Qu'est-ce qu'une surface d'attaque ?

Qu’est-ce qu’une surface d’attaque ?

La surface d’attaque d’une entreprise est l’ensemble des vulnérabilités, des chemins et des méthodes, ou vecteurs d’attaque, que les pirates peuvent utiliser pour obtenir un accès non autorisé au réseau ou aux données sensibles, ou encore pour mener une cyberattaque.

Au fur et à mesure que les entreprises cumulent services cloud et modèles de travail hybrides (sur site/télétravail), leurs réseaux et les surfaces d’attaque associées s’agrandissent et deviennent de plus en plus complexes. Selon le rapport State of Attack Surface Management 2022 publié par Randori, 67 % des entreprises ont vu la taille de leur surface d’attaque augmenter au cours des deux dernières années. 

Les experts en sécurité décomposent la surface d’attaque en trois parties : la surface d’attaque numérique, la surface d’attaque physique et la surface d’attaque d’ingénierie sociale.

Newsletter Think

Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?

Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

https://www.ibm.com/fr-fr/privacy

Surface d’attaque numérique

La surface d’attaque numérique rend l’infrastructure cloud et sur site de l’entreprise potentiellement accessible à tout pirate disposant d’une connexion Internet. Voici les vecteurs d’attaque les plus courants associés à la surface d'attaque numérique :

  1. Mots de passe faibles
  2. Erreurs de configuration
  3. Vulnérabilités des logiciels, systèmes d’exploitation (OS) et microprogrammes
  4. Actifs accessibles sur Internet
  5. Bases de données et répertoires partagés
  6. Appareils, données ou applications non mis à jour ou obsolètes
  7. Shadow IT

  • Mots de passe faibles : les mots de passe faciles à deviner, ou à craquer lors d’une attaque par force brute, augmentent le risque de compromission des comptes utilisateur. Les cybercriminels peuvent accéder au réseau, voler des informations sensibles, diffuser des logiciels malveillants et endommager l’infrastructure. Selon le Rapport sur le coût d’une violation de données 2025 d’IBM, les identifiants compromis sont impliqués dans 10 % des violations.
     

  • Erreurs de configuration : les ports réseau, les canaux, les points d’accès sans fil, les pare-feu et les protocoles mal configurés servent de points d’entrée aux pirates. Les attaques de type « homme du milieu », par exemple, tirent parti des protocoles de chiffrement insuffisants sur les canaux de transmission des messages pour intercepter les échanges entre systèmes.
     

  • Vulnérabilités des logiciels, des systèmes d’exploitation et des microprogrammes : les pirates informatiques et les cybercriminels peuvent profiter des erreurs de codage ou de mise en œuvre des applications, systèmes d’exploitation et autres logiciels ou microprogrammes tiers pour infiltrer les réseaux, accéder aux répertoires utilisateur ou installer des logiciels malveillants. Par exemple, en 2021, des cybercriminels ont profité d’une faille de la plateforme VSA (virtual storage appliance) de Kaseya pour diffuser un ransomware déguisé en mise à jour logicielle auprès des clients du fournisseur.
     

  • Actifs accessibles sur Internet : les applications Web, les serveurs Web et autres ressources accessibles sur l’Internet public sont intrinsèquement vulnérables aux attaques. Par exemple, les pirates peuvent injecter un code malveillant dans les interfaces de programmation des applications (API) non sécurisées pour les amener à divulguer, voire à détruire, les informations sensibles contenues dans les bases de données associées.
     

  • Bases de données et répertoires partagés : les pirates peuvent exploiter les bases de données et les répertoires partagés entre systèmes et appareils pour obtenir un accès non autorisé aux ressources sensibles ou lancer des attaques par ransomware. En 2016, le ransomware Virlock s’est propagé en infectant les dossiers collaboratifs accessibles à partir de différents appareils.
     

