Cet article est une traduction de l’article en anglais: External exposure management: The key to safeguarding your attack surface – Atos. Il est issu de la 12ème édition du Digital Security Magazine, une publication de référence dans le domaine de la sécurité numérique.
Le nombre de menaces pesant sur la cybersécurité continue de progresser rapidement chaque année. Les équipes de sécurité travaillent sans relâche pour atténuer chaque alerte qualifiée de prioritaire, mais elles sont trop nombreuses et il s’avère difficile de distinguer les vraies menaces des fausses alertes. Comment les distinguer pour se protéger ou plus précisément, pour protéger nos surfaces d’attaque, avec plus d’efficacité ?
Ces menaces proviennent de nombreuses sources. Par exemple, lorsque les pirates adoptent de nouvelles techniques d’attaque, ce qui se produit quotidiennement. D’autres menaces proviennent de la pile technologique de l’entreprise, qui ne cesse de gonfler. Mais le facteur principal est le nombre de systèmes et de réseaux exposés à Internet, ainsi que la nature dynamique du Cloud et du paysage des cybermenaces qui peuvent entraîner une variation des surfaces d’attaque d’environ 9 % par mois. Il s’agit là d’un défi majeur pour les équipes de sécurité. Plus la surface d’attaque est vaste et complexe, plus il est difficile de découvrir des actifs cachés et non gérés, qui représentent aujourd’hui plus de 50 % des violations.
En conséquence, les menaces passent souvent inaperçues et la remédiation devient difficile à mettre en œuvre. À tout moment, votre surface d’attaque peut être compromise, des données clients peuvent être exfiltrées et le coût pour l’entreprise devient réel. Voici un fait à retenir : Aujourd’hui, une violation de données coûte en moyenne 4,35 millions de dollars par incident.
Comment retrouver dans la botte de foin les aiguilles les plus dangereuses?
Ce n’est un secret pour personne que les équipes de sécurité ont une capacité limitée à inventorier tous les actifs. D’autre part, elles sont inondées de milliers d’alertes. Mais combien d’entre elles sont réellement critiques ? Et plus important encore, comment déterminer quelles alertes doivent être traitées en priorité ?
Pour isoler les problèmes réellement critiques, il faut d’abord avoir une bonne visibilité sur la surface d’attaque, mais surtout une compréhension approfondie du contexte et de la finalité des actifs affectés. Une fois cette base établie, les équipes de sécurité peuvent calculer des trajectoires d’attaque et prédire quelles sont les menaces spécifiques les plus importantes, par exemple celles qui sont susceptibles de causer de graves dommages financiers ou des atteintes à la réputation à l’entreprise. L’organisation peut ensuite établir des priorités et prendre des mesures correctives pour obtenir un impact maximal.
Cependant, tout cela est plus facile à dire qu’à faire. Par le passé, les équipes de sécurité essayaient de colmater les vulnérabilités en acquérant des solutions ponctuelles pour des problèmes spécifiques. Elles rajoutaient encore et encore des outils à leur pile de sécurité, entraînant une inflation de la pile. Certaines de ces anciennes solutions de détection des menaces fonctionnaient, mais seulement à petite échelle.
Une étude menée par Cycognito avec ESG a montré que les professionnels de la sécurité ne prennent pas en compte les charges de travail dans le Cloud ou les actifs de tiers au moment de définir la surface d’attaque. Ainsi de nombreux problèmes ne sont pas pris en compte. Pourtant, les surfaces d’attaque externes sont vastes et complexes. Une organisation peut disposer de centaines voire de milliers de systèmes, d’applications, d’instances Cloud, de chaînes d’approvisionnement, d’appareils IoT et de données exposés à Internet, souvent disséminés dans des filiales, des Clouds multiples et des actifs gérés par des tiers.
Les attaquants en sont conscients. Ils explorent sans relâche la surface d’attaque à la recherche du chemin de moindre résistance et de la faille que les équipes de sécurité ne surveillent pas. Malheureusement, c’est tout ce dont les pirates ont besoin pour s’introduire. Pendant ce temps, les équipes de sécurité ont la tâche difficile d’identifier les expositions qui rendent leur organisation la plus vulnérable, puis de prendre des mesures pour protéger ces points d’entrée.
La technologie n’est pas tout. Les entreprises doivent prendre du recul et repenser leur approche en matière de protection de la surface d’attaque.
