Bienvenue dans notre série de blogs sur la gestion continue de l’exposition aux menaces (CTEM), où nous examinons les cinq étapes essentielles de la mise en œuvre d’un programme CTEM solide. Défini par Gartner en 2022, le CTEM est un processus puissant qui permet de gérer en continu la cyberhygiène et les risques dans l’ensemble de votre environnement en ligne. Il s’agit également d’un processus complexe pour les débutants, c’est pourquoi il est utile de le décomposer. Notre série commence par la première étape cruciale : Le champ d’application.

Le champ d’application consiste à définir les limites des actifs dans le cadre de votre programme CTEM. Il s’agit d’avoir une visibilité sur les actifs informatiques, mais aussi de décider lesquels sont essentiels pour l’entreprise et doivent être inclus dans le processus CTEM. Ce périmètre initial devrait également permettre de prouver la valeur du programme CTEM aux parties prenantes. Bien entendu, le CTEM est un processus continu, et les décisions prises ici ne doivent pas être gravées dans le marbre pour toujours. Ce champ d’application n’est pas statique ; il devrait s’étendre au fur et à mesure que la surface d’attaque s’agrandit, que le programme mûrit et que de nouvelles connaissances sont acquises. Le champ d’application peut changer et évoluer.

À quoi ressemble une délimitation réussie du champ d’application CTEM ?

Pour que le processus CTEM soit couronné de succès, il est essentiel de procéder à une délimitation précise du champ d’application en fonction du risque commercial et de l’impact potentiel. Il est essentiel que les équipes de sécurité alignent leurs efforts sur ce qui est essentiel pour l’entreprise, en se concentrant sur les impacts les plus graves qui pourraient justifier des actions correctives concertées. Pour cela, il faut comprendre ce qui est important pour les partenaires de l’entreprise et identifier les impacts suffisamment graves pour justifier des efforts de remédiation concertés. L’objectif est de rester concentré sur ce qui est important pour l’entreprise et d’adopter le point de vue de l’attaquant au-delà des vulnérabilités et expositions communes (CVE).

En adoptant le point de vue d’un attaquant, l’exercice de cadrage vise à hiérarchiser les vulnérabilités qui pourraient être les plus préjudiciables à l’entreprise. Cela peut commencer par une attention particulière aux surfaces d’attaque externes ou à la posture de sécurité de vos différentes plateformes SaaS (Software-as-a-Service). Ceci est particulièrement pertinent pour les organisations modernes qui s’appuient sur le SaaS et qui emploient des travailleurs distants et hybrides. Le champ d’application va au-delà de la gestion traditionnelle des vulnérabilités en considérant un ensemble étendu d’actifs, y compris :

• Les appareils traditionnels
• Les applications cloud
• Les comptes de médias sociaux d’entreprise
• Les dépôts de code en ligne
• Les systèmes intégrés de la chaîne d’approvisionnement

Le champ d’application est crucial pour la mise en place du reste du processus CTEM, car il permet de définir et d’affiner le périmètre de ce qui est important pour votre organisation. Cela permet de se concentrer sur les domaines clés pour l’entreprise, ce qui est différent de la simple découverte d’un grand nombre d’actifs et de vulnérabilités. Cette étape initiale prépare le terrain pour les étapes suivantes de détection, de priorisation, de validation et de mobilisation, en veillant à ce que le programme CTEM soit aligné sur ce qui a le plus de valeur pour une organisation.

Quels sont les risques d’une mauvaise délimitation du champ d’application ?

Si une organisation ne parvient pas à définir un champ d’application adéquat, cela pourrait avoir un impact significatif sur le reste du processus CTEM, et ce à plusieurs égards :

• Confusion entre la délimitation du champ d’application et la détection: Une mauvaise définition du champ d’application peut entraîner une confusion lors de la deuxième phase du CTEM (détection). Vous pourriez vous retrouver avec un grand nombre d’actifs et de vulnérabilités explorés sans une compréhension claire de leur risque commercial et de leur impact potentiel.
• Dérive du champ d’application: sans définition du champ d’application, le processus CTEM pourrait devenir difficile à gérer, les actifs et les vulnérabilités étant supprimés ou ajoutés au cours des étapes ultérieures, ce qui compliquerait le processus.
• Charge sur la priorisation: L’élargissement du champ d’application fait peser la charge sur l’étape d’établissement des priorités (troisième étape du CTEM), ce qui nécessite des efforts supplémentaires pour faire la part des choses et se concentrer sur ce qui compte vraiment. Il est plus facile et plus rapide de le faire au début de l’étape de délimitation du champ d’application.
• Évaluations compromises: L’efficacité des évaluations de la vulnérabilité et de la collecte de renseignements sur les menaces est compromise, car l’attention peut être mal orientée vers des domaines moins critiques plutôt que vers des actifs de grande valeur qui présentent des risques importants pour l’organisation.
• Inefficacité générale: L’ensemble du processus CTEM peut devenir inefficace et moins performant, laissant potentiellement des vulnérabilités critiques non traitées et l’organisation en danger.

