Qu'est-ce que la gestion du périmètre de vulnérabilité ?

La gestion du périmètre de vulnérabilité aide les organisations à découvrir, hiérarchiser et corriger les vulnérabilités aux cyberattaques.

Personne assise à un bureau et utilisant un ordinateur portable
Qu'est-ce que la gestion du périmètre de vulnérabilité ?

La gestion du périmètre de vulnérabilité, ou gestion de la surface d'attaque, désignée par le sigle ASM, englobe la détection, l'analyse, la correction et la surveillance en continu des vulnérabilités et des vecteurs d'attaque potentiels qui constituent ce que l'on appelle le périmètre de vulnérabilité d'une organisation.

Contrairement à d'autres disciplines de cyber-sécurité, l'ASM est menée entièrement du point de vue du pirate informatique et non du défenseur. Elle identifie les cibles et évalue les risques en fonction des opportunités qu'elles présentent pour un agresseur informatique malveillant. L'ASM exploite pour une grande part les mêmes méthodes et ressources que celles utilisées par les pirates informatiques. De nombreuses tâches et technologies de l'ASM sont conçues et exécutées par des "pirates éthiques" qui connaissent les comportements des cybercriminels et savent reproduire leurs actions.

La gestion du périmètre de vulnérabilité externe (EASM), une technologie ASM relativement nouvelle, est parfois utilisée de manière interchangeable avec l'ASM. Toutefois, l'EASM s'intéresse plus particulièrement aux vulnérabilités et aux risques présentés par les actifs informatiques externes ou connectés à Internet dans une organisation. C'est ce que l'on appelle parfois le périmètre de vulnérabilité numérique d'une organisation. L'ASM résout aussi le problème des vulnérabilités dans le périmètre de l'organisation exposé aux attaques physiques et d'ingénierie sociale, par exemple des attaques lancées par des initiés malveillants, ou résultant d'une méconnaissance des escroqueries par hameçonnage chez les utilisateurs finaux.


Pourquoi les entreprises s'intéressent à la gestion du périmètre de vulnérabilité

L'adoption du cloud, la transformation numérique et l'expansion du télétravail sont autant de facteurs qui on été exacerbés par la pandémie de COVID-19. Dans beaucoup d'entreprises, ils ont eu des conséquences sur l'empreinte numérique et le périmètre de vulnérabilité : ces derniers sont devenus plus vastes, plus distribués et plus dynamiques, tandis que de nouveaux actifs se connectent quotidiennement au réseau de l'entreprise.

Selon le rapport State of Attack Surface Management 2022  de Randori (lien externe au site ibm.com), 67 % des entreprises ont vu leur périmètre de vulnérabilité augmenter au cours des 12 derniers mois, tandis que l'an dernier, 69 % ont été compromises par un actif connecté à Internet inconnu ou mal géré. (Randori est une filiale d'IBM Corp.)  Les analystes sectoriels de Gartner   (lien externe au site ibm.com) ont désigné l'expansion du périmètre de vulnérabilité comme l'une des priorités majeures des RSSI en termes de gestion de la sécurité et des risques en 2022.

Les processus traditionnels de reconnaissance des actifs, d'évaluation des risques et de gestion des vulnérabilités, développés lorsque les réseaux d'entreprise étaient plus stables et centralisés, ne peuvent plus rester en phase avec la rapide prolifération des vulnérabilités et des vecteurs d'attaque dans les réseaux actuels. Les tests de pénétration, par exemple, peuvent tester les vulnérabilités suspectées dans des actifs connus, mais ne peuvent pas aider les équipes de sécurité à identifier les nouveaux cyber-risques et les vulnérabilités qui font chaque jour leur apparition.

En revanche, le workflow continu de l'ASM et le fait de travailler en se plaçant du point de vue du pirate permettent aux équipes de sécurité et aux centres d'opérations de sécurité (SOC) de définir une stratégie de sécurité proactive face à un périmètre de vulnérabilité qui ne cesse d'évoluer et de se métamorphoser. Les solutions d'ASM offrent une visibilité en temps réel des vulnérabilités et des vecteurs d'attaque dès leur apparition. Elles peuvent tirer parti d'informations provenant d'outils et de processus traditionnels d'évaluation des risques et de gestion des vulnérabilités pour disposer d'un contexte élargi lors de l'analyse et de la hiérarchisation des vulnérabilités. Elles peuvent également s'intégrer à des technologies de détection des menaces et de réponse aux menaces : systèmes SIEM (information sur la sécurité et de gestion des événements), EDR (détection des noeuds finaux et réponse) ou XDR (détection et réponse étendues) afin d'atténuer davantage les menaces et d'accélérer la réponse aux menaces dans toute l'entreprise.


Fonctionnement de l'ASM

L'ASM se compose de quatre processus fondamentaux : la découverte des actifs, la classification et la hiérarchisation, la remédiation et la surveillance. Là encore, comme la dimension et la forme du périmètre de vulnérabilité changent constamment, les processus sont exécutés en continu et les solutions d'ASM les automatisent chaque fois que possible. L'objectif est de faire en sorte que l'équipe de sécurité dispose en permanence d'un inventaire complet et à jour des actifs exposés, et d'accélérer la réponse aux vulnérabilités et aux menaces présentant le plus grand risque pour l'organisation.