  • Appareils, données ou applications non mis à jour ou obsolètes : l’application irrégulière des mises à jour et des correctifs fait peser des risques sur la sécurité. Un exemple notable est le ransomware WannaCry, qui s’est propagé en exploitant une vulnérabilité du système d’exploitation Microsoft Windows pour laquelle un correctif était disponible. De la même manière, les points de terminaison, les jeux de données, les comptes utilisateur et les applications obsolètes non désinstallés, supprimés ou retirés entraînent des vulnérabilités non surveillées que les cybercriminels peuvent facilement exploiter.
     

  • Shadow IT : le « shadow IT » désigne les logiciels, matériels et appareils (applications gratuites ou largement utilisées, périphériques de stockage portables, appareils mobiles personnels non sécurisés) que les salariés d’une entreprise utilisent à l’insu ou sans l’approbation du service informatique. Parce qu’il n’est pas surveillé par les équipes informatiques ou de sécurité, le shadow IT est susceptible d’introduire de graves vulnérabilités que les pirates peuvent exploiter.

Surface d’attaque physique

La surface d’attaque physique expose les actifs et les informations généralement accessibles uniquement aux utilisateurs autorisés à accéder aux appareils et périphériques de l’entreprise (serveurs, ordinateurs de bureau, ordinateurs portables, appareils mobiles, objets connectés, matériel opérationnel).

  • Menaces internes malveillantes : un salarié mécontent, corrompu ou tout autre utilisateur mal intentionné peut utiliser ses privilèges d’accès pour voler des données sensibles, désactiver des appareils, implanter des logiciels malveillants, voire pire.
     

  • Vol d’appareils : les malfaiteurs peuvent voler des périphériques de point de terminaison ou y accéder en pénétrant dans les locaux de l’entreprise. Une fois en possession du matériel, les pirates informatiques peuvent accéder aux données et aux processus stockés sur ces appareils. Ils peuvent également utiliser l’identité et les autorisations de l’appareil pour accéder à d’autres ressources du réseau. Les points de terminaison utilisés en télétravail, sur les appareils personnels des salariés et les appareils mis au rebut de manière inappropriée sont généralement ciblés par les voleurs.
     

  • Appât : cette attaque consiste à laisser dans un lieu public une clé USB infectée par un logiciel malveillant que les utilisateurs pourront télécharger à leur insu en branchant le périphérique sur leur ordinateur.

Surface d’attaque d’ingénierie sociale

L’ingénierie sociale consiste à manipuler les utilisateurs pour les amener à commettre des erreurs susceptibles de compromettre leurs actifs personnels ou professionnels, ou encore leur sécurité et celle de l’entreprise. Exemples :

  • partager des informations censées rester confidentielles ;
  • télécharger des logiciels qu’ils ne sont pas censés télécharger ;
  • consulter des sites Web qu’ils ne sont pas censés consulter ;
  • envoyer de l’argent à des malfaiteurs

Parce qu’elle exploite les faiblesses humaines, et non les vulnérabilités des systèmes techniques ou numériques, l’ingénierie sociale est également appelée « piratage humain ».

La surface d’attaque d’ingénierie sociale d’une entreprise correspond essentiellement au nombre d’utilisateurs autorisés qui sont vulnérables ou mal préparés à faire face aux attaques d’ingénierie sociale.

Le phishing, ou hameçonnage, est le vecteur d’attaque d’ingénierie sociale le plus connu et le plus répandu. Selon le rapport d’IBM sur le coût d’une violation de données 2025, l’hameçonnage est la cause première de ces violations.

Lors d’une attaque par hameçonnage, les pirates envoient des e-mails, des SMS ou des messages vocaux qui visent à manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l’argent ou des actifs à des personnes mal intentionnées ou à prendre d’autres mesures préjudiciables. Les escrocs rédigent ces messages avec soin. Il s’agit de donner l’impression qu’ils proviennent d’une organisation ou d’une personne de confiance ou crédible (un détaillant populaire, une organisation gouvernementale ou parfois même une personne que le destinataire connaît personnellement).

