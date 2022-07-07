La gestion des surfaces d'attaque (ASM) est la découverte, l'analyse, la priorisation, la résolution et le suivi continus des vulnérabilités de cybersécurité et des vecteurs d'attaque potentiels qui composent la surface d'attaque d'une organisation.
Contrairement à d’autres disciplines de cybersécurité, l’ASM est entièrement menée du point de vue du pirate informatique plutôt que du point de vue du défenseur. Il identifie les cibles et évalue les risques en fonction des opportunités qu'ils présentent à un pirate malveillant.
L'ASM s'appuie sur un grand nombre de méthodes et de ressources utilisées par les pirates informatiques. De nombreuses tâches et technologies ASM sont conçues et exécutées par des « pirates éthiques » qui connaissent bien le comportement des cybercriminels et sont capables de reproduire leurs actions.
La gestion de la surface d'attaque externe (EASM), une technologie ASM relativement nouvelle, est parfois utilisée de manière interchangeable avec l'ASM. Cependant, l'EASM se concentre spécifiquement sur les vulnérabilités et les risques présentés par les actifs informatiques externes ou accessibles sur Internet d'une organisation, parfois désignés comme la surface d'attaque numérique de l'organisation.
L'ASM concerne également les vulnérabilités des surfaces d'attaque physiques et d'ingénierie sociale d'une organisation, telles que les initiés malveillants ou une formation inadéquate des utilisateurs finaux contre les tentatives de hameçonnage.
L'adoption accrue du cloud, la transformation numérique et l'expansion du télétravail ces dernières années ont considérablement agrandi l'empreinte numérique moyenne des entreprises et leur surface d'attaque. Celle-ci est désormais plus distribuée et plus dynamique, avec de nouveaux actifs qui se connectent chaque jour au réseau de l'entreprise.
Les processus traditionnels de découverte des actifs, d'évaluation des risques et de gestion des vulnérabilités, qui ont été développés lorsque les réseaux d'entreprise étaient plus stables et centralisés, sont dépassés par la vitesse à laquelle de nouvelles vulnérabilités et de nouveaux vecteurs d'attaque apparaissent dans les réseaux d'aujourd'hui. Les tests d'intrusion, par exemple, permettent de détecter des vulnérabilités présumées dans des actifs connus, mais ils ne peuvent pas aider les équipes de sécurité à identifier les nouveaux cyberrisques et vulnérabilités qui apparaissent chaque jour.
Mais le flux de travail continu d'ASM et la perspective d'un pirate informatique permettent aux équipes de sécurité et aux centres d'opérations de sécurité (SOC) d'adopter une posture de sécurité proactive face à une surface d'attaque en constante croissance et évolution. Les solutions ASM offrent une visibilité en temps réel sur les vulnérabilités et les vecteurs d'attaque à mesure qu'ils émergent.
Ils peuvent s'appuyer sur les informations provenant des outils et processus traditionnels d'évaluation des risques et de gestion des vulnérabilités pour obtenir un meilleur contexte lors de l'analyse et de la hiérarchisation des vulnérabilités. De plus, ils peuvent s'intégrer aux technologies de détection et de réponse aux menaces, notamment la gestion des informations et des événements de sécurité (SIEM), la détection et réponse des terminaux (EDR) ou la détection et la réponse étendues (XDR), afin d'améliorer l'atténuation des menaces et d'accélérer la réponse aux menaces à l'échelle de l'entreprise.
L’ASM repose sur quatre processus principaux : la découverte, la classification et la priorisation des actifs, la correction et la surveillance. Là encore, en raison de la constante évolution de la taille et de la forme de la surface d'attaque numérique, ces processus sont effectués de manière continue, et les solutions ASM automatisent ces processus chaque fois que c'est possible. L'objectif est d'armer les équipes de sécurité avec un inventaire complet et actuel des actifs exposés, afin d'accélérer la réponse aux vulnérabilités et aux menaces présentant le plus grand risque pour l'organisation.
Découverte d'actifs
La découverte d'actifs recherche et identifie automatiquement et en continu les matériels, logiciels et actifs cloud accessibles sur Internet qui pourraient servir de points d'entrée pour un pirate informatique ou un cybercriminel cherchant à attaquer une organisation. Ces actifs peuvent inclure :
Classification, analyse et hiérarchisation des priorités
Une fois les actifs identifiés, ils sont classés, analysés pour détecter les vulnérabilités et priorisés en fonction de leur « attaquabilité », une mesure objective de la probabilité qu'ils soient ciblés par des pirates.
Les actifs sont inventoriés par identifiant, adresse IP, propriété et connexions aux autres actifs de l'infrastructure informatique. Ils sont analysés en fonction des vulnérabilités qu'ils peuvent présenter, des causes de ces vulnérabilités (par exemple, mauvaises configurations, erreurs de codage, correctifs manquants) et des types d'attaques que les pirates peuvent mener grâce à ces vulnérabilités (par exemple, vol de données sensibles, diffusion de ransomware ou d'autres logiciels malveillants).
Ensuite, les vulnérabilités sont classées par ordre de priorité pour la correction. La hiérarchisation des priorités est un exercice d’évaluation des risques – en règle générale, on attribue à chaque vulnérabilité une note de sécurité ou un score de risque en fonction :
Résolution
En général, les vulnérabilités sont corrigées par ordre de priorité. Cela peut impliquer :
La correction peut également impliquer des mesures plus larges et multi-actifs pour traiter les vulnérabilités, telles que la mise en œuvre du principe du moindre privilège ou de l'authentification multifactorielle (MFA).
Surveillance
Comme les risques de sécurité sur la surface d'attaque de l'organisation changent chaque fois que de nouveaux actifs sont déployés ou que des actifs existants sont déployés de nouvelles manières, les actifs inventoriés du réseau et le réseau lui-même sont continuellement surveillés et analysés à la recherche de vulnérabilités. La surveillance continue permet à l'ASM de détecter et d'évaluer les nouvelles vulnérabilités et les nouveaux vecteurs d'attaque en temps réel, et d'alerter les équipes de sécurité de toute nouvelle vulnérabilité nécessitant une attention immédiate.
