La gestion de la surface d'attaque (ASM) désigne la détection, l'évaluation et l'atténuation des menaces dans l'écosystème IT d'une organisation.
La gestion de la surface d'attaque (ASM, attack surface management) est une approche de la cybersécurité qui vise à aider les organisations à mieux défendre leurs données et leurs systèmes, en rendant les menaces plus visibles. Il s'agit de savoir où sont présents les risques, de comprendre leur gravité relative et d'agir pour combler les failles de sécurité liées aux personnes, aux processus et aux technologies.
L'ASM est une approche de la cybersécurité traditionnelle qui inclut la détection et la surveillance des actifs. Elle considère les menaces potentielles comme le ferait un attaquant : comme des possibilités de contourner les défenses d'une organisation et d'infliger des dégâts financiers, opérationnels ou à la réputation.
Qu'est-ce que la surface d'attaque ?
La surface d'attaque est la somme de toutes les façons dont un attaquant pourrait accéder au réseau, aux données ou aux ressources IT d'une organisation. Elle se compose de trois parties :
- La surface d'attaque numérique concerne tout le matériel, tous les logiciels et toutes les données accessibles depuis l'extérieur, même s'ils sont protégés par le chiffrement, des protocoles d'authentification, des pare-feu ou d'autres mesures.
- La surface d'attaque physique se compose de tous les équipements et appareils physiques qui peuvent être volés ou utilisés pour causer une compromission ou une violation.
- La surface d'attaque sociale ou humaine désigne toutes les personnes d'une organisation pouvant accéder à des systèmes et à des données et qui peuvent être trompées, subir du chantage ou être autrement manipulées (par exemple, par un programme d'ingénierie sociale tel que le phishing) pour causer une compromission ou une violation.
Gestion de la surface d'attaque par rapport à la gestion des cyber-risques
La gestion de la surface d'attaque (ASM) est un élément essentiel de la gestion des cyber-risques. Les deux aident les organisations à améliorer leurs connaissances de la cybersécurité, en identifiant, en hiérarchisant et en atténuant les menaces de manière proactive.
La gestion des cyber-risques est une approche de cybersécurité globale qui va au-delà de l'ASM. Elle se concentre sur la connaissance et l'atténuation des risques dans l'entreprise. Un cadre efficace de gestion des cyber-risques aide à déterminer quels risques sont les plus pertinents, en soutenant la « prise de décision tenant compte des risques » pour réduire l'exposition globale aux menaces. Cela permet aux équipes de sécurité de renforcer les défenses, de minimiser les vulnérabilités et d'informer les processus globaux de gestion des risques et de planification stratégique de leur organisation.
Gestion de la surface d'attaque et gestion de la surface d'attaque (EASM) externe (EASM)
La gestion de la surface d'attaque externe (EASM) se concentre spécifiquement sur les vulnérabilités et les risques associés aux appareils et systèmes tournés vers l'extérieur, y compris ceux connectés à Internet. La surface d'attaque interne, qui peut inclure l'équipement sur site et les ressources partitionnées, n'est pas couverte par l'EASM.
Pourquoi l'ASM est-elle importante ?
L'ASM est devenue extrêmement importante, car les environnements IT d'entreprise sont plus dynamiques et interconnectés que jamais auparavant. La surface d'attaque est donc plus étendue et variée. Les approches traditionnelles de détection et de surveillance des actifs, et les solutions ponctuelles de cybersécurité à objectif unique, ne peuvent pas fournir la visibilité complète, la veille ni la protection requises. L'ASM, quant à elle, permet aux équipes de sécurité de réduire le nombre d'accès à l'écosystème IT d'une entreprise, et d'acquérir une visibilité en temps rée sur les vulnérabilités émergentes et les vecteurs d'attaque.
Contre quels éléments l'ASM offre-t-elle une protection ?
