Accueil
Thèmes
Qu'est-ce que le périmètre de vulnérabilité ?
La surface d’attaque d’une entreprise est l’ensemble des vulnérabilités, des chemins et des méthodes, ou vecteurs d’attaque, que les pirates peuvent utiliser pour obtenir un accès non autorisé au réseau ou aux données sensibles, ou encore pour mener une cyberattaque.
Au fur et à mesure que les entreprises cumulent services cloud et modèles de travail hybrides (sur site/télétravail), leurs réseaux et les surfaces d’attaque associées s’agrandissent et deviennent de plus en plus complexes. Selon le rapport The State of Attack Surface Management 2022 publié par Randori, 67 % des entreprises ont vu la taille de leur surface d’attaque augmenter au cours des deux dernières années. Selon l’analyste Gartner, l’expansion de la surface d’attaque était la tendance n° 1 en matière de sécurité et de gestion des risques en 2022 (lien externe à ibm.com).
Les experts en sécurité décomposent la surface d’attaque en trois parties : la surface d’attaque numérique, la surface d’attaque physique et la surface d’attaque d’ingénierie sociale.
Avec l’IBM Security X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
La surface d’attaque numérique rend l’infrastructure cloud et sur site de l’entreprise potentiellement accessible à tout pirate disposant d’une connexion Internet. Voici les vecteurs d’attaque les plus courants associés à la surface d'attaque numérique :
Mots de passe faibles : les mots de passe faciles à deviner, ou à craquer lors d’une attaque par force brute, augmentent le risque de compromission des comptes utilisateur. Les cybercriminels peuvent accéder au réseau, voler des informations sensibles, diffuser des logiciels malveillants et endommager l’infrastructure. Selon le Rapport sur le coût d’une violation de données publié par IBM, les identifiants compromis étaient le vecteur d’attaque initial le plus exploité en 2021.
Erreurs de configuration : les ports réseau, les canaux, les points d’accès sans fil, les pare-feu et les protocoles mal configurés servent de points d’entrée aux pirates. Les attaques de type « homme du milieu », par exemple, tirent parti des protocoles de chiffrement insuffisants sur les canaux de transmission des messages pour intercepter les échanges entre systèmes.
Vulnérabilités des logiciels, des systèmes d’exploitation et des microprogrammes : les pirates informatiques et les cybercriminels peuvent tirer parti des erreurs de codage ou de mise en œuvre des applications, systèmes d’exploitation et autres logiciels ou microprogrammes tiers pour infiltrer les réseaux, accéder aux répertoires utilisateur ou installer des logiciels malveillants. Par exemple, en 2021, des cybercriminels ont exploité une faille de la plateforme VSA (virtual storage appliance) de Kaseya (lien externe à ibm.com) pour diffuser un ransomware déguisé en mise à jour logicielle auprès des clients du fournisseur.
Actifs accessibles sur Internet : les applications Web, les serveurs Web et autres ressources accessibles sur l’Internet public sont intrinsèquement vulnérables aux attaques. Par exemple, les pirates peuvent injecter un code malveillant dans les interfaces de programmation des applications (API) non sécurisées pour les amener à divulguer, voire à détruire, les informations sensibles contenues dans les bases de données associées.
Bases de données et répertoires partagés : les pirates peuvent exploiter les bases de données et les répertoires partagés entre systèmes et appareils pour obtenir un accès non autorisé aux ressources sensibles ou lancer des attaques par ransomware. En 2016, le ransomware Virlock s’est propagé (lien externe à ibm.com) en infectant les dossiers collaboratifs accessibles à partir de différents appareils.
Appareils, données ou applications non mis à jour ou obsolètes : l’application irrégulière des mises à jour et des correctifs fait peser des risques sur la sécurité. Un exemple notable est le ransomware WannaCry, qui s’est propagé en exploitant une vulnérabilité des systèmes d’exploitation Microsoft Windows (lien externe à ibm.com), alors qu’un correctif était disponible. De la même manière, les points de terminaison, les jeux de données, les comptes utilisateur et les applications obsolètes non désinstallés, supprimés ou retirés entraînent des vulnérabilités non surveillées que les cybercriminels peuvent facilement exploiter.
