Qu'est-ce que la gestion de l'exposition ?

La gestion de l'exposition (exposure management), ou gestion de la cyber-exposition, ou encore gestion de l'exposition aux cyber-risques, est une approche stratégique de la cyber-sécurité qui prend en compte les caractéristiques spécifiques de l'entreprise. Vous pouvez l'utiliser à des fins de gestion des risques cyber, en évaluant de manière proactive vos cyber-risques les plus critiques et en y remédiant. Elle va au-delà de la gestion traditionnelle des vulnérabilités et unifie les contextes métier et liés au risque avec la threat intelligence afin d'exposer, de prioriser et d'éliminer les vulnérabilités tout en réduisant le risque et en diminuant votre surface d'attaque. 

La gestion de l'exposition dans le cadre de la cyber-sécurité offre une visibilité totale sur vos assets et environnements, notamment IT, OT, IoT, cloud et hybride. La mise en œuvre des meilleures pratiques de gestion de l'exposition permet de s'assurer que vos équipes de sécurité ne négligent jamais un asset, ses vulnérabilités, ses dépendances ni d'autres expositions potentielles. 

En identifiant tous vos assets et en cartographiant et analysant les chemins d'attaque viables, la gestion de l'exposition trouve les moyens par lesquels les attaquants pourraient exploiter vos risques de sécurité et se déplacer latéralement dans votre surface d'attaque. 

Contrairement à la gestion traditionnelle des vulnérabilités et à la gestion encore plus avancée des vulnérabilités basée sur le risque, la gestion de l'exposition, grâce à une visibilité en continu et à la threat intelligence, décloisonne l'action de vos équipes IT et de sécurité pour se concentrer sur la priorisation et la remédiation rapides du risque réel pour l'entreprise. 

De plus, en alignant les risques cyber et business et en présentant les initiatives cyber dans le contexte de l'entreprise, elle améliore la communication avec les dirigeants et les parties prenantes afin de renforcer le soutien au programme.

La gestion de l'exposition s'appuie sur les bases de la gestion des vulnérabilités. Alors que les stratégies traditionnelles de gestion des vulnérabilités s'appliquent principalement à l'IT classique, la gestion de l'exposition repose sur ces fondations. 

Elle s'étend pour couvrir l'ensemble de votre surface d'attaque, y compris les assets et identités numériques, et toutes les formes de risques évitables comme les vulnérabilités courantes, les mauvaises configurations et les autorisations excessives. 

Tenable a été le pionnier de la gestion de l'exposition dans le domaine de la cyber-sécurité. L'entreprise a présenté pour la première fois l'écosystème de cyber-exposition en octobre 2017. La première plateforme de gestion de l'exposition a suivi en 2018.

S'appuyant sur la dynamique de la gestion de l'exposition, Gartner a créé la catégorie « Continuous Threat Exposure Management (CTEM) », ou Gestion continue de l'exposition aux cybermenaces, en 2022. 

Alors que la gestion de l'exposition se concentre sur la réduction du risque et la gestion de la surface d'attaque, comme la visibilité complète des assets, la priorisation des vulnérabilités et la remédiation de l'exposition, Gartner a développé la CTEM comme un cadre pour guider les processus de gestion de l'exposition. 

Les deux contribuent à détecter et à corriger de manière proactive les risques cyber et métiers critiques. 

Par ailleurs, une nouvelle catégorie d'outils complets de gestion de l'exposition, appelés plateformes d'évaluation de l'exposition (EAP), combine les fonctionnalités technologiques d'évaluation et de priorisation des vulnérabilités au sein d'une plateforme unifiée.

Voici quelques-unes des nombreuses raisons pour lesquelles la gestion de l'exposition est essentielle :

• La vitesse de la transformation numérique et de l'adoption du cloud signifie que les entreprises doivent faire face à davantage de risques, que leurs outils de gestion des vulnérabilités traditionnels ignorent, comme ceux présents dans les conteneurs, Kubernetes, les applications web, les systèmes cyber-physiques et les applications hybrides. Comme de plus en plus de types d'assets requièrent une attention constante, votre surface d'attaque étendue crée un environnement plus complexe et distribué, qui est plus difficile à sécuriser.
  • La gestion de l'exposition cartographie et évalue en continu les expositions possibles dans tous vos environnements (cloud, IT, IoT, OT et identités) afin que vous puissiez voir tous vos vecteurs d'attaque potentiels.
• Les outils de sécurité spécialisés vous aident à gérer des technologies et des risques spécifiques, mais ils ne peuvent pas vous donner une vue d'ensemble de tout ce qui se trouve dans votre environnement. S'ils fonctionnent bien pour le domaine auquel ils sont destinés, ces outils créent une approche fragmentée de la sécurité, introduisant des angles morts et négligeant des assets et des vulnérabilités inconnus que les attaquants sont prompts à exploiter.
  • La gestion de l'exposition consolide les données provenant de tous vos outils de sécurité et de conformité pour éliminer les expositions et offrir une vue complète du risque et des assets exposés.
• Les acteurs des cybermenaces sont de mieux en mieux organisés, financés et soutenus par des États-nations. Lorsqu'ils utilisent des ransomwares avancés et des outils tels que le hacking-as-a-service, ils peuvent exécuter des attaques sophistiquées et à grande échelle avec rapidité et précision, augmentant ainsi la probabilité d'intrusions réussies et potentiellement catastrophiques. 
  • En identifiant et en priorisant les faiblesses exploitables, la gestion de l'exposition vous aide à garder une longueur d'avance sur ces cybermenaces avancées et sur les tactiques, techniques et procédures courantes.
• Les outils de sécurité priorisent les risques dans leur domaine, mais ne prennent pas en compte les relations entre les assets, les identités et les risques. Sans ce contexte, vos équipes pourraient avoir du mal à empêcher les attaquants de s'implanter, de se déplacer latéralement et de compromettre vos systèmes et vos données.
  • La gestion de l'exposition met en corrélation les relations entre les assets, les mauvaises configurations, les risques liés aux identités et les chemins d'attaque potentiels pour bloquer les mouvements latéraux et prévenir les brèches.
• L'augmentation des intrusions, des obligations réglementaires et des répercussions financières et juridiques négatives incite aujourd'hui davantage de personnes à se tourner vers l'atténuation du cyber-risque. Les équipes de sécurité et de conformité ne sont plus les seules à accorder de l'importance à ce sujet. Maintenant qu'ils partagent une partie de la responsabilité de la sécurité des données sensibles, les dirigeants et les conseils d'administration sont de plus en plus contraints de répondre à la question : « Quelle est notre cyber-exposition ? » Pourtant, de nombreux responsables de la sécurité ne savent pas comment aligner le cyber-risque sur le risque business, ou encore quantifier la posture de risque.
  • Grâce à la gestion de l'exposition, vous pouvez facilement traduire les données techniques du risque en contexte métier afin de quantifier votre exposition et de l'aligner sur les considérations du risque et les objectifs business de votre entreprise.

