La gestion de la surface d'attaque externe (EASM) est une approche de la cybersécurité axée sur l'identification, la surveillance et l'atténuation des risques associées aux données, aux systèmes et aux technologies connectés au monde extérieur.
La surface d'attaque d'une organisation définit tout l'ensemble de vulnérabilités, de points d'accès et de vecteurs d'attaque que des acteurs malveillants peuvent exploiter pour obtenir un accès non autorisé aux systèmes et données. Les acteurs malveillants ciblent la surface d'attaque lorsqu'ils veulent perturber les systèmes, voler des données, demander une rançon ou effectuer toute autre action malveillante.
Chaque organisation possède une surface d'attaque interne et externe. La surface d'attaque interne comprend tout ce qui constitue l'environnement du réseau interne : infrastructure, appareils, applications, utilisateurs et plus encore.
La surface d'attaque externe , comme son nom l'indique, désigne toute la technologie orientée vers, et qui sert d'interface avec, le monde extérieur via Internet, les services cloud, la connectivité mobile, et ainsi de suite. Elle comprend également les connexions avec des fournisseurs tiers, des partenaires, des fournisseurs et des travailleurs à distance.
La gestion de la surface d'attaque externe (EASM) est le processus consistant à protéger les actifs, les ressources et les technologies exposés à l'extérieur. Elle bénéficie d'une attention particulière, car de nombreuses menaces proviennent d'organisations extérieures, et car la surface d'attaque externe est plus dynamique et complexe que jamais auparavant. Une organisation capable de gérer sa surface d'attaque externe de manière proactive peut fortement renforcer sa posture de sécurité.
Gestion de la surface d'attaque externe et gestion de la surface d'attaque
La gestion de la surface d'attaque (ASM) est un terme généralqui couvre l'intégralité de la surface d'attaque, à la fois interne et externe. La gestion de la surface d'attaque externe se concentre sur les risques externes uniquement. Les deux types de gestion de la surface d'attaque possède trois dimensions : numérique, physique et sociale/humaine. Toutes requièrent un processus continu en trois étapes : découverte, évaluation et atténuation.
Pourquoi l'EASM est-elle importante ?
L'EASM gagne de plus en plus en importance, à mesure que les réseaux deviennent interconnectés et ouverts. Aujourd'hui, les passerelles et les pare-feu, avec des vulnérabilités de routine et des tests de pénétration, ne suffisent plus pour repousser les acteurs malveillants. Aujourd'hui, les réseaux ont moins de « frontières fixes » à protéger avec ces méthodes traditionnels. Les cybercriminels profitent donc de nouvelles occasions pour accéder aux systèmes et données, afin d'accomplir leurs méfaits.
En parallèle, l'IT de l'entreprise est devenue très décentralisée. Les unités commerciales et les utilisateurs individuels peuvent utiliser les ressources cloud sans l'aide du département IT. Les applications et services de shadow IT se développent rapidement, et de nombreux employés utilisent leurs appareils personnels sur les réseaux de l'entreprise ou à des fins professionnelles.
Tout cela signifie que la surface d'attaque externe comporte plus que vulnérabilités que jamais auparavant. Elle nécessite donc une approche complète et commune de la gestion des cyber-risques. L'EASM permet de visualiser toute la surface d'attaque externe, et donc d'effectuer une surveillance et une atténuation en continu. Les équipes de cybersécurité peuvent ainsi comprendre les domaines de risque les plus importants pour leur organisation et mettre en place les actions nécessaires.
Contre quels éléments l'EASM offre-t-elle une protection ?
La plupart des vecteurs d'attaque (méthodes pour mener une cyberattaque) ciblent la surface d'attaque externe. Des vecteurs d'attaque fréquents sont par exemple les ransomware et les programmes de phishing, ainsi que des incursions visant à voler des données privées ou à valeur élevée, ou à perturber les systèmes opérationnels. L'EASM aide les équipes de sécurité à diminuer la surface d'attaque externe, afin que ces vecteurs aient moins de possibilités de s'introduire dans l'environnement de l'entreprise.
