JPO en ligne ce mercredi

S’inscrire

Boite à outils

L’Attack Surface Risk Management (ASM) pour réduire les cybermenaces

La surface d’attaque devient plus vaste avec l’adoption massive d’applications SaaS, la migration vers le cloud ou encore la mise en place progressive du télétravail. La sécurité d’une telle surface représente un défi majeur pour les équipes de sécurité. La solution ASRM (Attack Surface Risk Management) leur permet d’assurer le processus de surveillance, de gestion et de réduction de la surface d’attaque.

 

Par Justine Navet
Contenu mis à jour le
L’Attack Surface Risk Management (ASM) pour réduire les cybermenaces
NB : Contenu en cours de réécriture.

Qu’est-ce que l’ASRM (Attack Surface Risk Management)

Une surface d’attaque à l’ère numérique regroupe tous les points d’entrée de l’entreprise qu’un pirate informatique peut pénétrer. Avec la gestion de la surface d’attaque (ASRM), l’entreprise dispose d’une visibilité étendue sur tous ces actifs et peut les surveiller de manière continue. Cette solution permet à son équipe de sécurité d’identifier efficacement les vulnérabilités et de les hiérarchiser par ordre de priorité en vue de l’application des mesures correctives. L’ASRM offre ainsi une longueur d’avance à l’entreprise par rapport aux attaquants grâce à une démarche proactive.

Contrairement à d’autres solutions de sécurité, l’ASRM (Attack Surface Risk Management) adopte le comportement d’un pirate informatique. L’outil analyse les surfaces d’attaques et évalue les risques comme s’il menait une cyberattaque. Pour cela, la gestion de la surface d’attaque s’appuie sur des supports et ressources exploitées par les pirates. C’est pourquoi la conception d’une technologie ASRM et son exécution sont confiées à un hacker éthique.

L’ASRM est souvent utilisée de manière interchangeable avec l’EASM (Extern Attack Surface Management). L’EASM, une discipline plus récente, se concentre uniquement sur les vulnérabilités et les risques provenant d’internet. De son côté, l’ASRM s’étend à une surface plus vaste allant des formations inadaptées des salariés aux surfaces d’attaques physiques.

Qu’est-ce qu’une surface d’attaque exactement ?

Pour mieux comprendre l’ASRM, la connaissance d’une surface d’attaque est primordiale. Celle-ci désigne tous les points d’entrée qu’un pirate pourrait exploiter pour mener une attaque et réussir un vol de données. Il existe trois types de surfaces :

  • surface d’attaque numérique comprend l’environnement logiciel de l’entreprise, l’ensemble du réseau ainsi que les ports et divers points d’entrée et de sortie.
  • surface d’attaque physique désigne tous les terminaux utilisés par l’organisation à l’instar des ordinateurs, appareils mobiles, ports USB, objets connectés, serveurs, etc.
  • surface d’attaque par ingénierie sociale fait référence aux failles des utilisateurs humains. Une étude IBM révèle que dans 90% des cas, l’erreur humaine est à l’origine des incidents de sécurité. Les pirates utilisent des méthodes plus sophistiquées comme le spear phishing pour tromper leur cible et l’inciter à dévoiler des informations sensibles sur son entreprise.

Cette surface d’attaque se trouve en évolution consistante dès qu’un nouvel appareil se connecte au réseau par exemple. Pourtant, plus celle-ci s’agrandit, plus elle s’expose à de nouveaux risques.

Les pirates informatiques exploitent divers points d’entrées dans une surface d’attaque. Les plus ciblés sont :

  • les actifs sur le cloud : l’adoption massive du cloud a agrandi la surface d’attaque d’une entreprise. D’après le rapport de Thales en 2023, 39% des entreprises sondées ont connu une violation de données depuis leur environnement cloud en 2022. Les applications SaaS constituent une cible privilégiée pour les pirates.
  • les points terminaux physiques comme les ordinateurs portables et de bureau, les appareils Iot, les serveurs, etc.
  • les identités sachant que les informations d’identifications compromises offrent aux pirates un accès au réseau de l’organisation.
  • les connexions aux réseaux par les filiales, clients et partenaires. Elles élargissent la surface d’attaque aux réseaux moins fiables de ces utilisateurs externes.
  • le shadow IT constitue une autre surface d’attaque. Il s’agit des outils fantômes utilisés par les employés sans en informer l’équipe de sécurité. Ces différentes applications représentent pourtant des angles morts à exploiter pour les pirates informatiques.
Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Pourquoi mettre en place une gestion des surfaces d’attaques (ASM) ?

surface d'attaque

L’adoption progressive du télétravail et l’utilisation du cloud ont élargi la surface d’attaque des organisations. En France, l’INSEE rapporte que près de 47% des entreprises françaises ont introduit le télétravail, même partiel, à leur mode de fonctionnement. Cela implique pourtant l’intégration de nouveaux outils à l’instar des applications de gestion de projet et des logiciels de communication. De son côté, le cloud computing poursuit sa croissance dans le pays. Les experts prévoient un marché qui pèserait 25 milliards d’euros d’ici 2025.