Avec autant d'assets et une liste interminable de vulnérabilités classées critiques ou élevées, certaines équipes de sécurité ont encore du mal à adopter une gestion des vulnérabilités efficace. Qu'est-ce qui les pousse à délaisser ces vieilles pratiques et à adopter la gestion de l'exposition ?

• Une pression réglementaire accrue, notamment de la part d'agences qui imposent des contrôles de sécurité plus étendus et la divulgation des brèches.
• Les équipes de sécurité doivent réduire le nombre de fournisseurs et d'outils coûteux et disparates pour mieux gérer la prolifération des outils et respecter les contraintes budgétaires.
• Avec un personnel limité, des lacunes en matière d'expertise et un marché du travail tendu, les entreprises cherchent constamment à automatiser et à optimiser les processus. 
• La multiplication des attaques par ransomware et d'autres intrusions très médiatisées a réduit la tolérance au risque du conseil d'administration, de la direction, des secteurs d'activité et des investisseurs. 

Autrefois solutions distinctes, telles que la gestion des vulnérabilités, la gestion de la surface d'attaque externe (EASM) et la gestion de la surface d'attaque des cyber-assets (CAASM), convergent à présent pour traiter des problèmes de sécurité dépendants.

Les plateformes de gestion de l'exposition reposent généralement sur une combinaison de ces éléments :

• Fonctionnalités d'évaluation et de priorisation du risque pour tous les vecteurs d'attaque, y compris les vulnérabilités, les mauvaises configurations, les problèmes liés aux identités et les autorisations excessives. 
• Outils d'inventaire des assets pour établir et tenir à jour cette liste sur l'ensemble de votre surface d'attaque, y compris les problèmes de configuration, le risque, les dépendances, les données utilisateur et la criticité.
• Fonctionnalités d'analyse du chemin d'attaque pour cartographier les assets, identifier et contextualiser le risque, et prioriser la remédiation des points d'engorgement pour bloquer les chemins d'attaque. 
• Possibilité de quantifier l'exposition au risque pour les services, processus et fonctions critiques de l'entreprise et de fournir des dashboards et des rapports sur mesure.
• Évaluations automatisées et rapports de conformité basés sur des réglementations, des cadres ou des analyses comparatives.
• Outils et processus de cyber-sécurité qui s'intègrent à l'IA et à l'apprentissage automatique, à la threat intelligence et au contexte de l'entreprise pour favoriser l'automatisation des processus et l'optimisation des workflows.
• Conseils et validation de remédiation pour fournir des recommandations exploitables, basées sur le risque, et autoriser les contrôles visant à combler les angles morts en matière de sécurité.
• Surveillance en continu et sécurité adaptative pour suivre l'évolution des surfaces d'attaque, détecter les nouvelles expositions et ajuster automatiquement les contrôles de sécurité en fonction de politiques et de règles prédéfinies afin d'atténuer rapidement les menaces émergentes.
• Intégration avec les opérations de sécurité (SOC) et la réponse aux incidents afin de rationaliser les données d'exposition pour une atténuation plus rapide et plus efficace des menaces.

Voici quelques-uns des nombreux avantages de la mise en œuvre d'un logiciel de gestion de l'exposition :

• Réduction de votre surface d'attaque et du nombre de menaces et d'incidents associés.
• Décloisonnement des silos et rationalisation de la communication entre les équipes IT et de sécurité, et dans l'ensemble de votre entreprise (conformité, processus de développement de logiciels, acquisition et implémentation de nouvelles technologies et applications, recherche et développement, etc.), y compris avec les parties prenantes comme les cadres et le conseil d'administration.
• Automatisation et validation de la remédiation à l'aide des meilleures pratiques. 
• Optimisation des investissements dans le personnel, les processus et les technologies, en les alignant sur les activités.
• Réduction des détections superflues de vulnérabilités, amélioration des compétences professionnelles et diminution de la rotation du personnel.
• Rationalisation de la conformité avec les normes réglementaires changeantes telles que le RGPD, SOC 2, HIPAA, etc. 
• Atténuation proactive de l'exposition de l'entreprise avant de ressentir l'impact d'une brèche.
• Réduction du nombre de vulnérabilités sur lesquelles votre équipe doit se concentrer grâce au contexte et à la threat intelligence.
• Priorisation des menaces les plus critiques en fonction de leur probabilité et de leur impact sur l'entreprise.
• Optimisation de votre sécurité globale grâce à une surveillance en continu, à des scans de vulnérabilités, à des évaluations du risque et à la remédiation des vulnérabilités.
• Diminution des coûts de sécurité et de réponse aux incidents.
• Mise en place de réponses plus rapides et plus ciblées aux menaces potentielles grâce à des données et des informations en temps réel.

