Gestion de la surface d'attaque externe (EASM)

La gestion de la surface d'attaque externe (EASM, external attack surface management) est un processus qui permet d'identifier, de surveiller et de sécuriser les actifs numériques exposés à l'extérieur, notamment :

• Les adresses IP publiques
• Les domaines
• Intégrations tierces
• Les services cloud
• Les applications web

Les outils EASM détectent les risques tels que les vulnérabilités, les mauvaises configurations, le Shadow IT et l'exposition liée aux tiers afin de réduire les cybermenaces externes.

Alors que les cyberattaquants exploitent de plus en plus les points d'entrée non protégés, l'EASM vous aide à identifier votre exposition du point de vue d'un attaquant afin que vous puissiez élaborer une stratégie de cyber-défense exhaustive et proactive.

Alors que votre surface d'attaque externe ne cesse de grandir, votre entreprise est confrontée à des défis uniques en matière d'EASM :

• L'adoption du cloud, le télétravail et les solutions SaaS tierces augmentent de manière exponentielle le nombre de vos assets ou actifs exposés à l'extérieur.
• Les employés sont susceptibles de déployer des plateformes et des outils non autorisés qui échappent à la surveillance IT, créant ainsi des points d'entrée non gérés que les attaquants pourraient exploiter.
• Les cyberattaquants peuvent utiliser des outils de reconnaissance avancés, l'automatisation, l'IA et l'apprentissage automatique pour trouver et exploiter les failles de sécurité de votre périmètre numérique.
• Votre entreprise est confrontée à de plus en plus de normes de sécurité et de confidentialité en matière de gestion des actifs externes, telles que le Règlement général sur la protection des données (RGPD), la loi California Consumer Privacy Act (CCPA) et les normes Payment Card Industry Data Security Standards (PCI DSS).

La gestion de la surface d'attaque externe vous aide à relever ces défis. Il s'agit d'un élément important d'une stratégie globale de gestion de l'exposition. L'évaluation en continu de votre surface d'attaque externe permet d'identifier tous vos assets exposés à l'extérieur, qui sont généralement dans l'angle mort des équipes de sécurité et IT. Vous pouvez ainsi détecter et éliminer les failles de sécurité avant que les attaquants ne les exploitent.

Si vous ne gérez pas efficacement votre surface d'attaque externe, vous augmentez le risque de violation de vos données, de perturbations opérationnelles et d'atteinte à votre réputation.

• L'EASM commence par la découverte passive des assets. Elle recueille des données à partir de registres publics, de DNS, de bases de données WHOIS et de journaux de transparence des certificats afin d'identifier les assets connus et inconnus, notamment les domaines historiques et les infrastructures précédemment utilisées.
• La plateforme effectue ensuite des scans actifs et une prise d'empreinte, validant ainsi les assets découverts en analysant les ports ouverts, les services en cours d'exécution, les configurations TLS et les applications web afin de déterminer la propriété des assets et les vulnérabilités potentielles.
• Grâce à l'énumération des domaines et sous-domaines, vous pouvez trouver les domaines, sous-domaines et services cloud enregistrés tout en surveillant les enregistrements DNS pour détecter les changements. Cela permet de prévenir les risques tels que les prises de contrôle de sous-domaines.
• Les outils EASM permettent également de cartographier les plages IP et les ressources cloud. L'EASM peut trouver des assets accessibles depuis l'extérieur dans AWS, Azure, Cloudflare et GCP pour révéler les mauvaises configurations, comme les buckets de stockage exposés et les machines virtuelles mal sécurisées.

Une fois que le système a découvert des assets, la surveillance en continu et l'évaluation du risque permettent de suivre en temps réel les angles morts de sécurité et de signaler les problèmes tels que les certificats SSL expirés, les ports ouverts, les bases de données accessibles au public et les panneaux d'administrateurs exposés.

La principale différence entre l'EASM et l'ASM interne (IASM) réside dans le fait que cette dernière opère au sein de votre réseau, et nécessite donc un accès aux systèmes de scan. L'EASM identifie les risques en dehors de votre réseau en utilisant des sources de données publiques.

• La gestion de la surface d'attaque interne est axée sur la sécurisation de votre environnement IT interne, notamment de vos serveurs sur site, de vos applications internes et des appareils de vos employés. Elle identifie les vulnérabilités, les mauvaises configurations et les menaces internes.
• L'ASM externe (EASM) détecte et protège les assets accessibles au public, tels que les applications web, les services cloud et les enregistrements DNS. Elle effectue des scans en continu à la recherche de systèmes exposés, de mauvaises configurations, de Shadow IT et de risques liés à des tiers, afin que les attaquants ne puissent pas exploiter des assets inconnus ou non surveillés.

Utilisez les outils de gestion de la surface d'attaque externe pour :

• Trouver automatiquement tous les assets ou actifs exposés sur Internet, telles que les ressources non gérées ou abandonnées comme le Shadow IT et les applications héritées.
• Réunir facilement toutes les données relatives à la surface d'attaque externe, notamment à partir des bases de données de gestion des configurations (CMDB), des plateformes de gestion des vulnérabilités et des plateformes d'évaluation de l'exposition (EAP).
• Attribuer des niveaux de risque en fonction de la criticité des vulnérabilités afin de prioriser les menaces externes les plus urgentes.
• Détecter les points d'entrée potentiels qui augmentent le risque cyber, tels que les ports ouverts, les mauvaises configurations et les logiciels obsolètes que les attaquants pourraient exploiter.
• Maintenir en permanence une visibilité en temps réel sur les changements de la surface d'attaque, comme les vulnérabilités ou les expositions récemment découvertes.
• Créer des rapports faciles à comprendre avec des recommandations d'atténuation personnalisées.