Quels outils utiliser pour définir le cham d’application ?

Plusieurs outils peuvent être utiles pour définir ce périmètre. Ceux-ci incluent des outils pour inventorier et catégoriser les actifs et les vulnérabilités, ainsi que des outils pour simuler ou tester des scénarios d’attaque. Ce travail est essentiel pour identifier le champ d’application initial du programme CTEM, ce qui aide non seulement à prouver la valeur du programme aux parties prenantes, mais aussi à poser une base pour son expansion à mesure que le programme mûrit.

La Gestion des Surfaces d’Attaque Externes (EASM) joue un rôle crucial dans ce processus en automatisant la découverte des actifs et des domaines sur l’ensemble de la surface d’attaque. Elle identifie à la fois les actifs connus et inconnus, offrant une vue globale de la surface d’attaque. Cela permet de s’assurer que tous les actifs pertinents sont inclus dans le champ d’application pour une analyse et une protection ultérieures, plutôt que de voir de nouveaux actifs apparaître constamment plus tard. La découverte de domaines assistée par l’IA peut également aider ici à identifier rapidement les domaines appartenant à l’organisation.

L’EASM, avec sa capacité à mettre à jour en continu et à identifier les risques, est un outil essentiel pour maintenir un périmètre précis et à jour dans le processus CTEM. Intéressé par le fonctionnement de l’EASM ? Réservez une analyse gratuite de la surface d’attaque avec la solution EASM d’Outpost24 (qui fait partie de la plateforme de gestion continue de l’exposition aux menaces d’Outpost24).

Quatre conseils clés pour une définition réussie du périmètre CTEM

• Prendre en compte tous les actifs: Ne vous contentez pas d’examiner les actifs traditionnels, mais prenez également en compte les surfaces d’attaque externes, les postures de sécurité SaaS, les appareils, les applications, les comptes de médias sociaux de l’entreprise, les référentiels de code en ligne et les systèmes intégrés de la chaîne d’approvisionnement.
• Champ d’application initial et démonstration de valeur: Commencer par un périmètre gérable qui démontre la valeur pour les parties prenantes, en se concentrant sur les risques et les impacts critiques pour l’entreprise plutôt que sur la liste complète des actifs, des domaines et des vulnérabilités découverts.
• Gestion de la surface d’attaque externe (EASM): Mettez en œuvre l’EASM pour automatiser la découverte des actifs connus et inconnus en contact avec internet sur l’ensemble de votre surface d’attaque. Vous disposez ainsi d’un point de départ idéal pour commencer à réduire le champ d’application.
• Initiatives pilotes: Vous pouvez toujours tester votre programme CTEM à plus petite échelle avec des initiatives pilotes avant de le déployer dans l’ensemble de l’organisation, en particulier dans des domaines tels que les surfaces d’attaque externes et la sécurité SaaS, qui sont essentiels dans le contexte du travail à distance et des opérations commerciales basées sur l’informatique dématérialisé.

Passer à la deuxième étape : La détection

Le champ d’application vous prépare à la réussite de l’étape de détection du CTEM en veillant à ce que l’accent soit mis sur les domaines de l’entreprise qui sont importants et pertinents. Cette approche ciblée garantit que le processus de détection est aligné sur les priorités de l’entreprise et réduit le risque de confusion ou de désaccord en cours de route. Un cadrage précis est essentiel non seulement pour découvrir un grand nombre d’actifs, mais aussi pour mettre le doigt sur les risques réels.

Gardez un œil sur notre blog, où nous publierons chaque mois une nouvelle étape de la gestion CTEM, afin d’explorer les stratégies et les solutions permettant d’éviter les pièges courants et d’établir une base solide pour votre programme. Nous allons maintenant aborder l’étape de la détection. C’est là que vous commencerez à découvrir les vulnérabilités qui existent dans les actifs couverts par votre programme CTEM.

Pour en savoir plus sur la plateforme de gestion de l’exposition aux menaces d’Outpost24, cliquez ici.