Malgré quelques points communs, les meilleures pratiques en matière de gestion de l'exposition et de gestion des vulnérabilités diffèrent. 

La gestion de l'exposition s'appuie sur les bases de la gestion des vulnérabilités basée sur le risque. Voici une liste non exhaustive de leurs principales différences :

• La gestion de l'exposition identifie et réduit l'ensemble de votre surface d'attaque.
  • La gestion des vulnérabilités cible des vulnérabilités spécifiques et d'autres problèmes de sécurité au sein des systèmes et des applications.
• La gestion de l'exposition priorise les assets et les risques en fonction des vulnérabilités potentielles.
  • La gestion des vulnérabilités porte généralement sur des problèmes de sécurité individuels.
• La gestion de l'exposition est plus proactive. Vous pouvez l'utiliser pour cartographier les chemins d'attaque potentiels.
  • La gestion des vulnérabilités est réactive et se concentre sur la correction des vulnérabilités connues.
• La gestion de l'exposition offre une visibilité complète des assets, y compris du Shadow IT.
  • La gestion des vulnérabilités se concentre généralement sur l'infrastructure IT connue.
• La gestion de l'exposition met l'accent sur la surveillance en continu des menaces. 
  • La gestion des vulnérabilités traite généralement les vulnérabilités existantes à intervalles réguliers, par exemple une fois par mois, une fois par trimestre, etc.

Si vous êtes toujours empêtré dans une gestion des vulnérabilités traditionnelle, vous connaissez déjà la chanson : fatigue d'alertes, correctifs incessants et, avec les solutions inhérentes, aucun moyen de vraiment savoir quelles cybermenaces posent le plus grand risque pour votre entreprise. 

En passant de la gestion des vulnérabilités à la gestion de l'exposition, vos équipes de sécurité peuvent enfin arrêter de réagir aux faux-positifs. La gestion des vulnérabilités opposée à la gestion de l'exposition vous offre une vue complète et continu de votre surface d'attaque et des risques concrets, sans avoir recours à des scores de vulnérabilités statiques et arbitraires qui ne prennent pas en compte l'unicité de votre environnement ni de vos besoins métiers.

Un récent rapport publié par Gartner, « How to grow vulnerability management into exposure management », explique comment les approches actuelles liées à la visibilité de la surface d'attaque ne peuvent pas s'aligner sur la rapidité avec laquelle avance l'évolution numérique.

Le rapport révèle que « créer de listes priorisées de vulnérabilités de sécurité ne suffit pas à couvrir la totalité des cyber-expositions ni à trouver des solutions exploitables » (traduction libre). C'est pourquoi il est impératif pour les responsables sécurité de passer d'une technologie traditionnelle de gestion des vulnérabilités à une pratique plus ample et dynamique de gestion continue de l'exposition aux cybermenaces (CTEM).

Voici comment en cinq étapes simples :

Étape 1 : Découvrir chaque asset et vulnérabilité, tels que les assets IT, cloud, OT et shadow.

Étape 2 : Comprendre le contexte afin de mettre un frein aux suppositions. 

• Qui a accès ?
• Qu'est-ce qui est critique ?
• Qu'est-ce qui est exposé à Internet ?

Étape 3 : Ne pas tout corriger. Priorisez la remédiation en fonction de l'impact sur l'activité. Alignez votre programme de sécurité sur des objectifs de la direction comme la résilience opérationnelle, la profitabilité et la conformité.

Étape 4 : Se concentrer sur la correction des éléments les plus impactant. Utilisez une remédiation ciblée, puis vérifiez et documentez l'avancement à l'aide de l'automatisation et des analyses.

Étape 5 : Utiliser en continu la surveillance, les tests et les pratiques d'amélioration afin de garder le rythme face aux changements et aux menaces évolutives.

Vous voulez en savoir plus ? Plongez-vous dans ce guide de mise en œuvre de la gestion de l'exposition afin de démarrer ou d'affiner votre programme de gestion de l'exposition. Parce que les responsables sécurité jouent un rôle primordial dans cette mise en œuvre, nous avons également rédigé ce « Guide du responsable sécurité pour une stratégie de gestion de l'exposition » afin de vous aider à vous lancer. En outre, nous vous conseillons vivement de consulter nos ressources pour découvrir comment jalonner votre parcours vers la maturité en gestion de l'exposition, et obtenir des conseils vis-à-vis du niveau de maturité souhaité. 

Le rôle de l'analyse du chemin d'attaque dans la gestion de l'exposition

L'analyse du chemin d'attaque (APA pour « Attack Path Analysis ») est une stratégie de gestion du risque qui vise à découvrir de manière proactive les chemins que les attaquants pourraient emprunter pour infiltrer un système ou un réseau. 

En cartographiant les chemins d'attaque, vous pouvez mieux comprendre comment les vulnérabilités, les mauvaises configurations et les autorisations se combinent pour entraîner des expositions.

L'APA vous aide à penser comme un attaquant pour repérer les faiblesses potentielles en matière de sécurité et les corriger avant qu'elles ne conduisent à une cyber-faille. 