Reconnaissance des actifs

La reconnaissance des actifs permet de rechercher et d'identifier automatiquement et en continu les matériels, les logiciels et les actifs cloud connectés à Internet susceptibles de constituer des points d'entrée pour un pirate ou un cybercriminel tentant d'attaquer une organisation. Ces actifs peuvent être les suivants

  • Actifs connus — Toutes l'infrastructure et les ressources informatiques dont l'organisation a connaissance et qu'elle gère activement : routeurs, serveurs, appareils fournis par l'entreprise ou appareils personnels des utilisateurs (PC, ordinateurs portables, appareils mobiles), appareils IoT, annuaires d'utilisateurs, applications déployées sur site et dans le cloud, sites Web et bases de données propriétaires.
  • Actifs inconnus — Actifs "non inventoriés" qui utilisent les ressources du réseau à l'insu de l'équipe IT ou de sécurité. L'IT cachée (ou fantôme), c'est-à-dire les matériels ou les logiciels déployés sur le réseau sans autorisation et/ou supervision administrative officielle, représente le type d'actif inconnu le plus courant. Une police gratuite téléchargée sur l'ordinateur d'un utilisateur, des sites web personnels ou des applications cloud utilisés via le réseau de l'organisation, ainsi qu'un appareil mobile personnel non géré utilisé pour accéder aux informations de l'entreprise sont tous des exemples d'IT cachée. L'IT orpheline comprend par exemple des anciens logiciels, sites web et appareils qui ne sont plus utilisés et qui n'ont pas été correctement mis hors service, et qui sont des types courant d'actifs inconnus.
  • Actifs de tiers ou de fournisseurs — Actifs qui n'appartiennent pas à l'organisation, mais qui font partie de son infrastructure IT ou de sa chaîne d'approvisionnement numérique. Il s'agit notamment des applications SaaS (logiciels en tant que service), des API, des actifs du cloud public ou des services tiers utilisés sur le site Web de l'organisation.
  • Actifs des filiales — Tous les actifs connus, inconnus ou de tiers appartenant aux réseaux des filiales d'une organisation. À la suite d'une fusion ou d'une acquisition, ces actifs peuvent ne pas être repérés immédiatement par les équipes IT et de sécurité de la société mère.
  • Actifs malveillants ou incontrôlables — Actifs créés ou volés par des acteurs de la menace afin de cibler l'entreprise. Il peut s'agir d'un site web de hameçonnage se faisant passer pour une marque ou de données sensibles dérobées lors d'une violation de données et qui sont ensuite partagées sur le dark web.

Classification, analyse et hiérarchisation

Une fois les actifs identifiés, ils sont classifiés, analysés pour y rechercher les vulnérabilités et hiérarchisés par ordre de priorité en fonction de leur exposition aux attaques. Il s'agit essentiellement d'une mesure objective qui estime leur risque d'être ciblés par les pirates.

Les actifs sont répertoriés par identité, adresse IP, propriété et connexions aux autre actifs de l'infrastructure informatique. Ils sont analysés en fonction de leurs expositions éventuelles, des causes de ces expositions (par exemple, configuration erronée, erreurs de codage, correctifs manquants) et des types d'attaques que les pirates peuvent mener par le biais de ces expositions (par exemple, vol de données sensibles, diffusion de ransomware ou d'autres logiciels malveillants). 

Les vulnérabilités sont ensuite classées par ordre de priorité afin d'être corrigées. La hiérarchisation est un exercice d'évaluation des risques : en général, chaque vulnérabilité reçoit une note de sécurité ou un score de risque basé sur

  • des informations recueillies lors de la classification et de l'analyse,
  • des données provenant de sources de renseignements sur les menaces (propriétaires et open source), de services d'évaluation de la sécurité, du dark web et d'autres sources décrivant la visibilité des vulnérabilités pour les pirates, leur facilité d'exploitation, la manière dont elles ont déjà été exploitées, etc. ;
  • et pour terminer, les résultats des propres activités de gestion des vulnérabilités et d'évaluation des risques de sécurité réalisées par l'organisation. L'une de ces activités, appelée "red teaming" ("équipe rouge"), consiste essentiellement à réaliser un test de pénétration en se plaçant du point de vue du pirate. Ce test est souvent réalisé par des pirates éthiques internes ou externes. Au lieu de tester les vulnérabilités connues ou suspectées, les membres de la red team testent tous les actifs qu'un pirate pourrait essayer d'exploiter.

Résolution

En général, les vulnérabilités sont corrigées par ordre de priorité. Les opérations suivantes sont effectuées :

  • Appliquer les contrôles de sécurité appropriés à l'actif en question : par exemple, appliquer des correctifs du logiciel ou du système d'exploitation, déboguer le code de l'application, implémenter un chiffrement des données renforcé.
  • Contrôler des actifs qui étaient inconnus : définir des normes de sécurité pour l'IT qui n'était pas gérée, retirer de manière sécurisée les actifs de l'IT orpheline, éliminer les actifs incontrôlables, intégrer les actifs d'une filiale à la stratégie, aux politiques et aux workflows de cybersécurité de l'organisation.

La remédiation peut également impliquer des mesures plus larges concernant l'ensemble des actifs pour remédier aux vulnérabilités, par exemple en mettant en place le principe de l'accès le moins privilégié ou l'authentification multifactorielle (MFA).

Surveillance

Étant donné que les risques de sécurité dans le périmètre de vulnérabilité de l'organisation changent chaque fois que de nouveaux actifs sont déployés ou que des actifs existants sont déployés d'une façon nouvelle, les actifs inventoriés dans le réseau et le réseau lui-même sont surveillés et analysés en permanence pour y détecter les vulnérabilités. Cette surveillance continue permet à l'ASM de détecter et d'évaluer les nouvelles vulnérabilités et les nouveaux vecteurs d'attaque en temps réel, et d'alerter les équipes de sécurité des nouvelles vulnérabilités nécessitant une intervention immédiate.


Solutions connexes


Ressources