Qu'est-ce que la CAASM ?

La gestion de la surface d'attaque des cyber-assets (CAASM, Cyber asset attack surface management) est un moyen proactif d'identifier, de gérer et de réduire votre surface d'attaque cyber. La CAASM offre une visibilité unifiée sur l'ensemble de vos assets, y compris les environnements sur site, dans le cloud et tiers. 

Elle aide les équipes de sécurité à inventorier et à corréler les données provenant de plusieurs sources pour mieux comprendre chaque asset connecté et les risques associés.

À mesure que votre entreprise adopte de nouvelles technologies et étend son empreinte numérique, sa surface d'attaque croît de façon exponentielle, créant des failles de sécurité et des vulnérabilités que les attaquants peuvent exploiter. 

Les outils traditionnels de gestion des assets ne permettent pas d'obtenir une vue consolidée des différents environnements. En unifiant la visibilité des assets grâce à la CAASM, vous pouvez prioriser plus efficacement le cyber-risque et y remédier de manière proactive.

Le rôle central des outils de CAASM est de fournir un inventaire unifié de toutes les données connues sur les assets, les risques et les configurations. 

Si certains permettent de scanner la surface d'attaque dans le cadre d'une surveillance passive ou active, la plupart des outils de CAASM s'intègrent directement aux outils existants grâce à des API afin d'agréger les informations sur les assets. 

Les sources de données courantes comprennent la gestion des assets IT, la base de données de gestion des configurations (CMDB), la découverte du réseau, l'évaluation de vulnérabilités, la gestion de la surface d'attaque externe (EASM), la détection et la réponse des terminaux (EDR), la détection et la réponse étendues (XDR), la sécurité du cloud, la gestion des informations et des événements de sécurité (SIEM), la sécurité des technologies opérationnelles (OT), la gestion des identités et des accès, l'analyse de composition logicielle et le DevOps, entre autres. 

La CAASM collecte des informations sur les assets à partir de plusieurs sources et les stocke dans un data lake centralisé à des fins d'analyse. 

Ensuite, elle rationalise et normalise les renseignements sur les assets provenant de divers outils afin de dédupliquer et de standardiser le format des informations et de créer une vue cohérente des assets. 

Elle permet également de corriger les entrées redondantes ou conflictuelles, telles que des noms différents pour un même appareil dans divers outils.

Enfin, elle enrichit les données sur les assets grâce au contexte apporté par plusieurs outils pour fournir des informations plus approfondies, par exemple tous les détails connus sur le risque lié à un asset spécifique (vulnérabilités, mauvaises configurations, autorisations excessives, propriétaire et utilisation de l'asset, état de conformité et relations de l'asset). Parmi les exemples de relations d'un asset, on peut citer la connectivité entre assets, les ressources virtuelles et les charges de travail associées, ainsi que les relations asset-vers-identité, telles que les utilisateurs d'un asset. 

Les outils de CAASM évaluent et normalisent le risque sur toute la surface d'attaque pour aider à la priorisation. 

La priorisation du risque prend généralement en compte plusieurs variables importantes, notamment la sévérité d'un risque sur la base d'une priorité ou d'un score standard, comme le système CVSS (Common Vulnerability Scoring System), qui utilise un indicateur qualitatif pour déterminer la sévérité d'une vulnérabilité. 

L'exploitabilité du risque influe sur la priorisation de la vulnérabilité en tenant compte de facteurs tels que le code d'exploit disponible et l'exposition de l'asset à Internet. 

La criticité des assets est déterminée selon leur rôle, particulièrement selon leur impact business ou matériel, qui se traduit par le potentiel de perturbation d'un service, d'un processus ou d'une fonction critique de l'entreprise. 

Étant donné que la plupart des outils offrent un système unique de score de risque, les outils de CAASM fournissent souvent leur propre score ou des normes basées sur des options permettant de mesurer et de prioriser le risque de manière cohérente.

Grâce à des mises à jour constantes, les outils de CAASM détectent les nouveaux assets, les changements de configuration ou les vulnérabilités émergentes afin de conserver une vue actualisée de votre surface d'attaque et d'identifier les changements à risque avant qu'ils ne causent des incidents. 

Vous pouvez lancer des requêtes simples ou complexes pour identifier des schémas ou effectuer des opérations de routine de cyber-hygiène. Les intégrations permettent de rationaliser les workflows, tels que la création de tickets pour la remédiation, l'envoi de rapports par e-mail ou le déclenchement d'alertes. 

Les outils de CAASM s'adressent souvent à des publics divers : équipes IT et chargées de la conformité, praticiens de la sécurité ou encore dirigeants. 

Les dashboards et les rapports fournissent des informations sur l'inventaire des assets, les tendances en matière de risque et leur évolution dans le temps, la posture de conformité et la visibilité sur d'autres indicateurs clés de performance (KPI). 

Des informations cohérentes sur les assets dans les divers silos permettent d'améliorer la collaboration, la prise de décision et l'investissement au sein d'équipes généralement disparates.