La gestion du chemin d'attaque fait partie intégrante de la gestion de l'exposition. Elle vous aide à repérer les vecteurs d'attaque potentiels et la manière dont ils pourraient être exploités. Elle vous indique également comment un attaquant pourrait se déplacer latéralement dans votre environnement, souvent sans se faire détecter, pour ensuite procéder à une élévation de privilèges, à un vol de données ou même à une prise en otage de vos systèmes au moyen d'un ransomware ou d'autres malwares.

Par le passé, les équipes de sécurité avaient tendance à négliger certains chemins d'attaque potentiels critiques, comme dans Active Directory (AD). En appliquant les meilleures pratiques de gestion de l'exposition à Active Directory, vous pouvez découvrir en continu les mauvaises configurations, les autorisations excessives et d'autres passerelles d'attaque. 

Sans cette approche, les acteurs malveillants peuvent exploiter activement les faiblesses d'AD pour s'implanter dans vos systèmes, puis procéder rapidement à une élévation de privilèges. Ils peuvent ensuite se déplacer dans votre réseau et créer des portes dérobées difficiles à détecter et à éliminer. 

L'application de l'APA dans le cadre de votre programme complet de gestion de l'exposition permet d'empêcher les attaquants de compromettre vos contrôleurs de domaine, de déployer des malwares ou de prendre le contrôle total de votre entreprise.

Grâce à l'APA, vous pouvez également mieux prioriser la remédiation du risque lié aux chemins d'attaque en leur barrant la route en amont. Par exemple, dans le cadre de votre plan de gestion de l'exposition, vous pouvez désactiver les privilèges d'administrateur inutiles pour empêcher les mouvements et limiter l'accès aux contrôleurs de domaine.

Vous pouvez également utiliser l'analyse du chemin d'attaque pour perfectionner vos processus de gestion de l'exposition. Par exemple, vous pouvez effectuer des simulations pour voir comment les attaquants se déplaceraient dans vos environnements, puis renforcer les contrôles de sécurité pour éliminer ces angles morts.

Vous aimeriez en savoir plus sur la gestion du chemin d'attaque (APA) et sur son rôle dans la gestion de l'exposition ? Consultez notre page « Qu'est-ce que l'APA (Attack Path Analysis) ? » pour de plus amples informations.

La gestion continue de l'exposition aux cybermenaces (CTEM), concept introduit par Gartner, est un cadre pour votre programme de gestion de l'exposition. 

La CTEM est une approche structurée et proactive de la cyber-sécurité qui met l'accent sur une évaluation efficace et une priorisation de l'atténuation de l'exposition en continu.

Dans les programmes traditionnels de gestion des vulnérabilités, les systèmes courants de notation, à l'instar de CVSS, classent la plupart des vulnérabilités à un niveau de menace de sécurité moyen. Pourtant, environ un quart des CVE (Common Vulnerabilities and Exposures) ont un score CVSS « élevé ». Avec plus de 280 000 CVE répertoriées dans la National Vulnerability Database, vos équipes de sécurité pourraient donc penser qu'elles doivent remédier à plus de 70 000 vulnérabilités.

Les scores statiques créent une boucle constante de sécurité réactive. Si vos équipes n'ont pas connaissance du contexte des menaces, elles peuvent s'évertuer à corriger des vulnérabilités qui n'auront peut-être jamais d'impact sur vos opérations. Surtout, elles risquent de négliger le risque réel. La CTEM résout ce problème, car elle s'applique spécifiquement à vos assets et à la manière dont votre entreprise les utilise.

Considérez la CTEM comme la base de votre programme complet de gestion de l'exposition. Contrairement aux scores CVSS sans contexte, la CTEM offre une threat intelligence complète et prend en compte des éléments tels que la criticité des assets et le potentiel d'exploitation active pour aider vos équipes à se concentrer sur les vulnérabilités qui représentent le plus grand risque pour votre entreprise.

Grâce à la découverte automatisée et en continu des assets et à l'évaluation des vulnérabilités de vos environnements, la CTEM peut rapidement détecter de nouveaux vecteurs d'attaque potentiels dans les environnements cloud et hybrides, y compris concernant le Shadow IT.

La CTEM intègre l'analyse du chemin d'attaque pour trouver les dépendances connexes, ce qui permet à vos équipes d'identifier les chaînes d'attaque et de bloquer en amont les mouvements latéraux potentiels des attaquants au sein de vos systèmes.

Et comme la CTEM inclut également la validation et des tests de sécurité, vous pouvez garder une longueur d'avance sur les attaquants en vous assurant que vos contrôles fonctionnent comme prévu. Et dans le cas contraire, vous pouvez atténuer ces risques avant que les attaquants ne les découvrent. 

Vous souhaitez en savoir plus sur la CTEM et son rôle dans la gestion de l'exposition ? Consultez notre page Qu'est-ce que la CTEM ? pour approfondir le sujet.

La gestion de la surface d'attaque des cyber-assets (CAASM) est une discipline de cyber-sécurité qui vous offre une visibilité complète sur tous vos assets (appareils, applications, utilisateurs et services). 

Conçue pour tous les environnements (IT, OT, IoT, cloud et hybride), la CAASM est un outil de gestion de l'exposition qui permet de détecter, d'inventorier, de gérer et de sécuriser tous vos assets. La CAASM peut même vous aider à trouver et à évaluer tous les assets exposés à Internet sur votre surface d'attaque externe, y compris ceux dont vos équipes IT et de sécurité n'ont pas directement connaissance.

