Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070
Guide

Comment jalonner votre parcours vers la maturité en gestion de l'exposition

Prêt à faire de la gestion de l'exposition une priorité ? Ce guide de démarrage rapide vous aidera à déterminer votre niveau actuel de maturité en gestion des risques et vous proposera des changements importants au niveau du personnel, des processus et des technologies afin de vous aider à atteindre le niveau souhaité.

Comment jalonner votre parcours vers la maturité en gestion de l'exposition

Comment jalonner votre parcours vers la maturité en gestion de l'exposition

14changements clés liés au personnel, aux processus et aux technologies pour obtenir des résultats concrets en matière de cyber-sécurité et de gestion du risque

Télécharger maintenant

Qu'est-ce que la gestion de l'exposition ?

La gestion de l'exposition est une approche stratégique de la sécurité proactive conçue pour identifier, prioriser et éliminer en continu les cyber-expositions les plus urgentes d'une entreprise, à savoir les combinaisons toxiques de risques évitables (par exemple les vulnérabilités, les mauvaises configurations et les autorisations excessives) qui permettent aux attaquants d'accéder aux assets les plus critiques.

Avantages de la gestion de l'exposition

6 raisons pour lesquelles les RSSI font de la gestion de l'exposition une pierre angulaire de leur stratégie de cyber-sécurité

  1. La gestion de l'exposition permet d'accroître la productivité et l'efficacité de la fonction de cyber-sécurité, tout en réduisant les coûts globaux et les expositions.
  2. Elle fournit aux responsables de la sécurité et aux chefs d'entreprise une vue unifiée de la cyber-exposition réelle.
  3. Elle améliore l'efficacité des équipes chargées de la sécurité proactive et de la remédiation en priorisant les expositions et en offrant un processus unifié pour y remédier.
  4. Elle contribue à réduire la surface d'attaque exploitable d'une entreprise, ce qui allège la charge des équipes chargées de la sécurité réactive (à l'instar des responsables de la réponse aux incidents, des analyses SOC et de la détection des menaces).
  5. La gestion de l'exposition offre aux responsables de la sécurité un mécanisme permettant d'unifier les fonctions de sécurité proactive cloisonnées et les données produites par leurs outils disparates.
  6. Elle ouvre également une voie évolutive et durable pour élever les niveaux de maturité des équipes de sécurité proactive.

Quelques exemples concrets de gestion de l'exposition

Les clients de Tenable ont obtenu les résultats suivants grâce à la gestion de l'exposition :

10 x +
Jusqu'à dix fois plus d'amélioration et de visibilité
75 %
Jusqu'à 75 % de gain de temps consacré à l'agrégation et à la normalisation des données d'exposition
82 %
Jusqu'à 82 % de nouveaux tickets de remédiation en moins
80 %
Jusqu'à 80 % de réduction des coûts de licence
45 M $
45 millions de dollars de pertes dues à la cyber-exposition évités en un an

Les cinq niveaux de maturité en gestion de l'exposition

Niveau 1 : Ad hoc

Vous savez que vous êtes à ce niveau si votre entreprise :
  • Se repose essentiellement sur des audits manuels pour identifier les assets dans son environnement.
  • Est plus réactive que proactive, avec des outils limités ou inexistants pour détecter le risque dans chaque domaine de sécurité.
  • N'a adopté aucun cadre ni critère de référence.
  • Ne dispose pas de workflows de remédiation définis.
  • Se repose sur un suivi fragmenté,incohérent et manuel des indicateurs.
 