• Visibilité continue des assets sur l'ensemble de votre surface d'attaque, y compris le Shadow IT, les appareils non gérés et les assets tiers
• Agrégation et normalisation des données provenant de plusieurs outils IT et de sécurité afin de créer un inventaire unifié des assets et des risques associés
• Évaluation du risque pour identifier les vulnérabilités, les mauvaises configurations et les points d'exposition liés à chaque asset afin de déterminer les niveaux de risque
• Fonctionnalités de priorisation des vulnérabilités et des intégrations avec des workflows de remédiation
• Surveillance et mise à jour en continu de l'inventaire de votre surface d'attaque pour refléter dynamiquement les changements et dévoiler les nouveaux risques

• Garantit une visibilité complète sur tous les cyber-assets (IT, OT, IoT, cloud, identités, applications, machines virtuelles, conteneurs et Kubernetes).
• Améliore l'évaluation du risque en agrégeant de manière proactive toutes les informations sur les risques connus associés à vos assets et en normalisant le score de risque quelles que soient les sources.
• Favorise une meilleure collaboration et une plus grande confiance grâce à une vue cohérente des informations sur les assets pour les équipes IT, et celles chargées de la conformité et de la sécurité. 
• Rationalise les processus de remédiation en intégrant et en automatisant les workflows de sécurité et IT, tels que la création de tickets et la recommandation d'étapes de remédiation.
• Réduit les erreurs et les retards dus aux audits manuels et périodiques des informations sur les assets grâce à la découverte en continu des assets et du risque.
• Accélère et standardise les rapports de conformité dans tous les domaines en fournissant des modèles prêts à l'emploi alignés sur les réglementations et les analyses comparatives. 
• Fournit un contexte technique et business permettant de mieux prioriser les risques susceptibles d'avoir un impact important sur votre entreprise.

Gartner définit la gestion continue de l'exposition aux menaces (CTEM) comme « un ensemble de processus et de fonctionnalités qui permettent aux entreprises d'évaluer de manière continue et cohérente l'accessibilité, l'exposition et l'exploitabilité de leurs assets numériques et physiques ». (traduction libre)

Le processus CTEM comporte cinq étapes : définition du champ d'application, découverte, priorisation, validation et mobilisation. La CAASM joue un rôle clé dans les cinq étapes du modèle CTEM. 

L'intégration de la CAASM à la CTEM vous offre une visibilité continue et en temps réel, ainsi qu'une gestion efficace des risques, pour gérer de manière proactive votre surface d'attaque et réduire votre exposition globale aux menaces.

Cinq étapes pour mettre en œuvre des solutions de gestion de la surface d'attaque des cyber-assets :

1. Identifiez les objectifs de votre entreprise, comme la réduction des angles morts ou l'amélioration de la priorisation du risque.
2. Évaluez les outils de cyber-sécurité qui offrent une visibilité complète des assets en veillant à ce qu'ils s'intègrent de manière transparente à votre système IT et de sécurité existant.
3. Concentrez principalement vos efforts sur les assets et les systèmes critiques de l'entreprise ou sur les risques précédemment négligés.
4. Créez des workflows pour la découverte, la corrélation et la remédiation afin d'utiliser la CAASM pour ajouter de la valeur aux processus et systèmes existants.
5. Utilisez des indicateurs tels que la réduction du risque, le délai moyen de remédiation (MTTR) et les améliorations de la visibilité pour suivre les progrès réalisés.

La mise en œuvre de la CAASM dans le cadre de votre programme de sécurité peut grandement améliorer la visibilité et la gestion des risques. Cependant, comme les déploiements de la CAASM nécessitent la participation de plusieurs équipes, outils et workflows, des problèmes peuvent ralentir ou empêcher la mise en œuvre. Par exemple :

• La CAASM s'appuie sur l'intégration de nombreux outils pour fournir une vue unifiée, mais des données incomplètes ou incohérentes peuvent limiter son efficacité.
• Assurer la compatibilité, configurer les API et gérer l'authentification avec les multiples outils utilisés peut s'avérer chronophage et techniquement complexe.
• Les grandes entreprises disposant de milliers d'assets répartis dans plusieurs environnements (sur site, cloud et/ou hybrides) peuvent être confrontées à des problèmes d'évolutivité.
• Des tags d'assets incorrects, des données obsolètes ou des inventaires incomplets résultant du Shadow IT risquent de compromettre la fiabilité des informations ou de nuire à la visibilité.
• De nombreuses entreprises ne disposent pas du personnel ou des compétences requises en matière de sécurité pour configurer et maintenir la CAASM. 
• Les parties prenantes, telles que les équipes IT dotées d'outils de gestion des assets ou de CMDB, peuvent s'opposer à l'adoption de la CAASM, au partage des données ou à la modification des workflows.