La CAASM est proactive et vous indique comment réduire votre exposition. Dans le cadre de la gestion de l'exposition, elle unifie les données relatives à vos assets en temps réel afin de mettre en lumière les angles morts de sécurité. 

Lorsqu'elle est mise en œuvre dans le cadre de stratégies de sécurité plus larges telles que la détection des menaces et la gestion des vulnérabilités, la CAASM aide votre entreprise à mieux appréhender l'atténuation des menaces internes et externes avant que les attaquants ne puissent les trouver et les exploiter. 

La CAASM peut également soutenir vos stratégies Zero Trust et de moindre privilège en veillant à ce que seuls les utilisateurs autorisés aient accès aux assets critiques, réduisant ainsi davantage votre surface d'attaque. 

Vous souhaitez en savoir plus sur la CAASM et son rôle dans la gestion de l'exposition ? Consultez notre page Qu'est-ce que la CAASM ? pour approfondir le sujet.

Les pratiques de gestion des vulnérabilités traditionnelle étaient axées sur la sécurisation des assets internes. 

Le temps où de simples pare-feu et systèmes en air-gap suffisaient à se protéger des cybermenaces potentielles est bel et bien révolu. 

La gestion de la surface d'attaque externe (EASM), sous-ensemble de la gestion de la surface d'attaque, étend les pratiques obsolètes et inefficaces de gestion des vulnérabilités pour offrir une gestion plus large et contextualisée de l'exposition. L'EASM détecte et surveille tous vos assets en contact avec l'extérieur afin que vous puissiez les sécuriser.

Vous pouvez utiliser l'EASM pour les domaines, les API, les intégrations tierces, les applications et services cloud, les adresses IP publiques, les applications web et d'autres terminaux. Elle permet même de découvrir des ressources non gérées et abandonnées, comme le Shadow IT, ainsi que les anciens logiciels et applications que personne ne se souvient avoir installés.

En matière de gestion de l'exposition, vous pouvez appliquer l'EASM en toute transparence avec d'autres outils pour unifier les données relatives à la surface d'attaque, comme les bases de données de gestion des configurations (CMDB), les plateformes de gestion des vulnérabilités et les solutions d'évaluation de l'exposition. 

En détectant les points d'entrée potentiels, tels que les ports ouverts, les logiciels obsolètes, les vulnérabilités et les mauvaises configurations, vous pourrez visualiser votre surface d'attaque du point de vue d'un attaquant. 

L'EASM vous offre une visibilité en temps réel sur les changements au sein de votre surface d'attaque afin d'identifier et d'éliminer rapidement les chemins d'attaque. C'est un moyen efficace de sécuriser votre périmètre externe et de limiter les possibilités de mouvement latéral et d'élévation de privilèges.

Vous voulez en savoir plus sur l'EASM et son rôle dans la gestion de l'exposition ? Consultez note page Qu'est-ce que l'EASM ? pour approfondir le sujet.

1. Connaître ses assets. Utilisez une solution de gestion de l'exposition dotée de fonctionnalités de découverte pour inventorier tous vos assets, y compris le Shadow IT, dans tous vos environnements. Comprenez la criticité des assets et l'impact sur les opérations en cas de cyber-faille. Cette criticité inclut notamment les relations entre les assets, les privilèges et d'autres dépendances.
2. Connaître et dévoiler ses risques critiques. 
3. Utiliser une plateforme de gestion de l'exposition qui exploite l'IA, l'apprentissage automatique et d'autres fonctions de threat intelligence pour comprendre en contexte l'impact des vulnérabilités, des mauvaises configurations et d'autres problèmes de sécurité.
4. Prioriser la remédiation des menaces en fonction du risque le plus élevé pour votre environnement spécifique, et non en fonction d'un score CVE arbitraire.
5. Collaborer avec les parties prenantes pour définir des indicateurs de performance clés afin d'évaluer le succès et l'impact de votre programme de gestion de l'exposition. Alignez vos stratégies de cyber-risque sur les objectifs de votre entreprise. Comparez votre programme par rapport à vos concurrents et aux normes du secteur.
6. Développer et, si possible, automatiser les workflows d'évaluation et de réponse.
7. Tester régulièrement les contrôles pour vous assurer qu'ils fonctionnent comme prévu.
8. Adopter le point de vue de l'attaquant. Utilisez des outils de gestion de l'exposition pour identifier les vecteurs d'attaque potentiels et les dépendances connexes afin de les atténuer de manière proactive avant que les attaquants ne les trouvent.
9. Évaluer en permanence vos politiques, procédures et contrôles en matière de gestion de l'exposition. Procédez aux ajustements nécessaires en temps réel.
10. Favoriser la collaboration et la communication, non seulement entre les services IT et de sécurité, mais au sein de toute l'entreprise, dirigeants et membres du conseil d'administration inclus, afin de renforcer l'adhésion au programme de chaque partie prenante.

