Qu'est-ce que la gestion du périmètre de vulnérabilité ?
La gestion du périmètre de vulnérabilité aide les organisations à découvrir, hiérarchiser et corriger les vulnérabilités aux cyberattaques.
Personne assise à un bureau utilisant un ordinateur portable
Qu'est-ce que la gestion du périmètre de vulnérabilité ?

La gestion du périmètre de vulnérabilité (ASM) englobe la détection, l'analyse, la correction et la surveillance continue des vulnérabilités et des vecteurs d'attaque potentiels qui constituent le périmètre de vulnérabilité d'une organisation.

Contrairement à d'autres disciplines de cybersécurité, l'ASM est menée entièrement du point de vue du pirate informatique et non pas du défenseur. Elle identifie les cibles et évalue les risques en fonction des opportunités qu'elles présentent pour un agresseur informatique malveillant. L'ASM exploite pour une grande part les mêmes méthodes et ressources que celles utilisées par les pirates informatiques. De nombreuses tâches et technologies de l'ASM sont conçues et exécutées par des « pirates éthiques » qui connaissent les comportements des cybercriminels et savent reproduire leurs actions.

La gestion du périmètre de vulnérabilité externe (EASM), une technologie relativement nouvelle, est parfois utilisée de manière interchangeable avec l'ASM. Toutefois, l'EASM s'intéresse plus particulièrement aux vulnérabilités et aux risques présentés par les actifs informatiques externes ou connectés à Internet dans une organisation. C'est ce que l'on appelle parfois le périmètre de vulnérabilité numérique d'une organisation. L'ASM résout aussi le problème des vulnérabilités dans le périmètre de l'organisation exposé aux attaques physiques et d'ingénierie sociale, par exemple des attaques lancées par des employés internes malveillants, ou résultant d'une méconnaissance par les utilisateurs finaux des escroqueries par hameçonnage.
Pourquoi les entreprises se tournent vers la gestion du périmètre de vulnérabilité

L'adoption du cloud, la transformation numérique et l'expansion du télétravail sont autant de facteurs qui ont été accélérés par la pandémie de COVID-19, accroissant l'empreinte numérique et la surface de vulnérabilité moyenne et la rendant plus distribuée et plus dynamique, de nouveaux actifs se connectant quotidiennement au réseau de l'entreprise.

Selon le rapport State of Attack Surface Management 2022 de Randori (lien externe à ibm.com), 67 % des entreprises ont vu leur périmètre de vulnérabilité augmenter au cours des 12 derniers mois, tandis que l'an dernier, 69 % ont été touchées par un actif inconnu ou mal géré connecté à Internet. (Randori est une filiale d'IBM Corp.) Les analystes sectoriels de Gartner (lien externe à ibm.com) ont désigné l'expansion du périmètre de vulnérabilité comme l'une des priorités majeures des responsables de la sécurité des informations en termes de gestion de la sécurité et des risques en 2022.

Les processus traditionnels de reconnaissance des actifs, d'évaluation des risques et de gestion des vulnérabilités, développés lorsque les réseaux d'entreprise étaient plus stables et centralisés, sont dépassés par le rythme des nouvelles vulnérabilités et des nouveaux vecteurs d'attaque dans les réseaux actuels. Les tests de pénétration, par exemple, peuvent tester les vulnérabilités suspectées dans des actifs connus, mais ne peuvent pas aider les équipes de sécurité à identifier les nouveaux cyberrisques et les vulnérabilités qui font chaque jour leur apparition.

En revanche, le workflow continu de l'ASM et l'adoption du point de vue du pirate permettent aux équipes de sécurité et aux centres des opérations de sécurité (SOC) de définir une stratégie de sécurité proactive face à un périmètre de vulnérabilité qui ne cesse d'évoluer et de se métamorphoser. Les solutions d'ASM offrent une visibilité en temps réel des vulnérabilités et des vecteurs d'attaque dès leur apparition. Elles peuvent tirer parti d'informations provenant d'outils et de processus traditionnels d'évaluation des risques et de gestion des vulnérabilités pour disposer d'un contexte plus large lors de l'analyse et de la hiérarchisation des vulnérabilités. Elles peuvent également s'intégrer à des technologies de détection des menaces et de réponse aux menaces : systèmes SIEM (information sur la sécurité et de gestion des événements), EDR (détection des noeuds finaux et réponse) ou XDR (détection et réponse étendues), afin d'atténuer davantage les menaces et d'accélérer la réponse aux menaces dans toute l'entreprise.
Fonctionnement de l'ASM

L'ASM se compose de quatre processus fondamentaux : découverte des actifs, classification et hiérarchisation, remédiation et surveillance. Là encore, comme la dimension et la forme du périmètre de vulnérabilité changent constamment, les processus sont exécutés en continu et les solutions d'ASM les automatisent chaque fois que cela est possible. L'objectif est de fournir en permanence à l'équipe de sécurité un inventaire complet et à jour des actifs exposés, et d'accélérer la réponse aux vulnérabilités et aux menaces présentant le plus grand risque pour l'organisation.

