Démarrer avec la gestion continue de l’exposition aux menaces (Continuous Threat Exposure Management – CTEM) 

La gestion des risques et de la sécurité de l’IA est sans surprise la première tendance technologique stratégique pour 2024 selon Gartner. Mais vous êtes peut-être moins familier avec la deuxième : la gestion continue de l’exposition aux menaces (Continuous Threat Exposure Management – CTEM). Inventée par Gartner en 2022, le CTEM n’est pas seulement un nouvel acronyme à la mode – c’est un processus puissant qui peut aider à gérer la cyberhygiène et les risques dans votre environnement en ligne de façon continue. Les surfaces d’attaque numériques ne cessant de s’étendre, l’intérêt de recourir à une gestion automatisée et continue des risques est assez clair.

Si vous vous questionniez déjà au sujet du CTEM ou si vous désirez découvrir une tendance technologique qui prend de l’ampleur, vous êtes au bon endroit. Nous décomposerons les cinq étapes clés du CTEM et expliquerons pourquoi il est bien plus qu’un mot technique à la mode ; il a une vraie valeur ajoutée – concrète – pour aider les équipes de sécurité à identifier et à résoudre les risques de sécurité. Selon Gartner : «D’ici 2026, les organisations qui accordent la priorité à leurs investissements en matière de sécurité par le biais d’un programme CTEM auront trois fois moins de risques de subir une compromission. »

Qu’est-ce que le CTEM ? 

Gartner définit le CTEM comme suit : « une approche en cinq étapes qui expose en permanence les réseaux, les systèmes et les actifs d’une organisation à des attaques simulées afin d’identifier les vulnérabilités et les faiblesses. »  Il se distingue ainsi des solutions traditionnelles de gestion des vulnérabilités, qui ne parviennent pas toujours à fournir aux organisations un plan d’action complet. Ces solutions ont tendance à générer de longues listes de vulnérabilités accompagnées de conseils génériques pour y remédier, ce qui empêche les organisations de s’attaquer aux risques réels auxquels elles sont confrontées.

Bien que le système CVSS (Common Vulnerability Scoring System) permette de hiérarchiser et d’évaluer les vulnérabilités de manière standardisée, il échoue à se concentrer sur les impacts potentiels réels pour une organisation. Le CTEM hiérarchise les vulnérabilités en fonction de leur importance pour l’organisation, ce qui permet de créer des plans d’amélioration de la sécurité cohérents et directement applicables.

Le CTEM permet aux équipes de sécurité de mieux comprendre leur surface d’attaque externe et de gérer leur exposition aux menaces de façon continue. Il ne s’agit pas simplement d’appliquer des contrôles de sécurité, mais de mettre en place un processus continu de découverte et de remédiation fondé sur des informations sur les menaces en temps réel. Les risques critiques passant souvent inaperçus dans les infrastructures numériques, la surveillance et la gestion continues sont des éléments essentiels d’une stratégie CTEM réussie. 

Comment ça marche : les cinq étapes du CTEM  

Le CTEM comporte cinq étapes clés : la définition du champ d’application, la détection, la définition des priorités, la mobilisation et la validation. Toutefois, avant que vous ne commenciez à vous représenter une refonte complète, nous pouvons vous assurer qu’il ne s’agit pas d’un concept totalement nouveau. Il s’agit d’un cadre qui vous aide à diviser les tâches en compartiments faciles à gérer et à vous concentrer d’abord sur les aspects critiques pour votre entreprise.

  1. Champ d’application : identifier et délimiter l’infrastructure de votre organisation ayant besoin d’être analysée et protégée.
  2. Détecter : dresser la liste de tous les actifs vulnérables dans le périmètre défini. 
  3. Prioriser: évaluer le risque associé à chaque actif et son impact potentiel sur l’entreprise. 
  4. Valider : évaluer comment les attaquants potentiels peuvent exploiter chaque exposition identifiée, comment les systèmes de surveillance peuvent réagir et s’il existe un risque que les pirates s’implantent davantage.
  5. Mobiliser : définir le champ d’application de la résolution, en fixant des buts et des objectifs réalisables. 

Mais comment cela fonctionne-t-il en pratique dans une organisation réelle avec une surface d’attaque tentaculaire contenant de nombreux actifs inconnus ? Nous verrons comment chacune de ces étapes se déroule à l’aide d’exemples concrets tirés d’Outpost24 Exposure Management Platform.

Comment Outpost24 vous aide à mettre en pratique le CTEM

Les organisations ne peuvent pas se contenter de simplement « déployer une solution de CTEM » – il existe un ensemble de solutions définies pour aider à la mise en œuvre d’un programme CTEM. Passons en revue chacune des phases du CTEM et prenons la plateforme Outpost24 comme exemple, en montrant quels modules de la plateforme peuvent être utilisés à chaque étape : 

1. Déterminer le champ d’action avec la gestion de la surface d’attaque externe (EASM)

De nombreuses organisations disposent de listes d’actifs bien définies, mais il existe presque toujours des actifs inconnus ou oubliés dont elles n’ont pas connaissance. Par exemple, un nouveau domaine mis en place par le service marketing pour une campagne client spécifique ou un serveur de test dans le cloud utilisé par les développeurs. Bien qu’ils répondent à un véritable objectif commercial, ils peuvent être inconnus de l’équipe de sécurité et exposer l’entreprise à des vulnérabilités exploitables.