Gestion du périmètre de vulnérabilité

La gestion de la surface d’attaque (ASM) désigne les processus et les technologies qui adoptent le point de vue et l’approche des pirates pour aborder la surface d’attaque de l’entreprise. Il s’agit de détecter et de surveiller en permanence les actifs et les vulnérabilités que les pirates voient et tentent d’exploiter lorsqu’ils ciblent l’entreprise. L’ASM implique généralement les pratiques suivantes :

Détection, inventaire et surveillance continus des actifs potentiellement vulnérables. Tout projet ASM commence par un inventaire complet et continuellement mis à jour des actifs informatiques accessibles sur Internet, y compris les actifs sur site et dans le cloud. Adopter l’approche des pirates informatiques permet de couvrir non seulement les actifs connus, mais aussi les applications ou appareils fantômes (shadow IT). Ces applications ou appareils ont probablement été abandonnés sans avoir été supprimés ni désactivés (informatique orpheline). Il peut également s’agir d’actifs plantés par des pirates informatiques ou des logiciels malveillants (rogue IT), etc. Bref, tout actif pouvant être exploité par un pirate informatique ou une cybermenace.

Une fois identifiés, les actifs sont surveillés en permanence, en temps réel, afin de détecter tout changement susceptible d’augmenter le risque d’attaque par leur biais.

Analyse de la surface d’attaque, évaluation des risques et hiérarchisation. Les technologies ASM évaluent les actifs en fonction de leurs vulnérabilités et des risques qu’ils font peser sur la sécurité, puis les classent par ordre de priorité pour ce qui est de la réponse aux menaces et de la résolution.

Réduction de la surface d’attaque et résolution. Les équipes de sécurité exploitent les résultats de l’analyse de la surface d’attaque et du red teaming pour prendre diverses mesures à court terme afin de réduire la surface d’attaque. Il peut s’agir d’appliquer des mots de passe forts, de désactiver les applications et les points de terminaison qui ne sont plus utilisés, d’appliquer des correctifs aux applications et aux systèmes d’exploitation, de former les utilisateurs à reconnaître les tentatives d’hameçonnage, de mettre en place un contrôle d’accès biométrique à l’entrée des bureaux, ou encore de réviser les contrôles et les politiques de sécurité portant sur le téléchargement logiciel et les supports amovibles.

Les entreprises peuvent également prendre des mesures de sécurité plus structurelles ou à plus long terme pour réduire leur surface d’attaque, que ce soit ou non dans le cadre d’un projet de gestion de la surface d’attaque. Par exemple, la mise en œuvre de l’authentification à deux facteurs (2FA) ou de l’authentification à étapes permet de réduire, voire d’éliminer les vulnérabilités associées aux mots de passe faibles ou à une mauvaise gestion de ces derniers.

À plus grande échelle, une approche Zero Trust de la sécurité permet de réduire considérablement la surface d’attaque de l’entreprise. L’approche Zero Trust exige que tous les utilisateurs, qu’ils soient extérieurs ou internes au réseau, soient identifiés, autorisés et validés en permanence pour obtenir et conserver l’accès aux applications et aux données. Les principes et technologies Zero Trust (validation continue, moindre privilège, surveillance continue, microsegmentation du réseau) permettent de réduire, voire d’éliminer de nombreux vecteurs d’attaque, et fournissent des données précieuses pour analyser en permanence la surface d’attaque.
Solutions connexes
Services de réponse aux incidents

Améliorez le programme de réponse aux incidents de votre organisation, minimisez l’impact d’une violation et bénéficiez d’une réponse rapide aux incidents de cybersécurité.

 Explorer les services de réponse aux incidents
Solutions de détection et de réponse aux menaces

Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

 Découvrir les solutions de détection des menaces
Solutions IBM QRadar SOAR

Optimisez les processus de prise de décision, améliorez l’efficacité du SOC et accélérez la réponse aux incidents grâce à une solution d’automatisation intelligente et d’orchestration.

 Explorer QRadar SOAR
Passez à l’étape suivante

Améliorez le programme de réponse aux incidents de votre organisation, minimisez l’impact d’une violation et bénéficiez d’une réponse rapide aux incidents de cybersécurité.

 Explorer les services de réponse aux incidents En savoir plus sur IBM X-Force