• Identification de tous les assets publics tels que les domaines oubliés, les instances cloud et les services tiers, afin de réduire les risques liés au Shadow IT.
• Scan en continu afin de détecter les mauvaises configurations, les ports ouverts, les bases de données exposées et les paramètres de sécurité faibles avant que les attaquants ne les exploitent.
• Obtention d'une vue en temps réel de votre surface d'attaque externe pour détecter les menaces émergentes telles que les domaines de phishing, les tentatives d'emprunt d'identité et les fuites d'informations d'authentification.
• Détection et élimination des assets inutiles ou abandonnés afin de réduire votre empreinte externe et de compliquer la découverte de points d'entrée par les attaquants.
• Sécurisation des environnements, des API, des buckets de stockage et des charges de travail cloud.
• Garantie de conformité aux cadres tels que NIST, ISO 27001 et PCI DSS. 
• Obtention d'informations permettant de prioriser les efforts de remédiation en simulant la façon dont les attaquants découvrent et ciblent vos assets.

Pour réduire votre surface d'attaque externe, il existe des stratégies de diminution de votre empreinte numérique globale.

• Cartographiez et inventoriez vos assets numériques pour comprendre toute l'étendue de votre surface d'attaque externe. Il s'agit notamment d'identifier tous les systèmes, applications et services exposés à Internet. Un inventaire des matériels et logiciels est un principe fondamental de certains cadres comme NIST ou CIS Controls.
• Réduisez la complexité de votre environnement IT en supprimant les applications, les appareils et les fonctions inutiles.
• Effectuez des scans réguliers pour rechercher les vulnérabilités et corrigez rapidement les mauvaises configurations. Il s'agit notamment d'évaluer la configuration de la sécurité et d'établir un score de risque quantitatif.

Si l'EASM et la gestion de la surface d'attaque des cyber-assets (CAASM) sont axées sur la visibilité et la réduction du risque, leurs champs d'application diffèrent.

Portée de l'EASM

• Axée sur les assets visibles des attaquants externes.
• Détecte les risques liés au Shadow IT, aux applications web vulnérables et aux intégrations tierces.
• S'appuie sur la threat intelligence pour aider à prioriser les menaces externes et les vulnérabilités auxquelles remédier.

Portée de la CAASM

• Offre une visibilité interne sur les environnements IT, IoT, OT et cloud.
• Cartographie les relations entre les actifs ou assets, les configurations et les identités pour une évaluation complète du risque.
• Aide à gérer les vulnérabilités et les contrôles de sécurité au sein de votre infrastructure interne.

En combinant l'EASM et la CAASM, vous obtenez un aperçu complet des cyber-expositions externes et internes.

Dans le cadre de la gestion continue de l'exposition aux cybermenaces (CTEM), l'EASM joue un rôle essentiel dans la définition du champ d'application et la phase de découverte.

Définir le champ d'application permet de connaître les limites de votre surface d'attaque externe en identifiant tous les assets ciblés par les attaquants. L'EASM facilite cette étape en cartographiant en continu les assets connus et inconnus exposés à Internet, ce qui vous permet de définir et d'affiner l'étendue de votre surface d'attaque en fonction de l'évolution des risques.

La phase de découverte permet d'identifier et de cataloguer les assets externes, notamment le Shadow IT et les expositions liées aux tiers. L'EASM améliore la découverte grâce à la reconnaissance automatisée, à la corrélation des données et à la threat intelligence afin de dévoiler les assets cachés, oubliés ou mal configurés que les attaquants pourraient exploiter.

Voici quelques conseils pour vous aider à mettre en œuvre les stratégies EASM dans le cadre de votre programme global de gestion du risque :

1. Identifiez vos assets ou actifs externes les plus critiques à protéger.
2. Évaluez les outils EASM en fonction de la précision de leur découverte, des capacités de surveillance et de la facilité avec laquelle ils peuvent s'intégrer à vos systèmes existants.
3. Veillez à ce que la plateforme EASM s'intègre parfaitement à vos solutions d'évaluation des vulnérabilités et de gestion des vulnérabilités, à vos outils d'inventaire des assets et à la plupart des cadres de sécurité.
4. Anticipez les menaces en réévaluant régulièrement votre surface d'attaque externe et en vous adaptant à l'évolution du paysage des menaces.
5. Établissez des workflows entre les équipes IT, de sécurité et de conformité afin de rationaliser l'atténuation du risque.

La mise en œuvre de l'EASM dans le cadre d'une stratégie globale de gestion de l'exposition peut minimiser le risque sur la surface d'attaque et favoriser la résilience de votre entreprise.

Vous souhaitez savoir comment l'EASM peut s'intégrer à votre cadre de cybersécurité ? Dans ce cas, n'hésitez pas à vous associer à un fournisseur de gestion de la surface d'attaque externe de premier plan, comme Tenable. Les outils de gestion de la surface d'attaque de Tenable s'intègrent parfaitement aux pratiques ASM et aux programmes CTEM.