L'EASM permet également aux organisations de respecter les lois et les réglementations en matière de protection de la confidentialité et des données, en fournissant une meilleure visibilité sur la surface d'attaque externe et en permettant aux équipes de sécurité d'éviter ou de contenir les violations.
Exemples d'éléments de surface d'attaque externe
Tout système ou service accessible sur Internet peut faire partie de la surface d'attaque externe. Chaque organisation aura son propre mélange d'appareils et de technologies spécifique orientés vers l'extérieur et potentiellement exposés. Voici certains des appareils fréquents :
- Applications Web : Toute entreprise avec un site d'e-commerce ou un moteur de réservation exécute une application Web. Les applications Web constituent donc une partie importante de la surface d'attaque externe de nombreuses organisations, et sont accessibles à toute personne dotée d'une connexion à Internet. Si l'application Web est mal configurée ou insuffisamment sécurisée, un acteur malveillant peut utiliser ces vulnérabilités pour déployer des malware, voler des données ou accéder à des systèmes d'entreprise back-end connectés à l'application Web.
- Services cloud : Les services Cloud et l'infrastructure virtualisée offrent aux organisations un accès à des ressources de calcul pratiques, flexibles et hautement évolutives. Mais ils nécessitent une connexion réseau externe pour qu'une organisation puisse les utiliser, et sont donc exposés et potentiellement vulnérables aux attaques. Comme avec les applications Web, lorsque l'infrastructure cloud est mal configurée, les pirates peuvent exploiter ces points faibles.
- Systèmes d'accès à distance : L'explosion du travail hybride et à distance pendant et depuis la pandémie requiert que les employés accèdent aux systèmes et aux données de l'entreprise depuis leur réseau privé, ou depuis des réseaux potentiellement peu sécurisés sur la route. Les technologies utilisées pour sécuriser ces connexions, comme les réseaux privés virtuels (VPN, virtual private networks), sont ciblés par les attaquants et servent de voie d'accès dans les environnements IT de l'entreprise.
- Appareils d’Internet des objets (IdO) : De nombreux bâtiments et entreprises sont désormais compatibles avec l'IoT, des contrôles environnementaux aux systèmes de sécurité, y compris les domiciles des employés et les bureaux à distance. Ces appareils constituent également une partie croissante de la surface d'attaque externe.
Un autre domaine de l'exposition externe, que les organisations doivent prendre en compte dans leurs stratégies d'EASM, implique les relations avec les fournisseurs tiers. De nombreuses entreprises s'appuient sur des tiers pour les services commerciaux, financiers et techniques, comme les fournisseurs de services managés (MSP, managed service providers) pour les partenaires d'IT et de traitement des paiements. Toute connectivité entre ces tiers et les actifs IT de l'organisation peut être une cible potentielle pour les attaquants.
Comment fonctionne l'EASM ?
Tout comme la gestion de la surface d'attaque (ASM) globale, l'EASM implique un processus continu et répété de découverte, d'évaluation et d'atténuation.
Découverte
Une plateforme de cybersécurité avec des fonctionnalités de gestion de la surface d'attaque externe doit pouvoir identifier tous les actifs tournés vers l'extérieur, y compris ceux qui ne sont pas forcément inclus dans les inventaires existants. Les actifs et les éléments analysés dans le cadre du processus de découverte comprennent les services cloud, les applications Web, les adresses IP, les domaines et plus encore. Une solution EASM peut également découvrir des applications de shadow IT dans le cloud qui représentent la totalité des failles de cybersécurité (« inconnus »).
Évaluation
Suite à la découverte, la solution EASM peut ensuite être utilisée pour évaluer les risques liés à la surface d'attaque externe. Elle consiste généralement à chercher les erreurs de configuration, les logiciels dénués de correctifs, les systèmes obsolètes, les vulnérabilités connues et potentielles, et plus encore. Une fois les vulnérabilités identifiées, elles peuvent être hiérarchisées en fonction de leur niveau de risque relatif (ou notation des risques). L'organisation peut ainsi déterminer quels risques sont les plus urgents ou importants, ce qui permet d'attribuer les ressources de la manière appropriée.