Reconnaissance des actifs

La reconnaissance des actifs permet de rechercher et d'identifier automatiquement et en continu les matériels, les logiciels et les actifs clouds connectés à Internet susceptibles de constituer des points d'entrée pour un pirate ou un cybercriminel tentant d'attaquer une organisation. Ces actifs peuvent être les suivants

  • Actifs connus — Toute l'infrastructure et toutes les ressources informatiques dont l'organisation a connaissance et qu'elle gère activement : routeurs, serveurs, appareils fournis par l'entreprise ou appareils personnels des utilisateurs (PC, ordinateurs portables, appareils mobiles), appareils IoT, annuaires d'utilisateurs, applications déployées sur site et dans le cloud, sites Web et bases de données propriétaires.

  • Actifs inconnus — Actifs « non inventoriés » qui utilisent les ressources du réseau à l'insu de l'équipe informatique ou de l'équipe de sécurité. L'informatique cachée (matériel ou logiciels déployés sur le réseau sans autorisation et/ou supervision administrative officielle) représente le type d'actif inconnu le plus courant. Une police gratuite téléchargée sur l'ordinateur d'un utilisateur, des sites Web personnels ou des applications clouds utilisés via le réseau de l'organisation, ainsi qu'un appareil mobile personnel non géré utilisé pour accéder aux informations de l'entreprise sont tous des exemples d'informatique cachée. L'informatique orpheline désigne entre autres les anciens logiciels, les sites Web et les appareils qui ne sont plus utilisés et qui n'ont pas été correctement mis hors service et qui sont des types courant d'actifs inconnus.

  • Actifs des tiers ou des fournisseurs — Actifs qui n'appartiennent pas à l'organisation, mais qui font partie de son infrastructure informatique ou de sa chaîne d'approvisionnement numérique. Il s'agit notamment des applications de logiciels en tant que service (SaaS), des API, des actifs du cloud public ou des services tiers utilisés sur le site Web de l'organisation.

  • Actifs des filiales — Tous les actifs connus, inconnus ou de tiers appartenant aux réseaux des filiales d'une organisation. À la suite d'une fusion ou d'une acquisition, ces actifs peuvent ne pas être repérés immédiatement par l'équipe informatique ou l'équipe de sécurité de la société mère.

  • Actifs malveillants ou incontrôlables — Actifs créés ou volés par des acteurs de la menace, afin de cibler l'entreprise. Il peut s'agir d'un site Web de hameçonnage qui se fait passer pour une marque ou de données sensibles dérobées lors d'une violation de données et qui sont ensuite partagées sur le dark Web.

Classification, analyse et hiérarchisation

Une fois les actifs identifiés, ils sont classifiés, analysés pour y rechercher les vulnérabilités et hiérarchisés par ordre de priorité en fonction de leur exposition aux attaques. Il s'agit essentiellement d'une mesure objective qui estime leur risque d'être ciblés par les pirates.

Les actifs sont répertoriés par identité, adresse IP, propriété et connexions aux autres actifs de l'infrastructure informatique. Ils sont analysés en fonction de leurs expositions éventuelles, des causes de ces expositions (par exemple, configuration erronée, erreurs de codage, correctifs manquants) et des types d'attaques que les pirates peuvent mener par le biais de ces expositions (par exemple, vol de données sensibles, diffusion de ransomware ou d'autres logiciels malveillants). 

Les vulnérabilités sont ensuite classées par ordre de priorité, afin d'être corrigées. La hiérarchisation est un exercice d'évaluation des risques : en général, chaque vulnérabilité reçoit une note de sécurité ou un score de risque basé sur

  • des informations recueillies lors de la classification et de l'analyse

  • des données provenant de sources de renseignements sur les menaces (propriétaires et open source), de services d'évaluation de la sécurité, du dark Web et d'autres sources décrivant la visibilité des vulnérabilités pour les pirates, leur facilité d'exploitation, la manière dont elles ont déjà été exploitées, etc.