Cinq étapes pour une gestion de l'exposition efficace :

1. Connaître la surface d'attaque et définir le champ d'application d'un programme de gestion de l'exposition. 
   • Identifiez et inventoriez vos assets : IT, IoT, OT, cloud, assets cachés, applications et identités. 
2. Dévoiler le cyber-risque.
   • Détectez les vulnérabilités, les mauvaises configurations, les autorisations excessives, les problèmes d'identité et autres failles de sécurité à l'aide des évaluations automatisées et en continu des vulnérabilités ainsi que des fonctionnalités de gestion du risque d'une plateforme de gestion de l'exposition.
3. Prioriser le cyber-risque et l'aligner sur le contexte métier. 
   • Cartographiez votre surface d'attaque (assets, identités et risques) et mettez-la en corrélation avec ce qui compte le plus : vos services, processus et fonctions critiques.
4. Remédier aux expositions.
   • Utilisez la threat intelligence, l'IA et l'apprentissage automatique pour comprendre le contexte d'exposition. Priorisez la remédiation du risque ayant le plus fort impact matériel potentiel sur les fonctions essentielles de votre entreprise. 
5. Faciliter le suivi et les améliorations en continu.
   • Au fur et à mesure que votre entreprise s'adapte et évolue, votre surface d'attaque et les vulnérabilités associées changent également. La gestion de l'exposition n'est pas un processus ponctuel et définitif. Surveillez en continu les changements dans votre environnement. Testez régulièrement vos contrôles de sécurité pour vous assurer qu'ils fonctionnent comme prévu et mettez à jour vos processus de gestion de l'exposition si nécessaire.

Prêt à démarrer la mise en œuvre d'un programme de gestion de l'exposition et de ses meilleures pratiques ? Veillez à consulter notre Guide du responsable sécurité pour une stratégie de gestion de l'exposition afin de placer votre entreprise sur la voie du succès. 

Pour être efficace, la gestion de l'exposition exige plus que de bons outils. Cela demande un partenariat étroit et constant entre les responsables IT et sécurité, et un cadre où les PDG et les RSSI œuvrent de concert afin de partager les responsabilités liées à la résilience numérique et à la posture de risque de l'entreprise. 

La gestion de l'exposition est l'un des domaines les plus évidents où un tel alignement montre toute son importance. C'est ici que s'unissent stratégie de sécurité et exécution opérationnelle pour une visibilité, une priorisation et un passage à l'action coordonné sur toutes les surfaces hybrides et complexes.

Ce partenariat prospère grâce à une collaboration agile et constante qui va bien au-delà de la simple planification annuelle. 

La gestion de l'exposition apporte aux PDG et RSSI une vue unifiée de leurs environnements de sorte qu'il devient plus simple d'identifier les risques critiques, d'éliminer les angles morts de sécurité et de garantir une réponse rapide pour tous les assets, tout en alignant les échéances de sécurité sur les objectifs métiers. Ce qui inclut également les points de terminaison mobiles ainsi que les infrastructures traditionnelles. 

En se concentrant sur les vulnérabilités qui comptent le plus, les équipes de sécurité peuvent passer du débogage réactif à une réduction du risque stratégique et alignée sur le business.

Au-delà des opérations quotidiennes, la gestion de l'exposition soutient aussi l'engagement de la direction et du conseil d'administration en traduisant le risque technique en langage commercial. Cela permet aux responsables de quantifier le risque cyber de la même manière qu'ils mesurent l'exposition financière, avec pour effet des décisions commerciales plus efficaces et une communication plus claire. 

Pour bien comprendre comment une relation PDG/RSSI puissante peut alimenter de tels résultats, lisez l'intégralité du blog : « Exposure management works when the CIO and CSO are in sync » (en anglais).

1. Vous ne disposez pas d'un inventaire précis de tous vos assets dans tous vos environnements. Les processus existants, tels que les évaluations ponctuelles des vulnérabilités, ne permettent pas de découvrir le Shadow IT, les appareils qui apparaissent et disparaissent en permanence, ou encore les appareils éphémères.
   • Un logiciel de gestion de l'exposition unifie la visibilité de tous vos assets, où qu'ils se trouvent. Grâce à l'évaluation en continu de la surface d'attaque, vous voyez en temps réel les cybermenaces les plus pressantes et pouvez prendre des initiatives pour y remédier.
2. Vous disposez de trop de données sur les vulnérabilités, mais sans contexte, et vous ne savez donc pas par où commencer. Pire encore, des outils disparates cloisonnent les données, vous laissant avec des angles morts et des menaces inconnues.
   • Une solution de gestion de l'exposition qui utilise l'IA, l'apprentissage automatique et d'autres outils de threat intelligence vous permet d'obtenir des données contextualisées sur l'exposition, qui sont également beaucoup plus précises que les systèmes de notation arbitraires et statiques tels que le score CVSS. Si vous y associez une détection automatisée de la criticité des assets, comme le classement VPR (Vulnerability Priority Rating) de Tenable, vous pouvez vous concentrer sur les problèmes de sécurité que vos équipes doivent traiter en priorité.
3. Vous ne savez pas comment communiquer les objectifs, les progrès et les défis de votre programme de cyber-sécurité à vos dirigeants. Votre programme a besoin de ressources et de financements supplémentaires, mais vous ne savez pas comment quantifier toutes ces données techniques pour qu'elles trouvent un écho auprès des autres parties prenantes non techniques.
   • La gestion de l'exposition permet de mettre tout le monde d'accord. Une plateforme de gestion de l'exposition dotée de fonctionnalités de cartographie des assets et des vulnérabilités peut automatiquement corréler vos assets et risques critiques aux processus métiers et à d'autres workflows importants. Vous saurez ainsi comment chaque vulnérabilité peut compromettre la continuité de vos activités. Avec des données sur le cyber-risque à portée de main, vous pouvez traduire les expositions en indicateurs que vos dirigeants et autres parties prenantes comprennent, comme l'impact financier des temps d'arrêt, les amendes et pénalités potentielles liées à la conformité, ou les dommages causés à la marque et à la réputation.
4. Vous êtes tellement occupé à réagir aux problèmes de sécurité que vous n'avez jamais le temps d'anticiper et de rechercher les menaces potentielles avant que les attaquants n'en tirent parti.
   • En automatisant la threat intelligence et la découverte des assets en temps réel, une solution de gestion de l'exposition peut analyser votre surface d'attaque sur la base des vulnérabilités connues que les attaquants exploitent activement en environnement réel. Si vous la combinez à d'autres données contextualisées sur les menaces, vous n'avez plus à deviner quelles vulnérabilités méritent votre attention. Vous pouvez ainsi prendre des mesures pour contrer les menaces critiques avant qu'une intrusion ne se produise. 
5. Pendant que vos équipes IT et de sécurité se concentrent sur vos assets et environnements connus, d'autres s'affairent à ajouter de nouveaux outils tiers à leurs workflows quotidiens. Parfois, vous êtes au courant. Parfois, non. Pire encore, vous ne disposez pas toujours de la garantie que chaque fournisseur ait été correctement approuvé et qu'il utilise des contrôles de sécurité et de conformité adéquats. Vous n'avez certainement pas le temps de vous plonger dans les programmes de cyber-sécurité de chaque nouveau fournisseur et application tierce.
   • Un outil de gestion de l'exposition doté de fonctionnalités EASM surveille activement les applications et les fournisseurs tiers pour découvrir et évaluer tous les assets exposés à Internet. Les scans en continu d'assets et de vulnérabilités vous aident à repérer ces risques sans intervention manuelle et chronophage. Grâce à la consolidation des données des fournisseurs tiers dans votre plateforme de gestion de l'exposition, vous pouvez rapidement savoir quelles vulnérabilités représentent la plus grande menace sans avoir à fouiller dans des montagnes de données sans contexte. Si vous êtes à la recherche d'un logiciel de gestion de l'exposition, envisagez un fournisseur qui propose des recommandations de remédiation intégrées, exploitables et fondées sur les meilleures pratiques, afin de résoudre rapidement le risque lié aux tiers.