La meilleure façon d’obtenir une vue complète des actifs connus et inconnus au cours de la phase de délimitation du champ d’application est de recourir à la gestion de la surface d’attaque externe (External Attack Surface Management – EASM). La solution EASM d’Outpost24 détecte les actifs sur l’ensemble de votre surface d’attaque et identifie les risques de manière automatisée et continue. L’utilisation de l’EASM pour détecter tous les actifs liés à l’organisation peut même contribuer à mettre en évidence des processus business qui n’avaient pas été initialement envisagés dans le cadre du programme CTEM.

L’EASM donne une image claire et définie de votre surface d’attaque et des ressources à prendre en compte à l’avenir.

2. Détecter à l’aide des renseignements sur les menaces

Une fois que vous avez identifié tous les actifs connus et jusque-là inconnus et déterminé ceux qui relèvent du programme CTEM, l’étape suivante consiste à découvrir le profil de risque de chacun d’entre eux. Plusieurs facteurs doivent être pris en compte pour déterminer les risques associés. Selon les actifs concernés, il peut s’agir notamment (mais pas exclusivement) des éléments suivants  

  • Mots de passe Active Directory faibles ou compromis 
  • Vulnérabilités des réseaux et des applications  

Pour chaque étape du CTEM, une plateforme comme celle d’Outpost24 est configurée pour surveiller l’ensemble des réseaux, des applications et des principaux fournisseurs de services cloud qui sont dans le champ d’application de façon continue afin de déterminer les menaces à prendre en compte pour la remédiation.

Notre plateforme fournit une vue complète des vulnérabilités de vos systèmes, logiciels et mots de passe sur une seule plateforme en tirant parti de nos solutions RBVM, Application Security et Password Auditor pour permettre aux organisations d’identifier les vulnérabilités de leurs actifs et systèmes dans le périmètre défini lors de la première étape.

3. Priorisation avec la Threat Intelligence

Un aspect essentiel de la philosophie du CTEM est qu’il n’est pas possible pour les organisations de remédier à toutes les vulnérabilités qu’elles découvrent. Au lieu de cela, elles doivent optimiser l’usage de leurs ressources limitées pour se concentrer en continu sur les risques les plus susceptibles d’infliger des dommages à l’organisation. L’un des défis auxquels sont confrontées les équipes de sécurité lorsqu’elles se rendent compte qu’elles ne disposent pas de ressources suffisantes est tout simplement de savoir par où commencer.

La technologie de gestion des vulnérabilités basée sur le risque (RBVM) d’Outpost24 utilise une quantité importante d’informations supplémentaires pour aider les organisations à hiérarchiser les vulnérabilités qu’elles doivent traiter en priorité. Cela inclut :

  • Les acteurs de la menace impliqués
  • Identifiants volés ou divulgués
  • Les outils et campagnes  
  • Un historique de l’exploitation  
  • Le logiciel malveillant utilisé pour exploiter la vulnérabilité.  

La combinaison de ces informations fournit aux décideurs une image plus complète du risque associé aux vulnérabilités classées par ordre de priorité. Le score basé sur le risque donne une bonne indication de la probabilité qu’une vulnérabilité soit exploitée au cours des 12 prochains mois.  Lorsque les organisations utilisent RBVM pour prioriser l’allocation des ressources pour la correction des vulnérabilités, leurs décisions sont éclairées par l’analyse des risques la plus récente du paysage des menaces.

4. La validation avec des tests ciblés

Après avoir identifié les principaux actifs et vulnérabilités, il est temps de déterminer où se trouvent les menaces les plus importantes et à quel endroit les efforts de remédiation doivent être concentrés.  Pour y parvenir, Outpost24 Exposure Management Platform propose des tests de sécurité des applications, des tests d’intrusion et des services de red teaming pour tester, analyser et vérifier les niveaux d’exploitabilité des vulnérabilités identifiées. Les vulnérabilités validées comme significatives sont celles qui doivent être traitées en priorité, ce qui permet aux équipes de sécurité de se concentrer sur les risques les plus importants.

5. Mobilisation des décideurs grâce aux reporting du CTEM

Le reporting joue un rôle crucial dans la mise en œuvre d’une approche CTEM, et la plateforme Outpost24 aide à fournir des informations exploitables relatives à l’ensemble de la surface d’attaque d’une organisation, y compris les actifs de l’infrastructure, les applications et les utilisateurs. Armés d’une liste de vulnérabilités classées par ordre de priorité et validées, les responsables de la sécurité sont en mesure d’aider les décideurs à évaluer la situation et ainsi obtenir les ressources adéquates pour y remédier.  

La fonction de reporting continu et basé sur l’action offre une visibilité sur l’évolution des menaces ciblant l’organisation au fil du temps, permettant ainsi une compréhension complète du paysage de la sécurité. Cela permet de renforcer la collaboration et, en fin de compte, d’améliorer les décisions en matière de cyberinvestissement. 

Vous envisagez de vous lancer ? Nous pouvons vous aider 

Nous aidons les organisations à utiliser Outpost24 Exposure Management Platform pour mettre en place un programme de gestion continue de l’exposition aux menaces (CTEM) adapté à leurs besoins et à leurs objectifs. Nos experts de du CTEM pourront vous aider dans cette transition et vous fournir des conseils adéquats depuis la définition du champ d’application jusqu’à la mobilisation. Prenez contact avec nous pour savoir comment la CTEM pourrait s’intégrer dans votre organisation[MW1] .