L'ASM aide les organisations à se défendre contre un large éventail de menaces, également nommés « vecteurs d'attaque ». Il s'agit notamment des suivants :
- Cyberattaques : des ransomware, des virus et d'autres malware peuvent être injectés dans les systèmes de l'entreprise. Les attaquants peuvent ainsi accéder aux réseaux et aux ressources, exfiltrer des données, pirater des appareils et endommager les actifs et les données.
- Problèmes de codage et erreurs de configuration : les erreurs de configuration des technologies de réseau et cloud, comme les ports, les points d'accès, les protocoles et autres, laissent des « portes » ouvertes pour les attaquants et sont une cause fréquente de violations.
- Programmes de phishing : ils comprennent les emails d'arnaque, les SMS et les messages vocaux (et même, à présent, les deepfakes et appels vidéo générés par l'IA) qui trompent les utilisateurs et les invitent à se livrer à des actions qui compromettent la cybersécurité. Il peut s'agir de partager des informations sensibles, de cliquer sur des liens menant à des malware, de verser des fonds qui ne devraient pas être payés, et plus encore. L'IA a rendu le phishing plus difficile à détecter et plus ciblé.
- Technologies et applications obsolètes : les logiciels, le firmware et les systèmes d'exploitation des appareils doivent être correctement codés et doivent recevoir les correctifs nécessaires pour contrer les vulnérabilités et les menaces connues. Sans cela, ils peuvent permettre aux attaquants de pénétrer au sein d'une organisation. Les appareils anciens qui font toujours partie de l'environnement IT, mais qui ne bénéficient d'aucune maintenance ou qui ne sont pas utilisés activement, peuvent également constituer des points d'accès pratiques pour les attaques, car ils ne sont pas souvent surveillés.
- Mots de passe et chiffrement peu sécurisés : les mots de passe faciles à deviner, que ce soit parce qu'ils sont évidents, trop simples ou réutilisés pour plusieurs comptes, peuvent permettre à des acteurs malveillants d'accéder aux ressources numériques d'une organisation. Les informations d'identification volées sont également très demandées parmi les cybercriminels, pour des raisons similaires. Le chiffrement a pour but de modifier les informations, afin que seules les personnes autorisées puissent les lires. S'il n'est pas assez sécurisé, les pirates peuvent extraire les données, puis les utiliser pour lancer des attaques à plus grande échelle.
- Shadow IT : les outils utilisés par les employés d'une organisation qui ne font pas partie de l'environnement IT connu ou sanctionné sont considérés comme de l'informatique fantôme, ou « shadow IT ». Ils peuvent créer des vulnérabilités, justement parce que l'équipe de cybersécurité ne les connaît pas. Il s'agit notamment d'applications, de dispositifs de stockage portables, de téléphones et tablettes personnel, et plus encore.
Comment fonctionne le ASM ?
L'ASM comporte trois phases principales : découverte, évaluation et atténuation. La surface d'attaque évolue en permanence, c'est pourquoi les trois phases doivent être suivies en continu.
Découverte
La phase de découverte définit la surface d'attaque et tous les actifs qui la composent. L'objectif de la découverte et d'identifier tous les appareils, logiciels, systèmes et points d'accès connus et inconnus qui composent la surface d'attaque, y compris les applications de shadow IT, les technologies tierces connectées et les technologies qui ne faisaient pas partie des inventaires précédents. De nombreuses solutions proposent la découverte dans le cadre de leur solution d'ASM, mais vous devez faire preuve de discernement. Recherchez une solution qui intègre la conformité et la quantification des cyber-risques pour obtenir une image d'ensemble des risques, au-delà de la découverte des actifs, afin de connaître l'exposition réelle. Un processus de découverte en continu permet de suivre l'évolution de la surface d'attaque au fil du temps.
Évaluation
Après la découverte, les équipes de sécurité évaluent les vulnérabilités potentielles de chaque actif, des erreurs de configuration et de codage aux facteurs sociaux humains, comme la susceptibilité, les programmes de phishing ou les attaques d'usurpation d'identité (BEC, business email compromise). Chaque risque est noté, ce qui permet aux équipes de sécurité de traiter en priorité les plus urgents.