Shadow IT : le « shadow IT » désigne les logiciels, matériels et appareils (applications gratuites ou largement utilisées, périphériques de stockage portables, appareils mobiles personnels non sécurisés) que les salariés d’une entreprise utilisent à l’insu ou sans l’approbation du service informatique. Parce qu’il n’est pas surveillé par les équipes informatiques ou de sécurité, le shadow IT est susceptible d’introduire de graves vulnérabilités que les pirates peuvent exploiter.
La surface d’attaque physique expose les actifs et les informations généralement accessibles uniquement aux utilisateurs autorisés à accéder aux appareils et périphériques de l’entreprise (serveurs, ordinateurs de bureau, ordinateurs portables, appareils mobiles, objets connectés, matériel opérationnel).
Menaces internes malveillantes : un salarié mécontent, corrompu ou tout autre utilisateur mal intentionné peut utiliser ses privilèges d’accès pour voler des données sensibles, désactiver des appareils, implanter des logiciels malveillants, voire pire.
Vol d’appareils : les malfaiteurs peuvent voler des périphériques ou y accéder en pénétrant dans les locaux de l’entreprise. Une fois en possession du matériel, les pirates informatiques peuvent accéder aux données et aux processus stockés sur ces appareils. Ils peuvent également utiliser l’identité et les autorisations de l’appareil pour accéder à d’autres ressources du réseau. Les points de terminaison utilisés en télétravail, sur les appareils personnels des salariés et les appareils mis au rebut de manière inappropriée sont généralement ciblés par les voleurs.
Appât : cette attaque consiste à laisser dans un lieu public une clé USB infectée par un logiciel malveillant que les utilisateurs pourront télécharger à leur insu en branchant le périphérique sur leur ordinateur.
L’ingénierie sociale consiste à manipuler les utilisateurs pour les amener à commettre des erreurs susceptibles de compromettre leurs actifs personnels ou professionnels, ou encore leur sécurité et celle de l’entreprise. Exemples :
Parce qu’elle exploite les faiblesses humaines, et non les vulnérabilités des systèmes techniques ou numériques, l’ingénierie sociale est également appelée « piratage humain ».
En savoir plus sur l’ingénierie sociale
La surface d’attaque d’ingénierie sociale d’une entreprise correspond essentiellement au nombre d’utilisateurs autorisés qui sont vulnérables ou mal préparés à faire face aux attaques d’ingénierie sociale.
Le phishing, ou hameçonnage, est le vecteur d’attaque d’ingénierie sociale le plus connu et le plus répandu. Lors d’une attaque par hameçonnage, les pirates envoient des e-mails, des SMS ou des messages vocaux qui visent à manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l’argent ou des actifs à des personnes mal intentionnées ou à prendre d’autres mesures préjudiciables. Les escrocs rédigent ces messages avec soin. Il s’agit de donner l’impression qu’ils proviennent d’une organisation ou d’une personne de confiance ou crédible (un détaillant populaire, une organisation gouvernementale ou parfois même une personne que le destinataire connaît personnellement).
Selon le Rapport sur le coût d’une violation de données en 2021 publié par IBM, l’ingénierie sociale est la deuxième cause de violation de données.
La gestion de la surface d’attaque (ASM) désigne les processus et les technologies qui adoptent le point de vue et l’approche des pirates pour aborder la surface d’attaque de l’entreprise. Il s’agit de détecter et de surveiller en permanence les actifs et les vulnérabilités que les pirates voient et tentent d’exploiter lorsqu’ils ciblent l’entreprise. L’ASM implique généralement les pratiques suivantes :
Détection, inventaire et surveillance continus des actifs potentiellement vulnérables. Tout projet ASM commence par un inventaire complet et continuellement mis à jour des actifs informatiques accessibles sur Internet, y compris les actifs sur site et dans le cloud. Adopter l’approche des pirates informatiques permet de couvrir non seulement les actifs connus, mais aussi les applications ou appareils fantômes (shadow IT). Ces applications ou appareils ont probablement été abandonnés sans avoir été supprimés ni désactivés (informatique orpheline). Il peut également s’agir d’actifs plantés par des pirates informatiques ou des logiciels malveillants (rogue IT), etc. Bref, tout actif pouvant être exploité par un pirate informatique ou une cybermenace.