Il y a quelques années, les équipes de Tenable ont réfléchi au futur le plus probable pour le marché de la gestion des vulnérabilités, à raison. Aujourd'hui, la gestion de l'exposition fait partie intégrante de la protection des surfaces d'attaque modernes. 

Les ressources limitées, les difficultés de recrutement, l'évolution des réglementations en matière de conformité et l'expansion des surfaces d'attaque complexes sont autant de facteurs actuels qui poussent à l'adoption de la gestion de l'exposition. Pour l'avenir, voici quelques tendances susceptibles d'influencer son évolution :

• L'IA et l'apprentissage automatique progresseront et synthétiseront davantage de données, conférant ainsi davantage de précision et de rapidité à la détection, la priorisation et la réponse.
• Les progrès en matière de fonctionnalités proactives de gestion des identités et des accès garantiront automatiquement que seuls les utilisateurs autorisés ont accès aux bonnes données au bon moment. De plus en plus d'entreprises adopteront les principes Zero Trust et de moindre privilège pour réduire les risques d'accès non autorisé et de mouvement latéral. Les pratiques d'authentification adaptative pourraient également s'imposer dans l'ensemble du secteur afin de réduire les risques de vol d'informations d'authentification en vérifiant les utilisateurs sur la base d'analyses comportementales. 
• La gestion dynamique de la surface d'attaque (DASM) fera partie intégrante de la gestion de l'exposition. Avec la surveillance en continu, ces avancées, pilotées par l'IA et l'apprentissage automatique, garantiront l'évaluation des menaces en temps réel et l'alignement des réponses à mesure que la surface d'attaque évolue.
• La cartographie de l'exposition gagnera en précision et en rapidité. En s'appuyant sur la DASM, la cartographie du chemin d'attaque sera mise à jour en temps réel, et sera capable de détecter les dépendances et les expositions, afin de limiter l'accès et le mouvement des attaquants.
• Les évaluations de risque fourniront des données plus contextuelles et exploitables qui permettront de mieux réduire le risque et de mieux s'aligner sur les processus, les workflows et les objectifs de l'entreprise.
• Les plateformes de gestion de l'exposition disposeront de fonctionnalités d'unification et d'analyse des données plus avancées et intégreront davantage d'outils dans une même solution pour améliorer la visibilité de la surface d'attaque.

À mesure que le marché de la gestion de l'exposition se développera, de nouvelles solutions vont faire leur apparition. Il deviendra alors difficile de savoir quelle plateforme possède les fonctionnalités et les caractéristiques qui répondent le mieux aux besoins de votre entreprise.

Voici les éléments indispensables d'une plateforme de gestion de l'exposition :

• Interface simple et conviviale.
• Scan et inventaire en temps réel et en continu des assets et des vulnérabilités dans tous les environnements, avec des fonctionnalités de gestion des fournisseurs tiers.
• Outils comme l'automatisation et l'IA pour prioriser la remédiation des vulnérabilités en fonction de la threat intelligence en temps réel et de l'impact sur l'entreprise.
• Intégration transparente à vos outils de cyber-sécurité existants, tels que les systèmes de gestion des informations et des événements (SIEM), votre SOC, les plateformes de sécurité du cloud et les systèmes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR).
• Cartographie dynamique de la surface d'attaque et gestion de la surface d'attaque externe qui s'adapte à l'évolution de votre surface d'attaque.
• Unification des données pour toutes vos ressources de cyber-sécurité avec des analyses de données avancées et des rapports personnalisables.
• Possibilité d'automatiser les audits et les rapports de conformité et de s'aligner sur les normes du secteur telles que SOC 2, ISO 27001, RGPD, HIPAA et d'autres lois et réglementations.
• Possibilité d'adapter les fonctionnalités de gestion de l'exposition selon l'évolution de votre entreprise.
• Envisagez de travailler avec un fournisseur qui propose des cas d'utilisation, des avis clients, des essais ou des démonstrations, des stratégies de mise en œuvre, des services d'intégration et un support client disponible 24 h/24 et 7 j/7.

