Qu'est-ce que la gestion des surfaces d'attaque ?

Contrairement à d’autres disciplines de cybersécurité, l’ASM est entièrement menée du point de vue du pirate informatique plutôt que du point de vue du défenseur. Il identifie les cibles et évalue les risques en fonction des opportunités qu’ils présentent à un pirate malveillant.

L’ASM s’appuie sur un grand nombre de méthodes et de ressources utilisées par les pirates informatiques. De nombreuses tâches et technologies ASM sont conçues et exécutées par des « pirates éthiques » qui connaissent bien le comportement des cybercriminels et sont capables de reproduire leurs actions.

La gestion de la surface d'attaque externe (EASM), une technologie ASM relativement nouvelle, est parfois utilisée de manière interchangeable avec l'ASM. Cependant, l'EASM se concentre spécifiquement sur les vulnérabilités et les risques présentés par les actifs informatiques externes ou accessibles sur Internet d'une organisation, parfois désignés comme la surface d'attaque numérique de l'organisation.

L'ASM concerne également les vulnérabilités des surfaces d'attaque physiques et d'ingénierie sociale d'une organisation, telles que les initiés malveillants ou une formation inadéquate des utilisateurs finaux contre les tentatives de hameçonnage.

L'adoption accrue du cloud, la transformation numérique et l'expansion du télétravail ces dernières années ont considérablement agrandi l'empreinte numérique moyenne des entreprises et leur surface d'attaque. Celle-ci est désormais plus distribuée et plus dynamique, avec de nouveaux actifs qui se connectent chaque jour au réseau de l'entreprise.

Les processus traditionnels de découverte des actifs, d'évaluation des risques et de gestion des vulnérabilités, qui ont été développés lorsque les réseaux d'entreprise étaient plus stables et centralisés, sont dépassés par la vitesse à laquelle de nouvelles vulnérabilités et de nouveaux vecteurs d'attaque apparaissent dans les réseaux d'aujourd'hui. Les tests d'intrusion, par exemple, permettent de détecter des vulnérabilités présumées dans des actifs connus, mais ils ne peuvent pas aider les équipes de sécurité à identifier les nouveaux cyberrisques et vulnérabilités qui apparaissent chaque jour.

Mais le flux de travail continu d'ASM et la perspective d'un pirate informatique permettent aux équipes de sécurité et aux centres d'opérations de sécurité (SOC) d'adopter une posture de sécurité proactive face à une surface d'attaque en constante croissance et évolution. Les solutions ASM offrent une visibilité en temps réel sur les vulnérabilités et les vecteurs d'attaque à mesure qu'ils émergent.

Ils peuvent s’appuyer sur les informations provenant des outils et processus traditionnels d’évaluation des risques et de gestion des vulnérabilités pour obtenir un meilleur contexte lors de l’analyse et de la hiérarchisation des vulnérabilités. De plus, ils peuvent s’intégrer aux technologies de détection et de réponse aux menaces, notamment la gestion des informations et des événements de sécurité (SIEM), la détection et réponse des terminaux (EDR) ou la détection et la réponse étendues (XDR), afin d’améliorer l’atténuation des menaces et d’accélérer la réponse aux menaces à l’échelle de l’entreprise.

L’ASM repose sur quatre processus principaux : la découverte, la classification et la priorisation des actifs, la résolution et la surveillance. Là encore, en raison de la constante évolution de la taille et de la forme de la surface d’attaque numérique, ces processus sont effectués de manière continue, et les solutions ASM automatisent ces processus chaque fois que c’est possible. L’objectif est d’armer les équipes de sécurité avec un stock complet et actuel des actifs exposés, afin d’accélérer la réponse aux vulnérabilités et aux menaces présentant le plus grand risque pour l’entreprise.

La découverte d'actifs recherche et identifie automatiquement et en continu les matériels, logiciels et actifs cloud accessibles sur Internet qui pourraient servir de points d'entrée pour un pirate informatique ou un cybercriminel cherchant à attaquer une organisation. Ces actifs peuvent inclure :

• Actifs connus : l’ensemble de l’infrastructure et des ressources informatiques dont l’organisation a connaissance et qu’elle gère activement des routeurs, des serveurs, des appareils de l’entreprise ou privés (PC, ordinateurs portables, appareils mobiles), des appareils IdO, des annuaires d’utilisateurs, des applications déployées sur site et dans le cloud, des sites web et des bases de données propriétaires.
  