Niveau 2 : Défini

Vous savez que vous êtes à ce niveau si votre entreprise :
  • Dispose d'un personnel dont les rôles sont définis et alignés sur les différents domaines de sécurité, même si la maturité de chaque domaine varie (par exemple certaines équipes ont une expertise et des processus plus avancés).
  • A une meilleure visibilité sur les assets et la surface d'attaque, mais que d'importants angles morts subsistent dans la couverture en raison de l'utilisation intermittente d'outils de découverte automatisés dans certains domaines de sécurité.
  • Utilise un score de risque propre à un outil ou à une norme du secteur et a commencé à prendre en compte la threat intelligence dans ce score afin de prioriser les détections individuelles.
  • A mis en place des outils de remédiation et a commencé à définir des processus de remédiation de base.
  • A commencé à définir un ensemble d'indicateurs et de rapports de base pour chaque domaine, mais ne tient pas compte de l'alignement business et manque de cohérence inter-domaines.
 

Niveau 3 : Standardisé

Vous savez que vous êtes à ce niveau si votre entreprise :
  • Dispose d'une visibilité automatisée sur un large éventail de types d'assets de sa surface d'attaque, avec une détection du risque principalement axée sur les vulnérabilités (CVE).
  • Tient également compte de la threat intelligence et de la criticité des assets, en plus du score de risque propre à un outil ou à une norme du secteur, pour comprendre la probabilité d'exploitation et la valeur business de chaque asset.
  • Agrège certaines données relatives aux assets et au risque dans un datastore unique, qu'il s'agisse d'une base de données, d'un outil de reporting ou d'un data lake unifié.
  • Dispose de processus de priorisation matures dans les différents domaines de sécurité, ainsi que de processus de remédiation bien documentés et intégrés aux outils.
  • A défini des indicateurs de référence et des rapports pour chaque domaine de sécurité, avec la possibilité de les adapter aux unités métier.
 

Niveau 4 : Avancé

Vous savez que vous êtes à ce niveau si votre entreprise :
  • Dispose d'une vue robuste et unifiée de la plupart des assets de sa surface d'attaque. Toutefois, un manque de visibilité peut subsister si elle s'appuie sur une découverte automatisée ponctuelle.
  • ️Dispose de solides capacités de détection des vulnérabilités et des mauvaises configurations sur toute la surface d'attaque, mais manque généralement de visibilité sur les expositions liées aux autorisations excessives accordées aux humains et aux machines.
  • Normalise le score de risque dans les différents domaines et prend en compte la threatintelligence ainsi que la criticité des assets.
  • Procède automatiquement à l'agrégation, la déduplication et la mise en corrélation des données de sécurité dans un data lake unifié.
  • A adopté une approche unifiée de la priorisation dans tous les domaines, qui inclut des tags avec le contexte business pour comprendre l'impact business potentiel.
  • Mobilise et affecte le personnel à des rôles inter-domaines et utilise des processus existants et éprouvés pour la remédiation.
  • Dispose d'indicateurs cohérents et de rapports alignés sur ses activités dans l'ensemble des domaines.
 

Niveau 5 : Optimisé

Vous savez que vous êtes à ce niveau si votre entreprise :
  • Dispose d'une vue robuste et unifiée de toute sa surface d'attaque, avec une découverte en continu des assets.
  • Détecte de manière proactive toutes les formes de risque évitables que les attaquants peuvent exploiter : vulnérabilités, mauvaises configurations et autorisations excessives.
  • Applique une notation avancée, axée sur l'exposition, qui permet de déterminer l'exposition totale des assets, ainsi que les scores d'exposition pour les différentes unités métier.
  • Priorise la remédiation des chemins d'attaque et des expositions potentiellement exploitables par des attaquants qui cherchent à accéder aux assets critiques afin de provoquer des perturbations.
  • Dispose d'une équipe dédiée, mature et inter-domaines qui optimise en permanence les processus et les workflows de remédiation afin de maximiser la productivité et la réduction du risque.
  • Dispose d'indicateurs et de capacités de reporting éprouvés pour communiquer les véritables expositions plutôt que les risques individuels.

Êtes-vous prêt à vous lancer ?

Téléchargez le guide de démarrage rapide pour découvrir 14 changements clés liés au personnel, aux processus et aux technologies et obtenir des résultats concrets en matière de cyber-sécurité et de gestion du risque

Télécharger votre guide