Qu'est-ce que la gestion de l'exposition en cybersécurité ?

La gestion de l'exposition appliquée à la cyber-sécurité vous offre une visibilité complète de votre surface d'attaque moderne pour mieux comprendre et quantifier le cyber-risque et prendre des décisions commerciales plus éclairées. Grâce à une vision globale des expositions potentielles, y compris l'identification et la priorisation des vulnérabilités, des mauvaises configurations, des problèmes liés aux identités et des autorisations excessives, vous pouvez faire face au cyber-risque d'un point de vue technique et business.

Quels outils interviennent généralement dans la gestion de l'exposition ?

Voici quelques outils qui interviennent généralement dans la gestion de l'exposition :

• Scan de vulnérabilités en continu pour détecter les failles de sécurité
• Analyse du chemin d'attaque pour trouver et corréler les chemins exploitables
• Évaluation de l'exposition des identités pour découvrir les mauvaises configurations dans des systèmes comme Active Directory (AD)
• Gestion de la posture de sécurité du cloud (CSPM) pour sécuriser les environnements cloud
• Gestion de la surface d'attaque externe (EASM) pour identifier et atténuer les risques associés aux assets exposés à Internet
• Gestion continue de l'exposition aux cybermenaces (CTEM) pour évaluer et prioriser les menaces afin de réduire le risque en amont
• Gestion des droits d'accès à l'infrastructure cloud (CIEM) pour surveiller et gérer le cloud afin d'empêcher les accès excessifs et de réduire les attaques basées sur les identités
• Gestion de la surface d'attaque des cyber-assets (CAASM) pour une visibilité complète de tous les assets, internes et externes, afin d'identifier les angles morts de sécurité et d'améliorer la gestion de la surface d'attaque
• Scan des applications web pour détecter les vulnérabilités dans les applications web et les API afin de prévenir les attaques telles que les injections SQL et les injections de code indirectes (XSS)
• Sécurité OT pour sécuriser les environnements OT en découvrant les vulnérabilités des dispositifs SCADA (Supervisory Control and Data Acquisition) et des systèmes de contrôle industriel (ICS)
• IA et analyse de l'exposition pour une vision en temps réel de votre posture de sécurité actuelle, afin de suivre et de mesurer le cyber-risque au fil du temps.

Quels secteurs bénéficient le plus de la gestion de l'exposition ?

Tous les secteurs peuvent bénéficier de la gestion de l'exposition. Toutefois, ceux présentant des surfaces d'attaque complexes et étendues, comme dans la finance, la santé, l'énergie et l'industrie manufacturière, sont susceptibles d'en tirer le plus d'avantages. Ils gèrent des données sensibles et des infrastructures critiques, ce qui exige une sécurité efficace couplée à des contrôles de sécurité.

Comment intégrer la gestion de l'exposition aux cadres de cyber-sécurité ?

Intégrez la gestion de l'exposition aux cadres de cyber-sécurité en mettant en œuvre des processus continus de découverte des assets, d'évaluation du risque, d'analyse du chemin d'attaque et de remédiation. 

Quels sont les défis liés à la mise en œuvre de la gestion de l'exposition ?

La mise en œuvre de la gestion de l'exposition présente plusieurs défis :

• Sans corréler les vulnérabilités, les mauvaises configurations, les identités et les chemins d'attaque, vous ne pouvez pas comprendre votre exposition réelle.
• Il est difficile d'identifier et de gérer tous les assets internes, externes, cloud et OT, ce qui peut créer des angles morts et des failles de sécurité inconnues.
• Absence de méthodes standardisées pour évaluer et communiquer le cyber-risque dans le contexte de l'entreprise.
• Sans automatisation, la gestion de l'exposition peut être lente, réactive et nécessiter beaucoup de ressources.
• Suivre l'évolution des obligations de sécurité de l'industrie et des gouvernements.
• La complexité et l'évolution des surfaces et des techniques d'attaque impliquent d'évaluer et de mettre à jour en permanence votre environnement pour bénéficier d'une sécurité proactive.
• Les outils de sécurité traditionnels et cloisonnés rendent difficile la consolidation des informations sur le risque, et donc l'obtention d'une vue unifiée de l'exposition.
• Sans priorisation du risque en fonction du contexte, vos équipes de sécurité sont confrontées à une désensibilisation aux alertes (fatigue d'alertes) et à des workflows de remédiation inefficaces.
• Manque d'expertise et de ressources en matière de cyber-sécurité pour mettre en œuvre la gestion de l'exposition et en tirer profit.

Quelle est la différence entre la CAASM et l'EASM ?

La CAASM et l'EASM sont similaires mais ont des champs d'application différents. La gestion de la surface d'attaque des cyber-assets se concentre sur la visibilité complète de tous les assets au sein de votre environnement interne. La gestion de la surface d'attaque externe permet d'identifier et de gérer les assets potentiellement exposés à Internet face à des menaces externes. Ces deux éléments sont essentiels pour la gestion de l'exposition.

Puis-je automatiser la gestion de l'exposition ?

Oui. Avec une solution adaptée, comme Tenable One, vous pouvez automatiser la mise en œuvre de la gestion de l'exposition et les processus continus.

Prêt à franchir une nouvelle étape dans votre parcours de gestion de l'exposition ? Suivez la série de blogs de l'Exposure Management Academy (en anglais) et découvrez comment mettre en œuvre votre propre programme de gestion de l'exposition.