Atténuation
L'atténuation peut impliquer la mise hors service des matériels obsolètes, la mise à jour et l'application de correctifs aux logiciels, la correction des erreurs de configuration, la gestion des applications shadow IT, et plus encore. Dans le cadre du processus EASM en cours, la surface d'attaque externe doit être surveillée en continu. Ainsi, si l'environnement IT et le paysage des menaces évoluent, l'organisation peut être proactive et maintenir une posture de sécurité solide.
Quels sont les avantages de l'EASM ?
L'EASM possède un certain nombre d'avantages pour les organisations :
- Visibilité : L'EASM fournit aux organisations une vue complète sur leurs actifs technologiques orientés vers l'extérieur, et découvre les vulnérabilités auparavant inconnues pour accéder à des cyberdéfenses plus solides et complètes.
- Efficacité : L'EASM offre une réponse aux incidents plus rapide et précise grâce à une détection des menaces accélérée et à une vision d'ensemble plus complète de l'environnement IT. Il devient ainsi possible de contenir les menaces de manière plus rapide et exhaustive.
- Conformité : Les organisations de nombreux secteurs doivent respecter les cadres juridiques et réglementaires de protection de confidentialité des données. L'EASM soutient la conformité dans le cadre d'une bonne approche globale de gestion des cyber-risques.
Tous ces éléments combinés fournissent une posture de sécurité plus solide globalement, fondée sur la veille en temps réel et les réponses de cybersécurité ciblées.
Comment l'EASM s'intègre-t-elle à la gestion des cyber-risques ?
La gestion des cyber-risques permet d'améliorer la connaissance de la situation de cybersécurité d'une organisation, en identifiant, en hiérarchisant et en atténuant les menaces. L'EASM n'est qu'une petite portion du cadre global de gestion des cyber-risques.
De manière générale, la gestion des cyber-risques vise à aider les organisations à être plus proactive concernant l'identification et la gestion des menaces, avec des mesures et des contrôles de sécurité adaptés selon les besoins spécifiques, le contexte du secteur et l'environnement des menaces pour l'entreprise en question. Son objectif est d'apporter des informations en temps réel sur les menaces grâce à une surveillance et à des évaluations continues, et de s'assurer que tous les employés partagent le même état d'esprit proactif sur la cybersécurité.
Les phases de gestion des cyber-risques sont identiques à celles de l'EASM : découverte, évaluation et atténuation.
Une solution de gestion de l'exposition aux cyber-risques complète comprend l'ASM, l'EASM, la gestion de la surface d'attaque des cyberactifs (CAASM), la gestion des risques de vulnérabilité, la posture de sécurité, la quantification des risques de conformité et l'évaluation des risques, ainsi que les politiques, les procédures et d'autres composants liés à la gouvernance, pour s'assurer que les objectifs sont clairs et que le suivi est cohérent.
Où puis-je obtenir de l'aide concernant l'EASM ?
L'EASM est une composante importante de l'ASM, mais pour créer une véritable résilience face aux risques, les organisations ont besoin de différentes fonctionnalités d'exposition aux cyber-risques de pointe comme l'EASM, la gestion de la surface d'attaque des cyber-actifs (CAASM), la gestion des vulnérabilités et la gestion de la posture de sécurité. Trend Vision One offre une solution de gestion de l'exposition aux cyber-risques qui associe toutes ces fonctionnalités pour vous permettre de surveiller en continu les points d'entrée, de hiérarchiser les actions d'atténuation en fonction de l'impact, de traduire les risques en termes financiers, et de prédire les menaces futures pour neutraliser les risques avant qu'ils ne se concrétisent.
Découvrez comment Cyber Risk Exposure Management peut vous aider à dépasser la simple gestion de la surface d'attaque.