des services cloud.

Attaques de la supply chain

Les attaques de la supply chain ciblent les éditeurs et fournisseurs tiers dans le but d’accéder aux systèmes ou données d’une organisation. Les cybercriminels peuvent compromettre les systèmes ou logiciels d’un fournisseur pour y introduire des malwares ou des portes dérobées (backdoor) donnant accès à un réseau d’entreprise.

Menaces internes

Les menaces internes désignent des incidents de sécurité provoqués par des individus qui possèdent un accès autorisé aux systèmes ou données de l’entreprise. Ces personnes peuvent compromettre – volontairement ou non – la sécurité pour des raisons malveillantes, par négligence ou par manque de connaissance des risques.

Attaques physiques

Les attaques physiques visent directement la sécurité des sites, des équipements ou des collaborateurs d’une organisation. Cela peut inclure le vol d’équipements, l’accès non autorisé à des zones restreintes ou l’endommagement du matériel.

Comment limiter les risques émanant de la surface d’attaque ?

Les entreprises en général, et leurs RSSI en particulier, doivent utiliser des solutions de gestion de la surface d’attaque interne et externe pour limiter les risques. Cela implique de prendre des mesures pour :

• Réduire le nombre de points d’entrée dans leurs systèmes et réseaux
• Identifier et patcher les vulnérabilités présentes dans leurs systèmes et applications
• Implémenter des contrôles d’accès et une authentification forte pour limiter l’accès aux systèmes et aux données sensibles
• Surveiller leurs systèmes et réseaux pour détecter toute activité inhabituelle et tout comportement suspect
• Examiner et adapter régulièrement leurs politiques et procédures de sécurité pour prendre en compte les dernières menaces et bonnes pratiques

Notre guide de l’ASM pour les RSSI recense des stratégies qui ont fait leurs preuves pour l’évaluation des risques, le contrôle des assets et la cybersécurité : Conseils aux RSSI pour bien gérer leur surface d’attaque

Évaluation de la surface d’attaque

Pour assurer la sécurité de votre entreprise, vous devez constamment évaluer et analyser votre surface d’attaque, vos vulnérabilités et vos protocoles de sécurité afin de détecter les menaces émergentes et les brèches pouvant aboutir à une exploitation.

Le scoring de la surface d’attaque et les audits de risques par des prestataires externes sont deux méthodes utiles pour jauger votre posture de sécurité. Elles vous éclairent sur votre exposition aux menaces et fournissent des recommandations pour améliorer votre sécurité.

Indicateurs et métriques d’évaluation

Le scoring de la surface d’attaque constitue un excellent moyen de mesurer votre exposition globale aux risques et l’efficacité de votre posture de sécurité. La plupart des solutions ASM intègrent des outils de scoring performants. Néanmoins, pour obtenir une visibilité complète sur les menaces et votre posture de sécurité, il peut être utile de demander à une équipe externe de réaliser une évaluation des risques.

L’évaluation de la surface d’attaque commence par l’examen des topologies réseau existantes, des inventaires d’assets ou encore des scans de vulnérabilité. À partir de ces informations, l’équipe d’évaluation des risques réalise des entretiens pour mieux cerner vos objectifs, vos préoccupations et, in fine, votre surface d’attaque.

À cela peuvent s’ajouter de la Threat Intelligence et une connaissance pointue des menaces et des vulnérabilités qui peuvent vous concerner directement. Les observations et les recommandations qui en découlent peuvent être adaptées à votre environnement et à vos enjeux de sécurité spécifiques, en mettant l’accent sur les problèmes critiques qui, à la lumière des tendances sectorielles, présentent le plus grand risque d’exploitation.

Cette approche permet aux entreprises de prioriser l’utilisation de leurs ressources, souvent limitées, pour garantir l’efficacité de leurs défenses et comprendre les étapes nécessaires pour optimiser leur posture de sécurité.

Découvrez comment une évaluation de la surface d’attaque peut vous aider à impulser et à améliorer votre programme ASM : Qu’est-ce que la gestion de la surface d’attaque ?

Impact de la transformation numérique sur la surface d’attaque

La transformation numérique et la généralisation du télétravail ont engendré une mutation de la surface d’attaque des entreprises. En face, les attaquants exploitent des vulnérabilités qui ne cessent de se multiplier sous l’impulsion de plusieurs tendances IT :

Connectivité accrue

Les projets de transformation numérique impliquent souvent l’intégration de nouveaux équipements, systèmes et technologies. Cette augmentation de la connectivité globale peut élargir la surface d’attaque, car chaque nouveau point de connexion introduit des vulnérabilités potentielles dans lesquelles les attaquants peuvent s’engouffrer.

Adoption du cloud

La transformation numérique va de pair avec la migration des services et des données vers le cloud. Bien que les CSP appliquent des mesures de sécurité robustes, toute erreur de configuration des ressources cloud, des contrôles d’accès et des transferts de données entre les environnements cloud et on-prem peut introduire de nouveaux vecteurs d’attaque.

Appareils connectés (IoT)

L’IoT est une composante clé de la transformation numérique. Cependant, ces équipements (capteurs intelligents, IoT industriel, etc.) peuvent constituer un point d’entrée pour les attaquants. Les appareils connectés non sécurisés ou mal gérés, en particulier lorsqu’ils sont déployés avec des mots de passe d’usine, peuvent être facilement exploités.

Utilisateurs mobiles

La transformation numérique favorise le télétravail et les technologies mobiles. Mais si elles apportent davantage de flexibilité, ces pratiques accroissent également la surface d’attaque en exposant les réseaux d’entreprise à des postes de travail et à des réseaux publics potentiellement non sécurisés. Les routeurs Internet non patchés constituent des vulnérabilités bien connues. Par ailleurs, les équipements mobiles peuvent devenir des vecteurs d’attaque lorsqu’ils ne sont pas correctement protégés.

Intégrations tierces

Les organisations intègrent souvent des plateformes et services tiers pour étendre leur écosystème numérique. Mais en l’absence d’une approbation et d’une protection adéquates, chaque intégration peut poser un risque. Les attaquants le savent et ciblent les vulnérabilités des systèmes tiers pour accéder au réseau de l’entreprise.

Pénurie de compétences en cybersécurité

Souvent, les projets de transformation numérique requièrent de nouvelles compétences en cybersécurité. Or, les entreprises rencontrent des difficultés à recruter et à fidéliser les talents capables de répondre à l’évolution des menaces dans ces nouveaux environnements.

Parmi les professionnels interrogés dans le dernier rapport ISC2 « Cybersecurity Workforce Study », neuf sur dix (92 %) affirment que leur entreprise souffre d’une pénurie de compétences, et 67 % estiment manquer d’experts en cybersécurité pour pouvoir prévenir et résoudre les incidents.

Cas d’usage de l’ASM

La gestion de la surface d’attaque (ASM) n’est pas une recette miracle, mais un ensemble d’outils que les entreprises de différents horizons peuvent utiliser et adapter à leur environnement pour répondre à leurs cas d’usages spécifiques.

L’exhaustivité et la flexibilité de ces outils permettent aux équipes de cybersécurité d’identifier et de neutraliser les vulnérabilités sur l’ensemble de la surface d’attaque. L’objectif : limiter le risque de cyberattaque, protéger les assets critiques, garantir la conformité aux réglementations, et renforcer la posture de sécurité globale de l’organisation.

Découvrez les cas d’usage de l’ASM et leur applicabilité à différents secteurs : Gestion de la surface d’attaque : principaux cas d’usage.

Questions fréquentes sur l’ASM