Guide étape par étape du CTEM | Deuxième étape : la découverte
Bienvenue dans notre série d’articles sur la gestion continue de l’exposition aux menaces (Continuous Threat Exposure Management – CTEM), où nous examinerons les cinq étapes essentielles de la mise en œuvre d’un programme CTEM solide.. Inventé par Gartner en 2022, le CTEM n’est pas seulement un nouvel acronyme à la mode – c’est un processus puissant qui peut aider à gérer la cyberhygiène et les risques dans votre environnement en ligne de façon continue. Il y a aussi beaucoup d’éléments à prendre en compte lorsque vous débutez, il est donc utile de décomposer les choses.
Nous avons déjà abordé la première étape cruciale (le cadrage) dans le premier post de la série et exploré l’importance qu’elle revêt pour la réussite de votre processus CTEM. Ce billet traite de la deuxième étape : la découverte.
À quoi ressemble une découverte réussie ?
L’objectif est désormais d’identifier tous les actifs connus et inconnus jusqu’ici dans le cadre du programme CTEM et de découvrir les vulnérabilités de chacun de ces actifs. La découverte d’exposition peut également aller au-delà des seules vulnérabilités – vous pouvez trouver d’autres faiblesses comme des sites contrefaits, des mots de passe faibles ou des identifiants volés.
La phase de découverte doit donner la priorité aux domaines d’activité identifiés au cours du processus de cadrage et viser une compréhension globale de la surface d’attaque de l’organisation, en se concentrant sur la qualité et la pertinence des résultats plutôt que sur la quantité. Un affinage supplémentaire sera probablement nécessaire, mais cela sera résolu lors de l’étape de priorisation qui intervient après la découverte.
Quels sont les risques liés à une mauvaise exécution de la procédure de découverte ?
Le principal obstacle à surmonter est la confusion entre les étapes de scoping et de découverte. La découverte peut révéler un grand nombre de vulnérabilités, mais cela a moins de valeur s’il n’y a pas eu de délimitation précise basée sur le risque propre à l’organisation. Il s’agit d’identifier les vulnérabilités qui sont importantes pour l’organisation et qui pourraient avoir un impact sérieux.
En général, une découverte inappropriée peut avoir un impact négatif sur l’étape de priorisation (étape 3) du CTEM. Elle peut entraîner une mauvaise compréhension des actifs et des vulnérabilités au sein d’une organisation, conduisant à un processus de hiérarchisation basé sur des données incomplètes ou incorrectes. Ce décalage rend difficile l’identification et le traitement précis des menaces les plus susceptibles d’être exploitées. Par conséquent, l’organisation peut être amenée à se concentrer sur des problèmes moins critiques tandis que des risques plus importants restent non traités, réduisant ainsi l’efficacité globale du programme CTEM.
Quels outils utiliser pour la phase de découverte ?
- Gestion des vulnérabilités basée sur le risque (RBVM) : Les solutions RVBM, comme Outscan NX d’Outpost24, examinent l’ensemble de votre surface d’attaque et vous aident à identifier les menaces les plus imminentes afin de les atténuer. Il y a souvent un décalage entre l’identification des vulnérabilités et les ressources informatiques disponibles pour y remédier. L’utilisation d’une solution RVBM permet de rationaliser le processus et aide les organisations à traiter de manière proactive les problèmes potentiels avant qu’ils ne s’aggravent. Cette approche permet de maintenir une position proactive en matière de gestion de la vulnérabilité et de la sécurité du cloud.
- Gestion de la surface d’attaque externe (EASM): Les outils EASM tels que Sweepatic d’Outpost24 permettent de découvrir, de cartographier et de surveiller en permanence tous les actifs associés à votre entreprise qui exposés sur Internet. La collecte automatique de données, l’enrichissement et les modules d’analyse pilotés par l’IA analysent tous vos actifs connus et inconnus pour y déceler des vulnérabilités et des voies d’attaque.
- Test de sécurité des applications web: Outils de test comme la solution de Pen Testing as a Service (PTaaS) d’Outpost24 ciblent spécifiquement les vulnérabilités des applications web. Il effectue des analyses pour détecter les problèmes de sécurité courants tels que les injections SQL, le cross-site scripting (XSS) et d’autres menaces répandues dans les environnements web. En identifiant ces vulnérabilités, l’outil permet aux organisations de renforcer leurs applications web contre les attaques et de réduire de manière significative leur surface d’attaque globale.
- Vérificateur de mot de passe Active Directory: De nombreuses compromissions commencent par le vol d’informations d’identification. Un audit permet d’évaluer la force et la sécurité des mots de passe Active Directory au sein de votre organisation. Il vérifie les politiques existantes en matière de mots de passe et s’assure qu’elles respectent les meilleures pratiques et normes de sécurité. Les auditeurs de mots de passe identifient les mots de passe faibles, réutilisés ou compromis, et préconisent l’utilisation de mots de passe forts et uniques afin d’empêcher les accès non autorisés et de renforcer la sécurité. Specops Software propose un outil d’audit gratuit, en lecture seule, disponible au téléchargement : Specops Password Auditor.
Conseils pour une phase de découverte réussie
- Identifier tous les actifs connus et inconnus et déterminer ceux qui entrent dans le champ d’application du programme CTEM à l’aide de l’EASM
- Utiliser des outils comme RBVM et PTaaS pour découvrir les vulnérabilités de chaque actif – n’oubliez pas de prendre en compte les environnements sur site et cloud
- Classer par ordre de priorité les biens à découvrir et leur profil de risque sur la base des domaines identifiés au cours du processus de délimitation du champ d’application
- Aller au-delà de l’identification des vulnérabilités pour inclure les mauvaises configurations, les sites contrefaits et d’autres faiblesses potentielles
- Préparez-vous à ce que le processus de découverte s’étende au-delà du champ d’application initialement défini, ce qui nécessitera une nouvelle hiérarchisation des priorités pour faire la part des choses
Passer à la troisième étape : la priorisation
En suivant les conseils pour une phase de découverte réussie, vous êtes bien préparé pour la troisième étape du CTEM, l’établissement des priorités, en veillant à ce que tous les actifs connus et inconnus jusqu’alors, ainsi que leurs vulnérabilités, soient identifiés de manière exhaustive. Cette identification minutieuse permet aux organisations d’évaluer avec précision le risque associé à chaque actif et son impact potentiel sur l’entreprise.
Grâce à une vue complète des vulnérabilités, les équipes de sécurité peuvent utiliser efficacement les données intégrées de Threat Intelligence pour hiérarchiser les risques les plus critiques. Cette hiérarchisation permet de s’assurer que les ressources limitées sont concentrées sur les vulnérabilités les plus susceptibles d’infliger des dommages importants à l’organisation, améliorant ainsi l’efficacité globale du programme CTEM.
Gardez un œil sur notre blog, où nous publierons chaque mois une nouvelle étape du CTEM, afin de vous aider à explorer des stratégies et des solutions pour éviter les pièges courants lors de la mise en place du CTEM et établir une base solide pour votre programme. Dans le prochain post de cette série, nous passerons à l’étape de priorisation. C’est là que vous pourrez évaluer le risque associé à chaque actif et son impact potentiel sur l’entreprise.