La notation des risques se fonde généralement sur le niveau de risque, la probabilité d'une attaque, les dommages potentiels et la difficulté de la remédiation. Idéalement, elle prend également en compte la veille mondiale sur les menaces, pour déterminer quelles vulnérabilités sont exploitées le plus souvent et facilement.
Exemple : Si un logiciel donne accès à des données sensibles, est connecté à Internet et contient une vulnérabilité connue qui a déjà été exploitée par des attaquants, la priorité est sans doute de publier un correctif.
Une fois tous les risques notés, le total est calculé afin de fournir un score de risque global pour l'entreprise. Cela permet à l'organisation de comparer et de surveiller son profil de risque au fil du temps.
Atténuation
L'atténuation consiste à agir pour traiter les vulnérabilités découvertes. Il peut s'agir d'exécuter des mises à jour du logiciel ou d'installer des correctifs, de configurer des contrôles et du matériel de sécurité, ou de mettre en place des cadres de protection comme le Zero Trust. Elle peut également consister à se débarrasser des systèmes et logiciels anciens. Dans tous les cas, vous devez absolument disposer de la solution adaptée pour traiter l'atténuation de manière évolutive.
Quels sont les avantages de l'ASM ?
Une gestion de la surface d'attaque efficace offre un large éventail d'avantages aux organisations, qu'il s'agisse de renforcer la posture de sécurité globale ou d'apporter plus de visibilité sur l'intégralité de l'environnement IT et de la surface d'attaque. Elle permet ainsi de réduire les risques, grâce à une surveillance et à une réévaluation continues qui réduisent les niveaux de risque.
Cela offre une grande tranquillité d'esprit à l'équipe de sécurité, tout en apportant d'importants avantages à l'entreprise dans son ensemble. La visibilité sur la surface d'attaque augmente la transparence et le contrôle des actifs, ce qui réduit les risques de cyberattaques et augmente les économies. Lorsque les équipes de sécurité peuvent agir plus rapidement et efficacement, les organisations peuvent mieux assurer la continuité des activités. Les attaques étant identifiées et atténuées plus rapidement, le risque de perturbation importante diminue.
Comment pouvons-nous déployer l'ASM ?
L'ASM nécessite une solution de gestion de l'exposition aux cyber-risques intégrée à une plateforme de cybersécurité qui suit une approche proactive pour mener les phases de découverte, d'évaluation et d'atténuation.
Le choix d'une plateforme dotée de fonctionnalités solides d'opérations de sécurité, comme la gestion des informations et des événements de sécurité (SIEM), la détection et la réponse aux incidents sur les endpoints (EDR), et la détection et la réponse étendues (XDR), est particulièrement important. La XDR, en particulier, fournit des données et des analyses essentielles sur les performances des protections actuelles de la surface d'attaque. Ces informations aident à rendre la phase d'évaluation des risques plus précise.
Où puis-je obtenir de l'aide concernant la gestion de la surface d'attaque ?
La gestion de la surface d'attaque n'est pas suffisante face au paysage actuel des risques. Les organisations ont besoin de fonctionnalités de gestion de l'exposition aux cyber-risques pour pouvoir prédire, découvrir, évaluer et atténuer les risques de manière proactive, afin de réduire fortement l'étendue de vos cyber-risques.
Trend Vision One™ offre une solution Cyber Risk Exposure Management (CREM) qui adopte une approche révolutionnaire en associant des fonctionnalités clés, comme External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Vulnerability Management et Security Posture Management, dans le cloud, les données, l'identité, les API, l'IA, la conformité et les applications SaaS, en une solution unique, puissante et simple d'utilisation.
Découvrez comment Cyber Risk Exposure Management peut vous aider concernant la gestion de la surface d'attaque et bien plus encore.