La transformation numérique a contribué à la connexion de nouveaux actifs au réseau chaque jour. Les méthodes d’inventaire des actifs et d’évaluation des risques semblent aujourd’hui désuètes. En effet, elles sont inefficaces face à l’apparition continue de nouveaux vecteurs d’attaque. Prenons les tests d’intrusion, ils identifient uniquement les vulnérabilités des actifs inventoriés. Ils sont incapables d’identifier les nouvelles sources de menaces.

Grâce aux solutions ASRM, l’équipe de sécurité travaille enfin de manière proactive face à une surface d’attaque en constante évolution. Elles offrent une visibilité en temps réel des risques et des vecteurs d’attaque.

La possibilité d’intégration d’une solution ASRM aux autres technologies d’analyse et de détection facilite la tâche de l’organisation. En effet, elle peut s’associer par exemple à un outil SIEM (gestion des informations et des évènements de sécurité), XDR (détection et réponse étendues) ou encore EDR (détection et réponse des terminaux). Ils offrent une meilleure analyse et hiérarchisation des vulnérabilités pour accélérer la réponse à l’échelle de l’entreprise.

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

Comment gérer sa surface d’attaque ?

La gestion efficace d’une surface d’attaque implique l’adoption de quelques bonnes pratiques.

Mise en place d’un audit de routine

Cela commence par la mise en place d’un audit régulier de la surface d’attaque. Il consiste à inventorier tous les actifs de l’organisation, notamment ceux accessibles sur internet, à l’instar des applications web et autres ressources cloud. L’audit porte aussi sur l’identification des vulnérabilités susceptibles d’être utilisées par les pirates. Cette routine offre à l’entreprise une meilleure visibilité sur son actif numérique.

Réduction des points d’entrée

Une fois la surface d’attaque définie, la deuxième bonne pratique vise à réduire autant que possible les points d’entrée. L’audit met en lumière les actifs inutilisés (port USB, applications sur le cloud, etc.) et les protocoles vulnérables. Il faut également limiter l’accès à certains logiciels grâce au principe du moindre privilège.

Surveillance continue

L’organisation doit également assurer une surveillance continue de sa surface d’attaque. Cela lui permet d’être au courant en temps réel des nouvelles menaces. Des changements s’opèrent lorsque l’entreprise ajoute de nouveaux logiciels ou de nouveaux comptes. Cette surveillance peut être assurée par une solution SIEM par exemple.

Renforcement du contrôle des accès

Le quatrième conseil consiste à mettre en place un contrôle plus strict de l’accès. Il s’agit par exemple de l’application de l’authentification multifacteurs, la mise à jour dans les temps des logiciels, la restriction de l’accès aux données sensibles, etc.

Quelles sont les principales fonctionnalités d’un ASRM ?

L’évaluation, la surveillance ou encore le contrôle, toutes ces tâches peuvent être réalisées par une solution ASRM. Celle-ci est capable d’automatiser toutes ces tâches de manière continue pour identifier efficacement les risques. Ce type de solution propose généralement quatre fonctionnalités :

Découverte des actifs

La solution ASRM identifie automatiquement tous les points d’entrées susceptibles d’être exploités par un pirate informatique. Le processus est continu et permet ainsi d’obtenir des informations mises à jour. Elle peut mettre en lumière les différents types d’actifs de l’organisation :

  • actifs connus : regroupe toutes les ressources informatiques que l’équipe de sécurité en assure la gestion (serveurs, matériels informatiques, routeurs, applications sur le cloud, site web, etc.)
  • actifs inconnus font référence à tous les logiciels et matériels utilisés par les employés sans supervision. Ils proviennent souvent de la pratique du Shadow IT. Cela peut être un outil de correction de la grammaire en ligne par exemple.
  • actifs des filiales désignent tous les actifs connus et inconnus des sociétés filiales.
  • actifs tiers désignent toutes les ressources qui n’appartiennent pas à l’entreprise, mais font partie de sa chaîne d’approvisionnement numérique, dont la sensibilité est encore plus forte en 2025. Cela peut être des données gérées par un service tiers, les applications SaaS, etc.
  • actifs malveillants font référence aux données sensibles volées par les pirates pour nuire à l’entreprise. Il peut également s’agir d’une usurpation de site web.

Hiérarchisation des priorités

Lorsque tous les actifs sont inventoriés, l’outil ASRM les analyse et les hiérarchise en fonction du niveau de risque qu’ils présentent. Tous les actifs sont classés selon des critères comme les connexions, l’adresse IP ou encore d’identifiant. La hiérarchisation repose sur un système de score de risque pour mettre en évidence les priorités.

Résolution

ASRM corrige ensuite ces vulnérabilités par ordre de priorité. Les actions mises en place varient en fonction du type d’actif :

  • prise en charge ou mise hors service des actifs inconnus ;
  • élimination des actifs malveillants ;
  • renforcement du contrôle de sécurité ;
  • application des mises à jour du système d’exploitation et des logiciels ;
  • mise en place d’un système de chiffrement des données ;
  • intégration des actifs des filiales et actifs tiers dans la stratégie de cybersécurité.

Surveillance

La surface d’attaque évolue au fur et à mesure de l’ajout de nouveaux actifs. Cela implique également de nouveaux risques de sécurité. C’est pourquoi l’ASRM assure une surveillance continue afin de détecter les nouvelles vulnérabilités.