  
• Actifs inconnus : actifs « non inventoriés » qui utilisent les ressources du réseau à l’insu des équipes informatiques ou de sécurité. Le shadow IT désigne le matériel ou logiciel déployé sur le réseau sans approbation administrative officielle et/ou sans supervision. Il s’agit du type d’actif inconnu le plus courant. Les sites web personnels, les applications cloud et les appareils mobiles non gérés qui utilisent le réseau de l’entreprise sont des exemples de shadow IT. Les actifs informatiques orphelins, c’est-à-dire les anciens logiciels, sites web et appareils qui ne sont plus utilisés, mais qui n’ont pas été correctement mis hors service, constituent un autre type d’actif inconnu courant.
  
  
• Actifs de tiers ou de fournisseurs : les actifs que l’entreprise ne possède pas, mais qui font partie de son infrastructure informatique ou de sa chaîne d’approvisionnement numérique. Il s’agit notamment d’applications SaaS (Software-as-a-Service), d’API, d’actifs du cloud public ou de services tiers utilisés sur le site web de l’entreprise.
  
  
• Actifs des filiales : tous les actifs connus, inconnus ou tiers appartenant aux réseaux des sociétés filiales d’une entreprise. À la suite d’une fusion ou d’une acquisition, ces actifs peuvent ne pas être immédiatement portés à l’attention des équipes informatiques et de sécurité de l’entreprise mère.
  
  
• Actifs malveillants ou pirates : les actifs que les acteurs de la menace créent ou volent pour cibler l’entreprise. Il peut s’agir d’un site web d’hameçonnage usurpant l’identité de la marque d’une entreprise, ou de données sensibles volées dans le cadre d’une violation de données et partagées sur le dark web.

Une fois les actifs identifiés, ils sont classés, analysés pour détecter les vulnérabilités et priorisés en fonction de leur attaquabilité, une mesure objective de la probabilité qu’ils soient ciblés par des pirates.

Les actifs sont stockés par identifiant, adresse IP, propriété et connexions aux autres actifs de l’infrastructure informatique. Ils sont analysés en fonction des vulnérabilités qu’ils peuvent présenter, des causes de ces vulnérabilités (par exemple, mauvaises configurations, erreurs de codage, correctifs manquants) et des types d’attaques que les pirates peuvent mener grâce à ces vulnérabilités (par exemple, vol de données sensibles, diffusion de ransomware ou d’autres logiciels malveillants). 

Ensuite, les vulnérabilités sont classées par ordre de priorité pour la correction. La hiérarchisation des priorités est un exercice d’évaluation des risques – en règle générale, on attribue à chaque vulnérabilité une note de sécurité ou un score de risque en fonction :

• Les informations recueillies lors de la classification et de l'analyse.
  
  
• Les données provenant des flux de renseignements sur les menaces (propriétaires et open source), des services d'évaluation de la sécurité, du dark web et d'autres sources concernant la visibilité des vulnérabilités pour les pirates, leur facilité d'exploitation, la façon dont elles ont été exploitées, etc.
  
  
• Les résultats des propres activités de gestion des vulnérabilités et d'évaluation des risques de sécurité de l'organisation. L'une de ces activités, appelée « red teaming », consiste essentiellement en des tests d'intrusion du point de vue du pirate (et souvent menés par des pirates éthiques internes ou externes). Au lieu de tester des vulnérabilités connues ou suspectées, l’équipe rouge teste tous les actifs qu'un pirate pourrait essayer d'exploiter.

En général, les vulnérabilités sont corrigées par ordre de priorité. Cela peut impliquer :

• L'application de contrôles de sécurité appropriés à l'actif en question, par exemple, l'application de correctifs logiciels ou de système d'exploitation, le débogage du code d'application, la mise en œuvre d'un chiffrement des données plus fort.
  
  
• La prise en charge d'actifs auparavant inconnus – en fixant des normes de sécurité pour l'informatique non gérée auparavant, en mettant hors service en toute sécurité les actifs orphelins, en éliminant les actifs malveillants, en intégrant les actifs des filiales dans la stratégie, les politiques et les workflows de cybersécurité de l'organisation.

La résolution peut également impliquer des mesures plus larges et multi-actifs pour traiter les vulnérabilités, telles que la mise en œuvre du principe du moindre privilège ou de l’authentification à étapes (MFA).

Comme les risques de sécurité sur la surface d’attaque de l’entreprise changent chaque fois que de nouveaux actifs sont déployés ou que des actifs existants sont déployés de nouvelles manières, les actifs stockés du réseau et le réseau lui-même sont continuellement surveillés et analysés à la recherche de vulnérabilités. La surveillance continue permet à l’ASM de détecter et d’évaluer les nouvelles vulnérabilités et les nouveaux vecteurs d’attaque en temps réel, et d’alerter les équipes de sécurité de toute nouvelle vulnérabilité nécessitant une attention immédiate.