Une mise en œuvre efficace d'une CAASM requiert une planification minutieuse et une exécution ciblée. Voici quelques meilleures pratiques pour vous aider :

1. Rationalisez la mise en œuvre en planifiant les intégrations dès le début. Identifiez les outils clés, ainsi que la disponibilité et la compatibilité de leurs API, cartographiez les flux de données entre les outils et priorisez les intégrations qui apportent rapidement de la valeur ajoutée aux parties prenantes.
2. Améliorez la qualité des données en vérifiant régulièrement leur exhaustivité et leur exactitude, en normalisant et en identifiant les données en double ou contradictoires, en nettoyant les données dans les systèmes intégrés et en définissant des processus et des responsables pour garantir la qualité des données en continu.
3. Commencez par quelques cas d'utilisation à fort impact qui répondent directement aux priorités de votre entreprise, comme l'amélioration de la conformité ou la réduction de votre surface d'attaque. Définissez des indicateurs, tels que le volume de risques identifiés et corrigés, afin de quantifier et de démontrer la réussite du programme.
4. Obtenez l'adhésion de toutes les parties prenantes pour garantir la réussite du programme. Impliquez les équipes dès le début. Expliquez-leur les avantages de la CAASM et partagez les premiers succès constatés pour instaurer un climat de confiance. 
5. Investissez dans l'automatisation pour rationaliser les processus, permettre l'agrégation des données, automatiser les workflows comme la génération de tickets sur les plateformes IT et mettez en place des alertes pour les risques critiques afin de garantir une réponse plus rapide et cohérente.
6. Tirez parti des fonctionnalités de reporting. Créez des dashboards personnalisés, surveillez les tendances dans le temps et alignez les rapports sur les exigences de conformité. Fournissez des informations exploitables et détaillez la valeur ajoutée du programme à la direction et aux parties prenantes.

La CAASM se concentre sur les assets internes et consolide les données de votre environnement. La gestion de la surface d'attaque externe (EASM) cible les assets tournés vers l'extérieur et visibles par les attaquants. 

L'EASM identifie les risques tels que les services exposés, les mauvaises configurations et le Shadow IT d'un point de vue externe, et complète donc la vision interne de la CAASM. Ensemble, l'EASM et la CAASM fournissent une compréhension globale de votre surface d'attaque et de votre risque.

Les outils de CAASM fournissent aux principales parties prenantes des informations exploitables adaptées à leurs responsabilités. 

Responsable de la sécurité des systèmes d'information (RSSI)
La CAASM offre aux RSSI un inventaire unifié des assets, une priorisation du risque et une visibilité complète des cyber-assets. Grâce à ces données, les RSSI peuvent améliorer leurs processus de prise de décision stratégique en concentrant leurs ressources sur les risques les plus critiques pour la sécurité.

Équipe chargée des opérations de sécurité (SecOps)
La CAASM rationalise la gestion des vulnérabilités et accélère la réponse aux incidents grâce à un contexte en temps réel sur les assets et le risque. Une solution CAASM permet aux équipes SecOps de remédier plus rapidement aux vulnérabilités en optimisant la réponse aux menaces. 

Responsable de la conformité
En validant et en contrôlant la conformité réglementaire, une solution CAASM peut simplifier les processus de conformité et réduire le risque de sanction. Grâce à des fonctionnalités de reporting automatisées, vous pouvez renforcer la fiabilité des audits et disposer d'informations actualisées sur la conformité à portée de main.

Responsable des opérations IT
La CAASM prend en charge la surveillance en continu des contrôles de sécurité tels que l'authentification multifacteur et le chiffrement pour garantir une mise en œuvre cohérente dans tous les systèmes. Cette solution permet également de minimiser les risques opérationnels engendrés par les mauvaises configurations et d'améliorer la gestion globale de la sécurité IT.

Architecte cloud
La CAASM identifie le Shadow IT et les assets cloud mal configurés, offrant ainsi un aperçu des ressources non gérées dans les environnements cloud dynamiques. Vous pouvez utiliser ces informations pour réduire plus efficacement votre surface d'attaque et vous assurer que les déploiements dans le cloud respectent les politiques organisationnelles et les meilleures pratiques en matière de sécurité.

Responsable de la gestion des risques
La CAASM peut évaluer les risques de la chaîne d'approvisionnement, par exemple en évaluant les fournisseurs, pour réduire l'exposition aux vulnérabilités et garantir que les pratiques de sécurité et de conformité de vos partenaires répondent aux normes de votre entreprise et à d'autres exigences.

Responsable des fusions et acquisitions
La CAASM permet d'identifier et d'évaluer rapidement le cyber-risque pour les entités nouvellement acquises. En vous attaquant aux assets vulnérables ou non conformes avant une intégration, vous pouvez sécuriser l'ensemble du processus de fusion et d'acquisition.

Ingénieur DevOps
En s'intégrant aux pipelines CI/CD, la CAASM surveille les applications pour détecter les vulnérabilités et les mauvaises configurations, afin de sécuriser le déploiement des applications tout en maintenant l'agilité du workflow DevOps.

En alignant les fonctionnalités de la CAASM sur les besoins spécifiques en fonction des rôles, vous pouvez favoriser la collaboration et garantir une approche proactive de la gestion de votre surface d'attaque.

Consultez les autres ressources et produits de CAASM de Tenable pour mieux comprendre la gestion de la surface d'attaque des cyber-assets et la façon dont elle permet d'identifier, de prioriser et d'éliminer la cyber-exposition.