  • les résultats des propres activités de gestion des vulnérabilités et d'évaluation des risques de sécurité réalisées par l'organisation. L'une de ces activités, appelée « red teaming », consiste essentiellement à réaliser un test de pénétration en se plaçant du point de vue du pirate. Ce test est souvent réalisé par des pirates éthiques internes ou externes. Au lieu de tester les vulnérabilités connues ou suspectées, les membres de la Red Team testent tous les actifs qu'un pirate pourrait essayer d'exploiter.

Résolution

En général, les vulnérabilités sont corrigées par ordre de priorité. Les opérations suivantes sont effectuées :

  • Appliquer les contrôles de sécurité appropriés à l'actif en question : par exemple, appliquer des correctifs du logiciel ou du système d'exploitation, déboguer le code de l'application, implémenter un chiffrement des données renforcé.

  • Contrôler des actifs qui étaient inconnus : définir des normes de sécurité pour les technologies de l'information qui n'étaient pas gérées auparavant, retirer en toute sécurité l'informatique orpheline, éliminer les actifs indésirables, intégrer les actifs subsidiaires dans la stratégie, les politiques et les flux de travail de l'organisation en matière de cybersécurité.

La résolution peut également impliquer des mesures plus larges concernant l'ensemble des actifs pour remédier aux vulnérabilités, par exemple, en mettant en place le principe de l'accès le moins privilégié ou l'authentification multifactorielle (MFA).

Surveillance

Étant donné que les risques de sécurité dans le périmètre de vulnérabilité de l'organisation changent chaque fois que de nouveaux actifs sont déployés ou que des actifs existants sont déployés d'une façon nouvelle, les actifs inventoriés dans le réseau et le réseau lui-même sont surveillés et analysés en permanence pour y détecter les vulnérabilités. Cette surveillance continue permet à l'ASM de détecter et d'évaluer les nouvelles vulnérabilités et les nouveaux vecteurs d'attaque en temps réel, et d'alerter les équipes de sécurité des nouvelles vulnérabilités nécessitant une intervention immédiate.
Solutions connexes
IBM Security Randori Recon

Gérez l'expansion de votre empreinte numérique et atteignez votre objectif avec moins de faux positifs pour améliorer rapidement la cyber-résilience de votre organisation.

Explorer Randori Recon
IBM Security QRadar XDR Connect

Connectez vos outils, automatisez votre centre des opérations de sécurité (SOC), et dégagez du temps pour ce qui compte le plus.

Explorer QRadar XDR Connect
Services de gestion des vulnérabilités

Mettez en place un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la résolution des failles qui risquent d'exposer vos actifs les plus critiques.

Explorer les services de gestion des vulnérabilités
Ressources Qu'est-ce qu'un périmètre de vulnérabilité ?

Le périmètre de vulnérabilité d'une organisation correspond à la somme de ses vulnérabilités de cyber-sécurité.

 Que sont les menaces internes ?

Les menaces internes proviennent d'utilisateurs qui possèdent un accès autorisé aux actifs d'une entreprise et mettent en péril ces actifs délibérément ou accidentellement.

 Qu'est-ce que le Zero Trust ?

Une approche Zero Trust, ou approche basée sur la confiance zéro, exige que tous les utilisateurs, qu'ils soient externes ou internes au réseau, soient authentifiés, autorisés et validés en permanence, pour obtenir et conserver l'accès aux applications et aux données.

 Qu'est-ce qu'un logiciel malveillant ?

Un logiciel malveillant est un code logiciel créé pour endommager ou détruire des ordinateurs ou des réseaux ou pour accéder sans autorisation à des ordinateurs, des réseaux ou des données.

 Qu'est-ce que la sécurité cloud ?

Un guide pour sécuriser votre environnement cloud et vos charges de travail.

 Qu'est-ce que la sécurité des données ?

La sécurité des données est la pratique qui consiste à protéger les informations numériques contre le vol, la corruption ou les accès non autorisés tout au long de leur cycle de vie.
Pour aller plus loin

Les organisations ont fait un bon travail pour trouver et corriger les vulnérabilités connues sur les actifs organisationnels gérés. Mais l'adoption rapide de modèles de clouds hybrides et la prise en charge permanente du personnel à distance ont compliqué la tâche des équipes de sécurité qui doivent gérer l'expansion du périmètre de vulnérabilité de l'entreprise.IBM Security Randori Recon utilise un processus de découverte continu et précis pour découvrir l'informatique cachée, et vous met rapidement sur la bonne voie grâce à des résultats corrélés et factuels basés sur la tentation de l'adversaire. Les flux de travail rationalisés améliorent votre résilience globale grâce à des intégrations avec votre écosystème de sécurité existant.

Explorer Randori Recon