Une fois identifiés, les actifs sont surveillés en permanence, en temps réel, afin de détecter tout changement susceptible d’augmenter le risque d’attaque par leur biais.
Analyse de la surface d’attaque, évaluation des risques et hiérarchisation. Les technologies ASM évaluent les actifs en fonction de leurs vulnérabilités et des risques qu’ils font peser sur la sécurité, puis les classent par ordre de priorité pour ce qui est de la réponse aux menaces et de la résolution.
Réduction de la surface d’attaque et résolution. Les équipes de sécurité exploitent les résultats de l’analyse de la surface d’attaque et du red teaming pour prendre diverses mesures à court terme afin de réduire la surface d’attaque. Il peut s’agir d’appliquer des mots de passe forts, de désactiver les applications et les points de terminaison qui ne sont plus utilisés, d’appliquer des correctifs aux applications et aux systèmes d’exploitation, de former les utilisateurs à reconnaître les tentatives d’hameçonnage, de mettre en place un contrôle d’accès biométrique à l’entrée des bureaux, ou encore de réviser les contrôles et les politiques de sécurité portant sur le téléchargement logiciel et les supports amovibles.
Les entreprises peuvent également prendre des mesures de sécurité plus structurelles ou à plus long terme pour réduire leur surface d’attaque, que ce soit ou non dans le cadre d’un projet de gestion de la surface d’attaque. Par exemple, la mise en œuvre de l’authentification à deux facteurs (2fa) ou de l’authentification à étapes permet de réduire, voire d’éliminer les vulnérabilités associées aux mots de passe faibles ou à une mauvaise gestion de ces derniers.
À plus grande échelle, une approche Zero Trust de la sécurité permet de réduire considérablement la surface d’attaque de l’entreprise. L’approche Zero Trust exige que tous les utilisateurs, qu’ils soient extérieurs ou internes au réseau, soient identifiés, autorisés et validés en permanence pour obtenir et conserver l’accès aux applications et aux données. Les principes et technologies Zero Trust (validation continue, moindre privilège, surveillance continue, microsegmentation du réseau) permettent de réduire, voire d’éliminer de nombreux vecteurs d’attaque, et fournissent des données précieuses pour analyser en permanence la surface d’attaque.
Adoptez un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la correction des failles susceptibles d’exposer vos actifs les plus critiques.
Découverte et classification précises, évolutives et intégrées de données structurées et non structurées dans tous les environnements
L’ingénierie sociale vise à compromettre la sécurité des personnes et des entreprises en recourant à la manipulation psychologique plutôt qu’au piratage technique.
Un logiciel malveillant est un code logiciel écrit pour endommager ou détruire ordinateurs et réseaux, ou encore pour permettre un accès non autorisé aux ordinateurs, aux réseaux et aux données.
L’approche Zero Trust exige que tous les utilisateurs, qu’ils soient extérieurs ou internes au réseau, soient identifiés, autorisés et validés en permanence pour obtenir et conserver l’accès aux applications et aux données.
Les menaces d'initiés se produisent lorsque des utilisateurs ayant un accès autorisé aux actifs d'une entreprise compromettent ces actifs délibérément ou accidentellement.
Un guide pour vous aider à sécuriser votre environnement de cloud computing et vos workloads.
La sécurité des données est une pratique qui consiste à protéger les informations numériques contre le vol, la corruption et l’accès non autorisé, et ce tout au long de leur cycle de vie.