L’essor de la gestion de l’exposition
La gestion de l’exposition en tant que discipline a gagné en popularité parmi les responsables de la sécurité et les groupes d’analystes tels que Gartner et Forrester. Cette démarche prend en compte le renseignement sur les cybermenaces (CTI), mais offre une approche plus complète de la protection de la surface d’attaque. Elle s’adapte à l’évolution constante du paysage des menaces, en partant du principe qu’une exposition à faible risque aujourd’hui peut devenir à haut risque demain, et qu’il suffit d’un nouveau type d’attaque ou d’une mauvaise configuration pour créer une ouverture.
La gestion de l’exposition commence par assurer la visibilité. En 2022, Gartner recommandait un « inventaire constamment mis à jour de la surface d’attaque croissante de l’entreprise », soulignant que « même de petits ajouts à l’empreinte numérique, apparemment sans conséquence, peuvent affaiblir les contrôles de sécurité et les efforts de protection des données d’une organisation ».
L’autre pilier essentiel de la gestion de l’exposition est la hiérarchisation des menaces en fonction de leur potentiel de risque et de préjudice dans le monde réel. Pour mesurer le risque opérationnel d’une menace donnée, il faut bien comprendre le contexte de chaque actif exposé. Par exemple, quelle est la finalité de cet actif ? Traite-t-il des données importantes ? La contextualisation est fastidieuse et laborieuse, mais les entreprises peuvent la gérer à grande échelle en s’appuyant sur l’automatisation, qui permet aux équipes de sécurité d’identifier, de hiérarchiser et de gérer les menaces sans pour autant augmenter les effectifs.
L’adoption d’une approche de gestion de l’exposition peut transformer le travail des équipes de sécurité, en leur offrant les possibilités suivantes:
- Inventorier automatiquement la quasi-totalité des actifs exposés, qu’ils soient internes ou externes, puis fournir des données vitales et exploitables à leur sujet.
- Déterminer automatiquement l’importance opérationnelle des actifs exposés et les attribuer au bon responsable au sein de l’organisation.
- Identifier les voies d’attaque potentielles (exploitabilité) pour chaque actif.
- Hiérarchiser les risques en fonction de l’importance de l’actif, de son exploitabilité et de la probabilité d’une attaque sur la base de renseignements sur les auteurs de menaces connus.
- Remédier efficacement aux menaces.
Pour résumer, l’atténuation efficace des risques est rendue possible par l’inventaire automatisé des actifs et des responsables associés, la détection des menaces, l’intégration d’informations contextualisées sur les menaces, la création de tickets et l’atténuation des risques, lorsque cela est possible, la validation automatisée de chaque action corrective étant la dernière étape à viser.
Le rôle des services gérés
Pour les organisations de sécurité qui doivent en faire toujours plus avec des ressources limitées, la mise en place d’un programme complet de gestion de l’exposition peut sembler décourageante.
Les fournisseurs de services gérés (FSG) peuvent apporter leur aide à cet égard. Ils jouent un rôle clé dans le domaine de la sécurité depuis des décennies. Les FSG peuvent couvrir tout le spectre de la gestion de l’exposition, depuis les services de détection et de réponse les plus modernes jusqu’aux services de veille sur les menaces, de gestion des vulnérabilités et de CERT (computer emergency response team). Leur activité les oblige à rester à la pointe des nouvelles technologies, qu’ils associent à des services sous forme d’offres groupées. Ils peuvent également contribuer à décharger les unités assurant la gestion quotidienne des systèmes et protocoles de gestion de l’exposition. Il convient de noter que la mise en œuvre de la gestion de l’exposition par l’intermédiaire d’un FSG offre ce qui constitue peut-être le déploiement le plus rapide.
La gestion de l’exposition représente l’avenir
Les cyberattaquants ont montré que leur approche était efficace. Ils cherchent à opérer là où existe un manque de visibilité. Pour garder une longueur d’avance sur les pirates, les organisations doivent penser comme eux. La gestion de l’exposition externe adopte une approche holistique pour gérer l’ensemble de la surface d’attaque, depuis l’identification de l’exposition jusqu’à la remédiation, en passant par la hiérarchisation des priorités.
Mais pour franchir le pas, il faut changer d’état d’esprit et de ressources. Les fournisseurs de services de gestion peuvent être d’excellents partenaires sur ce parcours. Ils peuvent aider à mettre en œuvre un programme exhaustif incluant la redéfinition de la surface d’attaque d’une organisation et des politiques de gestion des risques, ainsi que le choix des technologies qui protégeront efficacement les actifs importants contre les menaces.